Вы находитесь на странице: 1из 73
Documento: Guía-práctica- seguridad-en- wordpress_final_v2.doc Guías prácticas www.tecnofilos.net  

Documento:

Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Guías prácticas www.tecnofilos.net

 

Edición:

1

Página:

0

of:

73

 

Publicado:

05-06-2014

Seguridad en WordPress Guía práctica

Creado por:

Paul Benítez

Para:

www.tecnofilos.net

Contenido

Pág.

1 DEDICATORIA

2

2 INTRODUCCIÓN

2

2.1

¿QUÉ TE PUEDE SUCEDER SI ALEGREMENTE DESCUIDAS LA SEGURIDAD DE TU WORDPRESS?

2

3 10 O MÁS FORMAS DE ASEGURAR WORDPRESS

5

3.1 CONTRATAR UN HOSTING PROFESIONAL Y DE CONFIANZA

5

3.2 REALIZAR COPIAS DE SEGURIDAD Y AUTOMATIZARLAS

8

3.2.1 ¿Tienes un sistema de copias de seguridad automatizado?

8

3.2.2 ¿De qué tengo que hacer copias de seguridad?

8

3.2.3 De acuerdo, ya sé de qué tengo que hacer las copias, ahora ¿cómo las hago y automatizo?

8

3.2.4 ¿Quieres ver en detalle cómo se hace?

9

3.2.5 ¿Se puede hacer de otro modo?

9

3.2.6 ¿Qué pasa si tengo un problema y tengo que emplear mi copia de seguridad? ¿Cómo

restauro mi blog o web?

9

4 MEDIDAS PRÁCTICAS DE SEGURIDAD PARA CONFIGURAR EN TU WORDPRESS

11

4.1

CAMBIA EL USUARIO ADMINISTRADOR POR DEFECTO

11

4.1.1 ¿Cómo, cuándo y dónde se hace esto?

11

4.1.2 Ejemplo práctico. ¿Cuántos intentos de acceso sin éxito se realizan en www.tecnofilos.net

con el usuario admin?

12

4.2 EMPLEA

CONTRASEÑAS EN CONDICIONES

14

4.3 CAMBIA EL PREFIJO DE LAS TABLAS POR DEFECTO

16

4.3.1 ¿Cuándo, cómo y dónde cambio el prefijo?

18

4.3.2 ¿Cómo cambio el prefijo de las tablas con Better WP Security o Ithemes Security?

20

4.4

EMPLEA LA CARACTERÍSTICA DE CLAVES ÚNICAS DE AUTENTIFICACIÓN

22

4.4.1 Entonces, ¿cuál de los dos archivos tengo que editar? wp-config o wp-config-sample.php 23

4.5 TU WORDPRESS

ACTUALIZA

24

4.6 TUS PLUGINS Y TEMAS

ACTUALIZA

27

4.7 EMPLEA UN PLUGIN DE SEGURIDAD

28

4.7.1 Better WP Security ahora iThemes

28

4.7.2 Security

29

4.7.3 Wordfence

29

4.7.4 AIO WP Security & Firewall Plugin

29

4.7.5 BulletProof Security

29

4.8

EVITA EL SPAM CON EL PLUGIN AKISMET

31

4.8.1

¿Cómo configuro Akismet para que me ayude con el SPAM?

31

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

1

of: 73

 

4.8.2

Ejemplo del trabajo que hace Akismet

33

5

OTRAS MEDIDAS PRÁCTICAS DE SEGURIDAD QUE TIENES A TU ALCANCE

34

5.1

LATCH EN WORDPRESS

34

5.1.1 ¿Qué es Latch?

34

5.1.2 ¿Quién está detrás de esta tecnología?

35

5.1.3 ¿Cuál es la idea de Latch?

36

5.1.4 ¿Qué necesito para empezar a probar y utilizar Latch?

36

5.1.5 ¿Cómo puedes proteger tu WordPress con Latch? ¿Cómo se configura?

37

5.2

MODIFICA EL ARCHIVO .HTACCESS

50

5.2.1 Las reglas para .htaccess preconfiguradas de perishablepress.com

51

5.2.2 5G Blacklist 2013

52

5.2.3 Localiza el archivo htaccess y edítalo

53

5.2.4 6G Beta / 6G Firewall

61

6

MI WEB ESTÁ INFECTADA CON MALWARE, ¿QUÉ PUEDO HACER?

61

6.1 ¿QUÉ PASA SI TENGO MI WEB INFECTADA POR ALGÚN VIRUS, MALWARE O ME LA HAN HACKEADO?

62

6.2 ¿CÓMO PUEDES SABER SI LA COPIA DE BLOG O WEB ESTÁ INFECTADA?

64

6.3 ¿QUÉ PROVEEDORES EXISTEN QUE TE AYUDAN A LIMPIAR TU BLOG O WEB?

64

6.3.1 Sucuri.net

64

6.3.2 ¿Qué ofrece sucuri.net?

65

6.3.3 HackRepair.com

66

7

¿QUIÉN SOY YO?

68

8

LÍMITE DE RESPONSABILIDAD

70

9

FUENTES

71

 

9.1

LISTA DE FUENTES

71

10

AVISO

72

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

2

of: 73

1

Dedicatoria

A

las 2 mujeres de mi vida, Patricia & Sandra.

Y

para ti, querido lector, por querer prevenir antes que curar, empezando a

valorar la seguridad de tu WordPress.

Feliz lectura. Ahí va…

2 Introducción

A día de hoy tengo la certeza de que la seguridad de tu blog (o sitio web) creado

con WordPress es una de tus preocupaciones por lo que, no me voy a ir por las

ramas y te voy a enseñar al menos 10 formas, buenas prácticas… pasos (como

queramos llamarlo) que puedes aplicar desde hoy mismo en tu blog o web para

reducir de forma notable la probabilidad de que tengas un compromiso.

A lo que tú me puedes preguntar, ¿a qué compromisos de refieres? A cualquiera

de estos, entre otros.

2.1 ¿Qué te puede suceder si alegremente descuidas la seguridad de tu WordPress?

Entre otras cosas:

1. Que te introduzcan en tu blog o web la web de un banco para hacer phising

o que te intenten engañar mediante phising para que te instales en tu blog un

plugin.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

3

of: 73

2.

Que te borren el blog o la web.

3.

Que empleen tu blog para ejecutar ataques DDOS

4.

Que hagan SPAM desde tu blog o web.

5.

alguien visita tu web o blog dicho programa se instalaba en el ordenador de

tu lector o visitante. El caso Javier EN.

6.

Que te suceda lo que a David o a Javier.

7.

Que te suceda lo que ha Catalina Echeverry (empleando blogger). La

prevención es cosa nuestra independientemente de la herramienta.

8.

Otros…

No te puedo dar garantías de que realizando los pasos que te indico en la guía

evites al 100% que te veas inmerso en alguno de estos problemas.

Garantizártelo sería temerario e imprudente por mi parte ya que la seguridad en

la web, como en la vida misma, es un capítulo vivo y en constante evolución.

En cambio, si decides aplicar lo que te explico en este documento puedes

reducir considerablemente la probabilidad de ser el protagonista de cualquiera

de las historias que antes te he mencionado.

En esta guía práctica te voy a mostrar al menos 10 pasos que están a tu alcance

y que puedes implementar desde hoy mismo en tu blog o web.

Son pasos fáciles de aplicar(te ayudaré a implementarlos) para conseguir que

tu sitio web sea más seguro y menos propenso a caer en manos de mentes

oscuras que quieren aprovecharse de tu sitio web o blog de algún modo u otro.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

4

of: 73

Mi intención es transmitirte los conocimientos prácticos que yo mismo he

adquirido para que tú tengas la certeza de que tu blog (o web) creado con

WordPress no se verá comprometido a las primeras de cambio.

Además, si incurres en un compromiso, tendrás la tranquilidad de que no

perderás tu trabajo.

Te adelanto que cuando termines de leer y de aplicar los consejos prácticos de

esta guía podrás enfocarte en otros asuntos, como:

1. La creación de contenido relevante en tu nicho

5. La estrategia de networking

6. Otras que consideres relevantes para el futuro de tu web o blog

En resumen, lo que vas a ver son los pasos que yo mismo aplico en todos los

sitios web o blogs que construyo o en los que colaboro. Hasta la fecha, los

compromisos que he experimentado los he podido solventar en tiempos

razonables.

Nota. Para elaborar esta guía práctica he recopilado información por Internet en

distintas fuentes, he tomado consejos recibidos, he consultado en redes sociales

y he plasmado mi propia experiencia. Todas las fuentes recopiladas se

mencionan al final, en el epígrafe de fuentes. ¡Vamos allá!

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

5

of: 73

3 10 o más formas de asegurar WordPress.

3.1 Contratar un hosting profesional y de confianza

A la hora de minimizar los riesgos de seguridad para tu blog o sitio web uno de

los aspectos a tener en cuenta es el hosting, dicho de otro modo…

¿Qué empresa de hosting me ofrece seguridad y confianza para alojar mi

sitio web o blog?

Te cuento. Existen multitud de servicios de hosting y no voy a entrar en el debate

sobre cual es más seguro o menos seguro, cual es mejor o cual es peor. Lo que

voy a hacer es proponerte los que en mi experiencia -y en experiencia de

personas cercanas- son proveedores de confianza, se preocupan por la

seguridad y te puedo recomendar, lo que no significa que, dado el caso, el

hosting donde estés actualmente alojado sea inapropiado, de poca confianza o

inseguro.

Si lo estimas oportuno, siente libre de hacerme tu consulta y trato de ayudarte a

valorarlo.

Por cierto, no te lo he dicho, pero esta guía contiene enlaces de afiliado. Si

compras un producto servicio desde alguno de mis enlaces obtendré una

comisión. Entre otras cosas, me ayudarás a pagar las facturas (luz, agua, gas,

libros de cole, ya sabes… ) y a seguir apostando por el proyecto. ¡Muchas gracias!

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

6

of: 73

Por favor, avísame si compras con uno de mis enlaces y en contrapartida cuenta

conmigo para ayudarte (sólo para los 20 primeros al mes) personalmente a

configurar lo que vas a ver en esta guía en tu blog o web si no terminas de

aclararte del todo con los pasos que aquí explico. Tienes la guía práctica y

además cuentas con mi ayuda para ejecutar todos los pasos. ¡¡100% beneficio

para ti!!

Te digo esto porque a veces soy un poco difícil de entender cuando escribo, me

lo dice mi hija.

Continuamos. Atendiendo a mi experiencia te puedo recomendar:

1. Hostgator. Se caracteriza por tener buenas prestaciones a bajo precio en

sus planes de alojamiento compartido Hatchling, Baby y Business. En mi

opinión, Hatchling y Baby son suficientes para empezar un pequeño sitio

web o blog. El plan Baby y Business te permiten alojar múltiples dominios,

lo que en mi opinión es muy recomendable contando con que el aumento

de precio es nada desmesurado.

El precio básico empieza en 3,96 dólares/mes al año. Si empleas el cupón

de descuento TECNOFILOS obtendrás un 25% de descuento adicional el

primer año en el plan que contrates. Precio más que ajustado.

2. Siteground. Puede ser tu hosting de entrada también. Su precio es más

elevado lo que en contrapartida se traduce en que tienes a tu servicio una

serie de prestaciones adicionales enfocadas a, la seguridad de

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

7

of: 73

WordPress (auto-actualización de WordPress, servidores compartidos

seguros, protección de las cuentas de usuarios aislando unas de otras) a

la velocidad (servidores y software más potente, repartidos por todo el

mundo) y un equipo de especialistas en WordPress a tu disposición

(tiempos de respuesta de atención de 15 minutos o menos en sus sistema

de tickets, de 10 segundos en llamadas por teléfono y sin apenas esperas

en el sistema de chat online). El inconveniente es que el inglés es el idioma

de contacto y soporte.

Los planes StartUp, GrowBig y GoGeek tienen un precio especial del 50%

sobre su precio habitual durante el primer año. El segundo año y

sucesivos, su precio se duplica. A tener en cuenta.

Su precio básico, StartUp empieza en 3,95 euros/mes el primer año. El

segundo asciende a 7,95 euros y sucesivos.

Actualmente, para www.tecnofilos.net y otros proyectos tengo contratado

el plan GrowBig.

3. Webempresa. Puede ser tu hosting de entrada también, su precio es

similar a Siteground pero sin el inconveniente de éste, es decir, tienes un

equipo de soporte para WordPress en castellano.

Su precio básico empieza en 5.93 euros/mes al año.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

8

of: 73

Cualquiera de estos tres proveedores es una buena alternativa si estás

pensando en crearte un blog o una web e incluso si estás pensando cambiarte

de hosting. Si es tu caso, te dejo un tutorial ampliado y práctico donde puedes

ver paso a paso cómo realizar la migración. ¡Video incluido!

3.2 Realizar copias de seguridad y automatizarlas

Tienes tu blog (o web) construido con WordPress, instalado, operativo en tu

hosting y recibes cientos, miles de visitas, comentarios a diario y además vendes.

Vamos que tienes un blog que es todo un éxito.

3.2.1 ¿Tienes un sistema de copias de seguridad automatizado?

Si tu respuesta es no, ya sabes por donde tienes que empezar. Ve al punto 3.2.2

Si tu respuesta es que si, puedes continuar con el punto 4.

3.2.2

¿De qué tengo que hacer copias de seguridad?

1.

De la base de datos de WordPress.

2.

De los archivos que componen tu blog o web.

3.2.3

De acuerdo, ya sé de qué tengo que hacer las copias, ahora ¿cómo las hago y automatizo?

Empleando un plugin de copias de seguridad como puede ser BackWPup.

También puedes emplear Duplicator, aunque éste actualmente no cuenta con la

posibilidad de automatizarlas.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

9

of: 73

3.2.4 ¿Quieres ver en detalle cómo se hace?

Tienes un tutorial sobre BackWPup en este enlace. Aquí tienes otro donde

3.2.5 ¿Se puede hacer de otro modo?

Sí, pero se escapa del ámbito de esta guía. BackWPup cubre a la perfección este propósito.

Importante. Pregunta a tu proveedor de hosting si realiza copias de seguridad.

En caso de que tengas un problema y no tengas tus propias copias, te puede ser

de mucha ayuda. Dependiendo del plan que contrates tienes este servicio

operativo o no. En el caso de Siteground y Webempresa tienen planes que

incluyen este servicio. Hostgator me consta que no. Pregunta de todos modos.

Aunque tu proveedor haga copias por su cuenta, mi consejo es que también

hagas las tuyas propias.

3.2.6 ¿Qué pasa si tengo un problema y tengo que emplear mi copia de seguridad? ¿Cómo restauro mi blog o web?

Pues eso, que ya tienes algo de pericia, sabes hacer las copias de seguridad de

WordPress, las tienes automatizas y resulta que un día tienes un problema. Tu

web no funciona, te la han hackeado, tiene un compromiso, han o has borrado

todos los artículos que tenías publicados, has cambiado la plantilla y la has liado

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

10

of: 73

parda, en fin, tienes un día negro (créeme lo tendrás) y en ese momento caes en

la cuenta de que tienes tus flamantes copias de seguridad. Ya sabes que soy un

tipo cauto y precavido. ¡Juas, juas!

¿Por dónde empiezas si tienes un problema que se resuelve con la copia de

seguridad?

No te pongas nervioso, twitter es tu amigo y el soporte técnico de tu hosting

también. Si tienes claro lo que tienes que hacer, adelante con ello. Si tienes

dudas, pregunta.

¿Dónde?

1. El primer lugar es recurrir al soporte técnico de tu proveedor de hosting.

2. En twitter puedes conseguir ayuda. Pregunta en 140 caracteres.

3. Puedes leer este tutorial que te puede servir de orientación. ¡Ojo! El

tutorial está pensado si estás empleando el plugin BackWPup. Si estás

empleando otro plugin u otra herramienta tendrás que conocer dicha

herramienta o pedir ayuda en su foro a sus desarrolladores.

