Skip to main content

Guía de seguridad wordpress

Captura desde 2024-06-20 18-19-22.png


1. Introducción

Wordpress es un sistema de gestión de contenido (CMS, Content Management System), que permite crear sitios web, su popularidad ha logrado que resulte muy atractivo para los “ciberatacantes”, con el fin de explotar vulnerabilidad

2. Asegurando Wordpress

Para mitigar el riesgo de ataques a Wordpress, recomendamos las siguientes buenas prácticas de seguridad.

2.1. Configurar el control de acceso de usuarios

Ingresar al panel de administración de usuarios del sitio web: https://[midominio.gob.bo]/wp-admin/users.php y eliminar a los usuarios administradores que no se usan actualmente:

AccesoDeUsuarios.png

2.2. Actualizar el core de Wordpress

Ingresar a su sitio web https://[mi-dominio.gob.bo]/wp-admin/update-core.php y hacer click en el botón “Actualizar ahora”.

ActualizacionDelCore.png

2.3. Actualizar los plugins de Wordpress

Previamente instalar y activar el plugin WP-Rollback (https://es.wordpress.org/plugins/wp-rollback/) que será útil en caso que la actualización de algún plugin no sea exitosa.

Realizar un backup de la base de datos.

Ingresar al sitio https://[mi-dominio.gob.bo]/wp-admin/update-core.php y seleccionar todos los plugins y presionar el botón “Actualizar plugins”.

ActualizacionDePlugins.png

En caso de existir un error durante el proceso de actualización, realizar un ROLLBACK (https://[mi-dominio.gob.bo]/wp-admin/plugins.php).

ActualizacionDePluginsError.png

2.4. Habilitar actualizaciones de seguridad automáticas

Ingresar al panel de administración https://[mi-dominio.gob.bo]/wp-admin/plugins.php y seleccionar todos los plugins.

Seleccionar la acción “habilitar actualizaciones automáticas” y ejecutar “Aplicar”

ActualizacionesDeSeguridadAutomáticas.png

Borrar los themes no usados mediante la URL https://[mi-dominio.gob.bo]/wp-admin/themesphp

2.5. Deshabilitar XML-RPC

Wordpress tiene características para interactuar de forma remota con el sitio web, XML- RPC es una función de WordPress que permite la transmisión de datos con HTTP actuando como mecanismo de transporte y XML como mecanismo de codificación.

En la actualidad la funcionalidad del archivo xmlrpc.php ha disminuido considerablemente y su exposición y configuración insegura representa un riesgo en la seguridad del sitio web, provocando las siguientes vulnerabilidades:

  • Ataques de fuerza bruta.
  • Denegación Distribuida de Servicio.
  • XMLRPC pingback.ping.

XMLRPC.png

2.5.1. Restringir el acceso al archivo xmlrpc.php

Para restringir el acceso al archivo xmlrpc.php en apache2, se debe editar el archivo de configuración del sitio web o mediante el archivo .htaccess agregando las siguientes líneas:

<files xmlrpc.php>
	order allow,deny
	deny from all
</files>

Después reiniciar apache:

systemctl restart apache2

2.5.2. Deshabilitar la función XML-RPC

Si se determina que la función XML-RPC no es necesaria, se recomienda deshabilitarla, para ello se debe editar el archivo wp-config.php y agregar la siguiente línea:

add_filter('xmlrpc_enabled', '__return_false');

Otra opción para deshabilitar la función XML-RPC es instalando y activando el complemento “Disable XML-RPC”.

2.6. Enumeración de usuarios

Wordpress a través de su REST API puede exponer datos sensibles, como es el caso de los usuarios del sistema, si el sitio no está configurado de forma segura.

EnumeracionDeUsuarios.png

Para solucionar esta vulnerabilidad se debe actualizar a la versión 4.7.1 o posterior de Wordpress.

Una opción, en caso de no hacer uso del API REST de Wordpress, es deshabilitarlo, para ello se debe agregar las siguientes líneas en el archivo de configuración de wordpress wp-config.php:

add_filter('rest_enabled', '_return_false');
add_filter('rest_jsonp_enabled', '_return_false');

2.7. Utiliza contraseñas fuertes y seguras

Utiliza contraseñas complejas y únicas para todas las cuentas de usuario, especialmente para los administradores.

Creación de Contraseñas

  • Longitud: Usa contraseñas largas. Se recomienda al menos 12 caracteres, pero cuanto más larga, mejor.
  • Complejidad: Incluye una combinación de letras mayúsculas y minúsculas, números y caracteres especiales como !, @, #, $, %, etc.
  • Evita Información Personal: No uses información personal fácilmente disponible como nombres, fechas de nacimiento o números de teléfono.
  • Generación Segura: Utiliza generadores de contraseñas para crear combinaciones aleatorias y seguras. Hay herramientas en línea y aplicaciones de administración de contraseñas que pueden ayudarte con esto.
  • Almacenamiento Seguro: Usa administradores de contraseñas confiables para almacenar y gestionar contraseñas de forma segura.

En ese sentido en WordPress se debe seguir los siguientes pasos

  • Inicia sesión en tu panel de administración de WordPress.
  • Dirígete a "Usuarios" y luego a "Todos los usuarios".
  • Haz clic en el nombre del usuario para el cual deseas cambiar la contraseña.
  • Desplázate hacia abajo hasta la sección "Nueva contraseña".
  • Ingresa una contraseña segura o utiliza el generador de contraseñas integrado haciendo clic en "Generar contraseña".
  • Confirma la contraseña y guarda los cambios.


2.8 Implementa Autenticación de Dos Factores (2FA):

Usa un plugin de 2FA para añadir una capa adicional de seguridad a las cuentas de usuario.

Autenticación de Dos Factores (2FA)

  • Segunda Capa de Seguridad: Considera habilitar la autenticación de dos factores para agregar una capa adicional de seguridad más allá de la contraseña.
  • Dirígete a tu panel de administración de WordPress.
  • Ve a Plugins > Añadir nuevo.
  • Busca "Two Factor Authentication" o "Google Authenticator" y haz clic en Instalar ahora.

  • Después de la instalación, haz clic en Activar para activar el plugin.
  • Una vez activado, ve a Usuarios > Perfil.
  • Desplázate hacia abajo hasta la sección de "Autenticación de dos factores".
  • Selecciona "Habilitar la autenticación de dos factores para este usuario".
  • Descarga e instala la aplicación "Google Authenticator" en tu dispositivo móvil desde la tienda de aplicaciones correspondiente (iOS o Android).
  • En la configuración de 2FA de tu perfil de WordPress, selecciona "Google Authenticator".
  • Abre la aplicación Google Authenticator en tu teléfono y escanea el código QR que aparece en pantalla.
  • Alternativamente, puedes introducir el código secreto manualmente si no puedes escanear el código QR.
  • Una vez escaneado o introducido el código, la aplicación generará códigos de verificación de seis dígitos que cambian cada 30 segundos.
  • Introduce el código de verificación generado por Google Authenticator en el campo correspondiente en tu perfil de WordPress.
  • Haz clic en Actualizar perfil para guardar la configuración.
  • Cierra sesión en WordPress y vuelve a iniciar sesión.
  • Introduce tu nombre de usuario y contraseña como de costumbre.
  • Cuando se te solicite, abre la aplicación Google Authenticator en tu teléfono e introduce el código de verificación actual.
  • Algunos plugins de 2FA permiten opciones adicionales, como la entrega de códigos por correo electrónico o SMS como método secundario de autenticación.

Para aplicar a todos los usuarios de tu sitio wordpress se debe activar la opción todos los usuarios como se ve en la siguiente imagen.

2.9. Limita los Intentos de Inicio de Sesión

Usa un plugin como "Limit Login Attempts Reloaded" para bloquear direcciones IP después de varios intentos fallidos de inicio de sesión.

Instalación de un Plugin de Seguridad:

  • Busca y selecciona un plugin de seguridad confiable en WordPress, como "Limit Login Attempts Reloaded"
  • Instalarlo y activarlo desde el panel de administración de WordPress.

Configuración del Plugin:

  • Después de activar el plugin, ve a su configuración en el menú lateral de WordPress (generalmente bajo "Configuración" o "Seguridad").
  • Encuentra la sección relacionada con la restricción de intentos de inicio de sesión.

Establecimiento de Límites y Acciones:

  • Define el número máximo de intentos de inicio de sesión permitidos antes de que se active la restricción (por ejemplo, 3-5 intentos).
  • Configura el tiempo de bloqueo de la dirección IP después de alcanzar el límite de intentos fallidos (por ejemplo, 15 minutos, 1 hora, etc.).

Personalización de Mensajes y Notificaciones:

  • Algunos plugins te permiten personalizar los mensajes mostrados a los usuarios cuando exceden el límite de intentos de inicio de sesión.
  • Configura notificaciones por correo electrónico o alertas dentro del panel de administración para informarte sobre intentos de inicio de sesión fallidos.

Prueba y Verificación:

  • Realiza pruebas para asegurarte de que la restricción de intentos de inicio de sesión esté funcionando según lo esperado.
  • Intenta iniciar sesión varias veces con credenciales incorrectas para verificar que se active la restricción después de alcanzar el límite establecido.

