¿Qué hacer si tu web de wordpress está bajo ataques?
Lo bueno de haber recibido, casi todo tipo de ataques en #WordPress, es que uno está curado de espanto. Por ello y porque sé lo importante de trabajar bajo ese estrés, te cuento las soluciones que me han funcionado gracias a todos esos hackeos que durante años he recibido.
Los ataques más pesados son los de ataques de fuerza bruta, que son ataques que usan palabras de diccionario más combinaciones aleatorias de caracteres especiales para poder detectar tu contraseña, ante esto lo inteligente es trabajar la seguridad de tu web de WordPress para que salga victoriosa contra estos ataques que son los más fuertes, así también te proteges de otros, menos dañinos pero igualmente molestos.
El objetivo de este post es que apliques medidas de seguridad para tu web de WordPress que te van a ahorrar mucho tiempo y preocupación, sobre todo si estás bajo un ataque de fuerza bruta o similar.
1. hay que ser paciente e ir paso a paso
Por experiencia se que reducir los ataques, sobre todo los de fuerza bruta, es un trabajo de ir paso a paso, construir nuestras defensas e ir reduciendo los ataques, ya que estos se reducen poco a poco, nunca desaparecen de golpe, porque siempre vienen cuando menos te lo esperas, por todo esto, si tienes la mala suerte de sufrir un ataque, mi mejor consejo es que te armes de paciencia y sigue lo que te cuento en esta guía.
2. Automatiza actualizaciones y copias de seguridad (backups)
Antes de actualizar nada, asegúrate que tienes tus copias de seguridad (backups) correctamente configuradas y automatizadas en tu hosting y que sean de archivos y base de datos. Esto es vital porque por mucho que tengas un sitio caído, siempre vas a poder restaurar una versión operativa de tu web mientras trabajas en una versión más segura de tu sitio. Esto es especialmente importante si tienes una web que se actualiza constantemente. Según tu caso, tienes que tener programado y automatizado en tu servidor las copias de seguridad diaria o incluso cada hora si en realidad es lo que necesitas. Si no tienes copias de seguridad, es lo primero que tienes que implementar en tu servidor, ya que es algo fundamental para la seguridad de los archivos y bases de datos de tu web.
Por otro lado, lo ideal es tener siempre actualizada tu versión de WordPress y activar las actualizaciones automáticas de tus plugins y Plantillas (themes). Lo correcto es que tengas siempre controlados tanto plugins y plantillas, y que sepas cuáles son los más importantes para el funcionamiento de tu web. Si tienes una tienda online con Woocommerce lo ideal es tener las actualizaciones automáticas activadas, tanto del propio plugin y del resto, asociados a tu tienda. Siempre que accedas a tu WordPress fíjate si hay alguna actualización importante o si hay mucha distancia entre tu versión actual y la nueva disponible. Si puedes programar en tu hosting que se actualice automáticamente tu WordPress, pero solo a las versiones de seguridad (las actualizaciones más importantes), mejor que mejor.
Desde WordPress 5.5, los administradores de sitios web pueden optar manualmente por actualizaciones automáticas tema por tema y plugin por plugin.
3. Oculta la url de acceso a tu WordPress
Lo primero que hay que asegurar en tu web es ocultar tu url de acceso a tu wordpress, para ello tienes varios plugins y dentro de todos yo recomiendo WPS Hide Login, pero si utilizas otra que te guste y hace lo mismo, genial. Este plugin funciona de manera muy sencilla, lo único que tienes que hacer es ir a los ajustes generales y al final del todo vas a tener la opción de elegir una url personalizada de acceso a tu WordPress para que no sea la típica de ‘/wp-admin’. Lo mejor es que no sea una palabra detectable por palabras concretas, sino mas bien algo más cercano a una contraseña, pero utilizando los caracteres permitidos en urls, así los ataques de fuerza bruta lo tendrán más complicado.
4. Utiliza captchas para proteger tus formularios
Necesario si estás bajo ataques de fuerza bruta, yo recomiendo Google reCAPTCHA, porque es una aplicación que va a proteger todos los formularios, ya sean de contacto, login, comentarios, compra etc. Lo puedes usar con el plugin Advanced Google Captcha Con esto te vas a proteger si tienes ataques intensivos y/o sufres de spam. Para proteger el formulario de acceso a tu WordPress re recomiendo que utilices su versión V2 que es mucho más seguro, te lo explico paso a paso:
1. Ingresa a Google reCAPTCHA admin (tienes que ingresar con una cuenta de google) y hacer clic en el + de añadir
2. ingresa un nombre, luego selecciona reCAPTCHA v2 > Casilla No soy un robot. Después ingresa tu dominio y un email del propietario, acepta los condiciones y al final, haz clic en enviar.
3. Copia las claves del CAPTCHA y luego tienes que ir a configuración
4. Importante, si estás bajo ataque selecciona la preferencia de seguridad la más segura y dale a guardar
5. Limita el número de intentos de acceso
Con el plugin Limit Login Attempts Reloaded vas a poder limitar el número de accesos y evitar los ataques de fuerza bruta y mantener controlado el número de accesos que hay en tu web wordpress, importante si tienes diferentes perfiles / usuarios en tu web. lo que más me gusta de este plugin son los datos y gráficos que te da sobre el número de intentos de acceso que tiene tu web.
Para este plugin, te recomiendo esta configuración:
6. Usa un detector de malware y cortafuegos (firewall)
Puedes usar cualquiera, pero yo recomiendo Wordfence que se actualiza constantemente y es fácil de usar y es bastante completa en su versión gratuita, ya que te sirve para escanear todos los archivos de web y revisar si tienes algo que no tienes controlado o si algo es sospechoso. Para usarlo lo tienes que activar primero obteniendo una clava de licencia que es gratuita, solo necesitas un email.
Lo primero que tienes que haces es ejecutar un análisis de tu web y seguir las recomendaciones del plugin:
