Módulo 4. Seguridad

4.1 Seguridad con wordpress.com

Si tu Wordpress lo has dado de alta en wordpress.com, tendrás pocas cosas que preocuparte sobre seguridad, ya que serán los gestiores de wordpress.com quienes se encargarán de actualizar el Wordpress y de mantener los elementos de seguridad necesarios.

Con wordpress.com podrás realizar un backup de los textos de tus páginas y publicaciones, así como de las imágenes que hayas añadido en la librería de medios. Puedes consultar cómo realizarlo en el apartado "Backup integrado de Wordpress".

Con tu usuario en wordpress.com, podrás acceder a securizar tu Wordpress mejorando la seguridad en la forma de acceso. Para ello dale clic en el muñequito que está en la esquina superior derecha de la página, y accederás a una zona de configuración de tu ususuario de Wordpress.

usuario wordpress.com.png

Desde ahí, puedes acceder a la sección de Seguridad en el menú izquierdo.

seguridad wordpress.com.png

Ahí, podrás cambiar datos de tu Perfil de usuario para cambiarte el nombre y apellidos.

Desde el menú Privacidad, podrás desactivar "Usa nuestra herramienta de análisis para compartir información sobre el uso que haces de los servicios mientras estás conectado a tu cuenta de WordPress.com.", para que wordpress.com no utilice tus datos de uso.

Desde el ítem de menú Ajustes de la cuenta, entre otras cosas, tendrás la opción para dar de baja definitiva tu usuario de wordpress.com dándole clic a "Cerrar la cuenta de forma permanente".


4.2. Seguridad en Wordpress

Conceptos generales sobre seguridad

Desde el panel de administración del Wordpress hay que:

Pero también es necesaria la involucración de los usuarios del Wordpress:

Y sobre todo, hay que tener copia de seguridad de todo. Si de algo no tienes copia de seguridad, quizás sea porque no te importa mucho perderlo...


Medidas de seguridad esenciales para Wordpress

Recomendable:


Recuperar un Wordpress hackeado (requiere acceso al alojamiento web)

Aun con todo, existen listados de vulnerabilidades conocidas de Wordpress, Plugins y Temas: https://wpvulndb.com/, y cada día van saliendo nuevas vulnerabilidades. En los siguientes enlaces encontraremos más información sobre qué hacer con un Wordpress hackeado:

https://codex.wordpress.org/FAQ_My_site_was_hacked

https://www.wordfence.com/docs/how-to-clean-a-hacked-wordpress-site-using-wordfence/

A modo de prevención, estas webs serán muy útiles para Administradores informáticos en busca de vulnerabilidades:

4.2.1. Actualizar Wordpress

La medida de seguridad más esencial a realizar es mantener el Wordpress actualizado. Si tu Wordpress es proporcionado por un servicio de Wordpress tal como wordpress.com, se encargarán de mantener Wordpress actualizado. Si tu Wordpress está instalado en un alojamiento Web, deberás encargarte de actualizar Wordpress. Para ello, desde el Escritorio en la zona de administración, te asivará si existe una nueva versión de Wordpress, junto con un enlace "Por favor, actualiza ahora".

En la siguiente página podrás actualizar Wordpress con un sólo clic en el botón azul "Actualizar ahora":

También habrá que actualizar:

4.2.2. Wordfence

El plugin Wordfence tiene dos pilares básicos:


ESCANEAR EL WORDPRESS

Wordfence compara lo que tenemos en nuestro servidor con los repositorios oficiales. Por ello, primero requiere que tengamos todo actualizado.

2º Hay que configurar las opciones de escaneo en Wordfence Scan Options > OptionsHay que activar casi todas las opciones para un escaneo más profundo, revisando estas opciones:

3º Se lanza con la opción SCAN:

Acceso en: Menú > Wordfence > Scan > Botón "Start a Wordfence scan"

Resultados: Si Wordfence muestra que hay alguna vulnerabilidad, en primer lugar deberás analizar si es un falso positivo, que suele ser lo más normal. En caso de que tu Wordpress haya sido objeto de algún ataque real, podrás intentr solucionarlo con las opciones que proporciona Wordfence.


FIREWALL

Wordfence incluye reglas para cortar conexiones que son detectadas como maliciosas. Las opciones de configuración de ataques de acceso al Escritorio por fuerza bruta son las más importantes para incrementar la seguridad. Entre ellas, se destaca configurar las siguientes opciones:

Acceso en: Menú > Wordfence > Firewall > Brute Force Protection

(*) El bloqueo de acceso a Wordpress se realiza por IP, no por nombre de usuario. La IP será la dirección pública del router de conexión a Internet. Es decir, si desde tu casa (o desde tu centro educativo) te equivocas repetidas veces al escribir tu nombre de usuario y contraseña, se bloqueará el acceso desde cualquier ordenador de tu casa (o desde cualquier ordenador de tu centro educativo).

LIMITAR TRÁFICO

Podemos visualizar el tráfico que hay en el instante:

Acceso en: Menú > Wordfence > Live Traffic

Wordfence permite limitar el tráfico de datos que se genera para evitar sobrecargas y caídas.

Acceso en: Menú > Wordfence > Firewall > Rate Limiting

How long is an IP address blocked when it breaks a rule: 1 hora

Parámetros sugeridos obtenidos de la ayuda de Wordfence: https://docs.wordfence.com/en/Wordfence_options?utm_source=plugin&utm_medium=pluginUI&utm_campaign=docsIcon#Rate_Limiting_Rules

4.2.3. All In One WP Security

Permite habilitar numerosas medidas de seguridad (algunas ya están en Wordfence) para nuestro Wordpress. Este plugin indica el grado de protección que tenemos con un interesante gráfico en forma de cuentakilómetros.