4. Puedes contactar conmigo, contarme tu caso, valoramos el escenario y

llegamos a un acuerdo.

a. Si quieres que te resuelva el problema y está a mi alcance, te daré

una solución, una estimación de tiempo y los costes para dejarlo

como estaba.

b. ¿Te parece razonable? Contacta conmigo entonces.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

11

of: 73

4 Medidas prácticas de seguridad para configurar en tu WordPress

4.1 Cambia el usuario administrador por defecto

Cuando instalas WordPress el usuario por defecto que se establece como

usuario administrador de tu sitio web o blog es un usuario llamado “admin”, a

no ser que decidas lo contrario. Estás en lo cierto, tienes que cambiarlo.

4.1.1 ¿Cómo, cuándo y dónde se hace esto?

En el momento de la instalación lo puedes hacer

Durante uno de los pasos de la instalación de WordPress tienes que decidir el

nombre del usuario que vas a emplear. Por defecto te propondrá admin.

Cámbialo por otro, tal y como ves en la imagen.

admin. Cámbialo por otro, tal y como ves en la imagen. Guía-práctica-seguridad-en-wordpress_final_v2.doc
Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

12

of: 73

Si ya tienes instalado WordPress.

Crea un nuevo usuario con el perfil de administrador y a continuación modifica

el perfil del usuario admin o incluso elimínalo.

modifica el perfil del usuario admin o incluso elimínalo. 4.1.2 Ejemplo práctico. ¿Cuántos intentos de acceso

4.1.2 Ejemplo práctico. ¿Cuántos intentos de acceso sin éxito se realizan en www.tecnofilos.net con el usuario admin?

En la captura de pantalla que te muestro a continuación puedes hacerte una

idea aproximada de la cantidad de veces que han intentado acceder a la

administración de mi blog www.tecnofilos.net empleando el usuario admin. Si

tienes una web o un blog con WordPress también te pasará a ti.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

13

of: 73

Edición : 1 Página : 13 of: 73 En la imagen superior ves un registro de

En la imagen superior ves un registro de la hora, el nombre de usuario y la

cantidad de intentos (338). Si bien no se ven todos, te adelanto que en el 95%

aprox. de los intentos de acceso, el usuario con el que se intenta acceder es el

usuario admin. Esta información la he obtenido con el plugin de seguridad

En estos momentos mi web es una web con pocas visitas, no llega a las 4000

visitas al mes y por los registros que tengo, en un día, al menos 10 veces intentan

acceder empleando dicho usuario. De todos modos, la cantidad de visitas que

tenga tu web poco importa. Los intentos de acceso (ataques) los vas a recibir

igualmente.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

14

of: 73

¿Te imaginas que pasaría si dejo mi usuario por defecto como admin y en un

descuidodejo también la contraseña por defecto admin o una muy sencilla

como 123456 o algo parecido? No hace falta que te responda.

Recientemente se ha producido el que hasta la fecha es el mayor ataque de

fuerza bruta contra WordPress. Si quieres más detalles pásate por ayudawp.com

y léete el artículo relacionado.

De cualquier modo, recuerda curarte en salud y cambiar el usuario admin

de WordPress por defecto.

4.2 Emplea contraseñas en condiciones

Otra forma de asegurar tu WordPress es emplear contraseñas largas de ocho

caracteres al menos, mezclando mayúsculas, minúsculas y números. Si

introduces también caracteres especiales mejor aún.

Aquí el tema está en quién es el simpático que consigue memorizarse una

contraseña así. No es tarea fácil pero seguro que alguien es capaz. No seré yo.

Para el tema de las contraseñas te recomiendo una herramienta para ayudarte y

que personalmente llevo empleando desde hace más de 5 años. Se trata de

LastPass, una aplicación muy buena tanto para crear todas tus contraseñas

como para administrarlas y guardarlas en un lugar seguro.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

15

of: 73

LastPass se instala como complemento en todos los navegadores, dispone de

versión gratuita y de versión de pago. En la versión de pago destaca la

disponibilidad para prácticamente todos los smartphones de todas las marcas

que hay en el mercado. Su coste es de tan solo 12 euros al año.