Monitoreo Continuo y Ajustes:

  • Monitorea regularmente los registros de inicio de sesión y las alertas de tu plugin de seguridad para detectar actividades sospechosas.
  • Ajusta la configuración según sea necesario para mantener un equilibrio entre seguridad y accesibilidad.

2.10. Cambia el Prefijo de la Base de Datos

Durante la instalación, cambia el prefijo predeterminado wp_ de la base de datos a algo único para prevenir ataques SQL.

Cambiar el prefijo de la base de datos en WordPress es una medida de seguridad que puede ayudar a proteger tu sitio contra ataques SQL Injection. Aquí tienes una guía paso a paso para hacerlo:

  • Antes de realizar cualquier cambio en la base de datos, es crucial hacer una copia de seguridad completa de tu sitio web y de la base de datos.
  • Puedes usar plugins como UpdraftPlus, BackupBuddy, o el propio sistema de backups de tu proveedor de hosting.
  • Desactiva temporalmente cualquier plugin de caché o seguridad para evitar conflictos durante el proceso.
  • Accede al archivo wp-config.php en el directorio raíz de tu instalación de WordPress.

Encuentra la línea que define el prefijo de la base de datos, que generalmente se ve así:

Copiar código 

$table_prefix = 'wp_';

Cambia el prefijo wp_ a algo único, por ejemplo
Copiar código

$table_prefix = 'nuevo_prefijo_';

  • Usa una herramienta como phpMyAdmin o cualquier otro administrador de bases de datos para acceder a tu base de datos de WordPress.

Ejecuta las siguientes consultas SQL para cambiar el prefijo de todas las tablas
Copiar código

RENAME table `wp_commentmeta` TO `nuevo_prefijo_commentmeta`;

RENAME table `wp_comments` TO `nuevo_prefijo_comments`;

RENAME table `wp_links` TO `nuevo_prefijo_links`;

RENAME table `wp_options` TO `nuevo_prefijo_options`;

RENAME table `wp_postmeta` TO `nuevo_prefijo_postmeta`;

RENAME table `wp_posts` TO `nuevo_prefijo_posts`;

RENAME table `wp_terms` TO `nuevo_prefijo_terms`;

RENAME table `wp_termmeta` TO `nuevo_prefijo_termmeta`;

RENAME table `wp_term_relationships` TO `nuevo_prefijo_term_relationships`;

RENAME table `wp_term_taxonomy` TO `nuevo_prefijo_term_taxonomy`;

RENAME table `wp_usermeta` TO `nuevo_prefijo_usermeta`;

RENAME table `wp_users` TO `nuevo_prefijo_users`;

Actualizar las Referencias en la Base de Datos:

  • Algunas tablas contienen referencias al prefijo antiguo. Debes actualizar estas referencias también. Ejecuta las siguientes consultas SQL

    Copiar código
     
    UPDATE `nuevo_prefijo_options` SET `option_name` = REPLACE(`option_name`, 'wp_', 'nuevo_prefijo_') WHERE `option_name` LIKE 'wp_%';

UPDATE `nuevo_prefijo_usermeta` SET `meta_key` = REPLACE(`meta_key`, 'wp_', 'nuevo_prefijo_') WHERE `meta_key` LIKE 'wp_%';
  • Vuelve a activar los plugins de caché y seguridad.
  • Revisa que todo esté funcionando correctamente en tu sitio web.
  • Si encuentras algún problema, verifica las tablas y las referencias en la base de datos para asegurarte de que todas se han actualizado correctamente.

También se puede realizar utilizando el Plugins para cambiar el prefijo de la base de datos ayuda a reducir el riesgo de ataques automatizados que se aprovechan de la configuración predeterminada de WordPress. Esta medida, combinada con otras prácticas de seguridad, puede fortalecer significativamente la protección de tu sitio web

También se puede realizar mediante Plugin el cual describimos a continuación:

Desplegamos el Plugin 


2.11 Oculta la Versión de WordPress:

Ocultar la versión de WordPress es una medida de seguridad que ayuda a proteger tu sitio de ataques dirigidos a vulnerabilidades específicas de la versión que estás utilizando. Aquí tienes una guía paso a paso para hacerlo:

      • Por defecto, WordPress añade la versión del sitio en el código fuente del HTML. Puedes eliminar esto añadiendo un pequeño fragmento de código en tu archivo functions.php.
      • Ve al panel de administración de WordPress y navega a "Apariencia" > "Editor de temas" o accede a tu servidor mediante FTP y abre el archivo functions.php de tu tema activo.