Se configura en: Menú > Seguridad WP

Cambiar la dirección de acceso al Escritorio de Wordpress

La opción más interesante a configurar consiste en cambiar la dirección de acceso al Escritorio de Wordpress, de forma que ya no sea http://nombredelwordpress.es/wp-admin/, sino que escojamos una dirección diferente a wp-admin, para evitar que los hacker maliciosos intenten acceder a nuestro Wordpress entrando por la dirección por defecto wp-admin que es conocida por todo el mundo. Una vez cambiada la dirección de acceso, desconocerán cual es la dirección de acceso al Escritorio y se reducirá la cantidad de intentos de acceso fraudulentos. Si procedes a cambiar la dirección de acceso al Escritorio, será muy importante que apuntes tu nueva dirección de acceso al Escritorio de tu Wordpress, sino correrás el riesgo de quedarte sin acceso a administrar tu propio Wordpress.

Se configura en: Menú > Seguridad WP > Fuerza Bruta > Cambiar el nombre de la página de entrada
Login Page URL (por ejemplo): mizonadegestion

Ahí conviene que cada administrador de Wordpress escoja el nombre que desee, incluso con un nombre diferente a "mizonadegestion", para que no sea tan genérico. De esta forma, la nueva dirección de acceso al Escritorio será similar a:

http://nombredelwordpress.es/mizonadegestion/

Otras opciones a revisar de este plugin:

(*) Las opciones de habilitar Captcha proporcionan un gran incremento en la seguridad del Wordpress, ya que evitan que se realicen ataques automatizados intentando adivinar las contraseñas los usuarios del Wordpress.

4.3. Copia de seguridad

Copia de seguridad

Wordpress incluye un sistema de creación de Backups, que realiza copia sólo del contenido de las entradas.

Se recomienda utilizar el plugin UpdraftPlus para realizar las copias de seguridad, porque realiza una copia completa del sitio web, además de permitir restaurar el sitio desde el Escritorio de Wordpress, y alojar la copia de seguridad en almacenamientos externos como Google Drive o Dropbox.

Otro plugin para realizar copias de seguridad completas es BackWPup, pero a diferencia de UpdraftPlus no permite restaurar el sitio desde el Escritorio de Wordpress.

4.3.1. Backup integrado de Wordpress

Sirve para copiar únicamente los contenidos de un sitio web Wordpress a otro sitio Wordpress.

Importante: no copia la apariencia, configuración, plugins, etc.

El proceso a realizar es el siguiente:

1º exportar:

Acceso en: Menú > Herramientas > Exportar

2º Importar

Acceso en: Menú > Herramientas > Importar

CONCLUSIÓN: Para realizar una copia integral del sitio web, necesitaremos una herramienta de copia de seguridad más completa: UpdraftPlus o BackWPup, por ejemplo.

4.3.2. UpdraftPlus

Backup con UpdraftPlus

Una vez instalado y activado el plugin, su funcionalidad está accesible desde la barra superior.

REALIZAR UN RESPALDO

Acceso en: Menú > UpdraftPlus > Estado actual / Respaldar ahora > botón "Respaldar ahora"

El respaldo se guarda en el mismo servidor, lo cual tiene desventajas:

Habrá que Descargar el respaldo realizado a nuestro PC.


DESCARGAR EL RESPALDO

Se descargan 5 archivos diferentes: base de datos, plugins, temas, ficheros subidos y otros.


BORRAR EL RESPALDO DEL SERVIDOR


SUBIR EL RESPALDO DESDE NUESTRO PC AL SERVIDOR

Habrá que subir los 5 archivos al servidor.


RESTAURAR RESPALDO

4.3.3. UpdraftPlus con Dropbox y Google Drive

UpdraftPlus

Configurar que el respaldo de UpdraftPlus se realice en DROPBOX

Inicia sesión en Dropbox en otra pestaña del navegador. Y vuelve al Wordpress en la opción UpdraftPlus > Ajustes:

Podemos elegir si queremos que la copia se haga automáticamente con la periodicidad que digamos, o que la copia haya que hacerla manualmente.

Al terminar el proceso, la copia de respaldo estará en Dropbox > Aplicaciones > UpdraftPlus.Com

Si se lanza otra copia de respaldo hacia Dropbox, se guardará en esta misma carpeta UpdraftPlus.Com. El nombre de los archivos de respaldo incluyen la fecha y la hora del respaldo.

Al terminar el proceso, si no hubiéramos marcado la opción de "Borrar respaldos locales", la copia de respaldo la tendríamos en el servidor, ocupando un valioso espacio, y podríamos verlo con el plugin File-Manager en: public_html > wp-content > updraft


Configurar que el respaldo de UpdraftPlus se realice en GOOGLE DRIVE

Suponemos que ya tenemos creado un Proyecto en Google API. A ese proyecto, vamos a crearle unas nuevas "Credenciales" de "ID de cliente de OAuth" para permitir que UpdraftPlus se conecet a nuestra API de Google

  1. Asegurarse que la Drive API está Habilitada: en https://console.developers.google.com/ > Panel de Control > Habilitar API > Drive API
  2. Crear unas "Credenciales" de "ID de cliente de OAuth" tipo "Web" y obtendremos un ID y Secreto de cliente
  3. Introducir ID y Secreto de cliente en Wordpress > UpdraftPlus > Ajustes