Añade el siguiente código al archivo functions.php

Copiar código

// Eliminar la versión de WordPress del código fuente

remove_action('wp_head', 'wp_generator');

WordPress también incluye la versión del sitio en los feeds RSS. Para eliminar esto, añade el siguiente código al archivo functions.php:

Copiar códigoocultar

// Eliminar la versión de WordPress de los feeds RSS

function remove_wp_version_rss() {

    return '';

}

add_filter('the_generator', 'remove_wp_version_rss');

Los scripts y estilos en WordPress a menudo tienen la versión de WordPress adjunta. Puedes eliminar esto añadiendo el siguiente código al archivo functions.php.
Copiar código

// Eliminar la versión de WordPress de los scripts y estilos

function remove_wp_version_scripts_styles($src) {

    if (strpos($src, 'ver=')) {

        $src = remove_query_arg('ver', $src);

    }

    return $src;

}

add_filter('style_loader_src', 'remove_wp_version_scripts_styles', 9999);

add_filter('script_loader_src', 'remove_wp_version_scripts_styles', 9999);

  • Después de realizar estos cambios, verifica que la versión de WordPress no sea visible en el código fuente de tu sitio.

  • Abre tu sitio en un navegador, haz clic derecho y selecciona "Ver código fuente de la página" (o similar según el navegador).

  • Busca cualquier mención de la versión de WordPress. Si la has eliminado correctamente, no deberías encontrarla.

Implementar estas medidas ayuda a reducir el riesgo de que los atacantes exploten vulnerabilidades específicas de tu versión de WordPress, aumentando así la seguridad general de tu sitio web

2.12. Usa HTTPS/SSL:

Asegúrate de que tu sitio web utiliza HTTPS instalando un certificado SSL.

Aquí tienes los pasos simplificados para instalar un certificado SSL en WordPress:

    3. Actualiza las direcciones URL de WordPress a HTTPS en los campos "Dirección de WordPress (URL)" y "Dirección del sitio (URL)".

2.13. Usa Google reCAPTCHA

Añade Google reCAPTCHA a tus formularios de inicio de sesión, registro y comentarios para evitar el spam y los intentos de inicio de sesión automatizados.


2.14. Configuración de Copias de Seguridad Automáticas.

Instala un Plugin de Copias de Seguridad:

  • En el panel de administración de WordPress, ve a "Plugins" y luego a "Añadir nuevo".

  • Busca un plugin de copias de seguridad como UpdraftPlus, BackupBuddy o VaultPress.

  • Instala y activa el plugin elegido.

Configura el Plugin de Copias de Seguridad:

  • Después de activar el plugin, debería aparecer en el menú lateral de WordPress.

  • Haz clic en el nombre del plugin para acceder a su configuración.

Crea un Nuevo Trabajo de Copia de Seguridad:

  • Dentro del plugin, busca la opción para crear una nueva copia de seguridad o configurar un nuevo trabajo de copia de seguridad.

Selecciona Qué Incluir en la Copia de Seguridad:

  • Elige si deseas incluir la base de datos de WordPress, los archivos del sitio, o ambos.

  • Algunos plugins te permiten seleccionar automáticamente los archivos y la base de datos necesarios.

Configura la Frecuencia y Horario:

  • Define la frecuencia de las copias de seguridad automáticas (diariamente, semanalmente, mensualmente) y el horario en que deseas que se realicen.

Elige el Destino de la Copia de Seguridad:

  • Decide dónde almacenar las copias de seguridad. Puedes usar servicios de almacenamiento en la nube como Dropbox, Google Drive, Amazon S3, o almacenamiento local en el servidor.

Configura Opciones Avanzadas (si es necesario):

  • Algunos plugins ofrecen opciones avanzadas como compresión de archivos, cifrado de copias de seguridad, exclusión de archivos específicos, etc. Configura según tus necesidades.

Guarda y Activa el Trabajo de Copia de Seguridad:

  • Una vez configurado, guarda la configuración y activa el trabajo de copia de seguridad. Asegúrate de que esté programado según tus preferencias.

Prueba y Verifica:

  • Realiza una prueba inicial para asegurarte de que las copias de seguridad automáticas se están realizando correctamente.

  • Verifica que los archivos y la base de datos se estén respaldando como esperabas.

Monitoriza y Mantén:

  • Supervisa regularmente las copias de seguridad automáticas para asegurarte de que se estén realizando correctamente.

  • Ajusta la configuración según sea necesario para mantener la seguridad y la disponibilidad de las copias de seguridad.

2.15. Crea Copias de Seguridad Regularmente:

Usa plugins como UpdraftPlus o BackWPup para crear copias de seguridad regulares de tu sitio.

Se puede realizar mediante plugin



En la parte de ajustes dentro del plugins 


Back to top