Te dejo un par de capturas de pantalla de LastPass donde puedes ver la

herramienta de generación de contraseñas seguras.

ver la herramienta de generación de contraseñas seguras. 1. Botón para generar contraseñas aleatorias. Cada vez
ver la herramienta de generación de contraseñas seguras. 1. Botón para generar contraseñas aleatorias. Cada vez

1. Botón para generar contraseñas aleatorias. Cada vez que hacer clic sobre

el botón se genera una contraseña de 12 caracteres.

2. Barra que te muestra nivel de robustez de tu contraseña.

3. Generará por norma contraseñas con mayúsculas, minúsculas y números.

4. Puedes configurar caracteres especiales en tus contraseñas. Si activas esta

opción y generas una nueva contraseña verás que la barra de nivel de

robustez mejora.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

16

of: 73

¡Ahora no podrás decir que no sabes cómo crear una contraseña en

condiciones!

4.3 Cambia el prefijo de las tablas por defecto

Todo WordPress requiere de una base de datos para funcionar y cada

WordPress que se instala en cualquier rincón del mundo tiene las mismas tablas

(10 tablas) que tiene el que tú vas a instalar, el que ya has instalado o con el que

ya trabajas. Un apunte, si tienes plugins instalados tendrás más de 10 tablas.

¿Y esto que tiene que ver con el prefijo de las tablas y con la seguridad?

Te lo explico con otra pregunta. Es un poco gallego, pero…

¿Se pueden instalar varios WordPress en una misma base de datos?

Si. A lo que te formulo la siguiente pregunta.

¿Cómo sabe cada WordPress cuáles son las tablas con las que tiene que

trabajar si todos están empleando la misma base de datos? ¿Me sigues?

Mediante el prefijo, un conjunto previo de caracteres que tú elijes y se inserta al

principio del nombre de cada tabla de WordPress. Así se determina que tablas

son para una instalación de WordPress y que tablas son para otra. Te lo muestro

con una imagen para que lo entiendas mejor.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

17

of: 73

En esta imagen lateral lo puedes ver con más claridad:

1. Base de datos wordpress

2. Tablas que componen la base de datos wordpress

con el prefijo wp_

¿Cuál es el prefijo que por defecto se emplea en

WordPress?

Tal y como ves en la imagen, el prefijo es wp_

WordPress? Tal y como ves en la imagen, el prefijo es wp_ Me queda claro lo

Me queda claro lo del prefijo de las tablas pero, ¿qué tiene que ver esto con

la seguridad?

El argumento es sencillo, verás. Al igual que tú sabes esto que te acabo de

contar, es decir, que el prefijo por defecto de las tablas de WordPress es el

mismo para todos los WordPress al igual que el nombre de sus tablas, las

mentes malintencionadas también lo saben y aquí está el problema.

¿Por qué? Porqué más del 18% de las páginas web (cifra en constante

crecimiento) que hay por el mundo están construidas con WordPress. Esta cifra

supone un pastel muy grande de sitios webs susceptibles de interés para mentes

oscuras que saben que se pueden beneficiar enormemente de los descuidos de

seguridad de los usuarios haciéndose con el control de sus blogs o webs.

Dichas mentes pueden emplear este conocimiento para usos inapropiados y

tratar de comprometer un gran número de sitios web con fines maliciosos, fines

como algunos de los que te he mencionado en la introducción.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

18

of: 73

Por tanto, está a tu alcance ponérselo un poco más difícil a las mentes oscuras,

¿cómo?

menos probabilidades tendrás de ver comprometido tu sitio web o blog.

cambiando el prefijo de las tablas de tu WordPress

. Te curarás en salud y

4.3.1 ¿Cuándo, cómo y dónde cambio el prefijo?

Se pueden dar dos casos:

4.3.1.1 Caso (A). Si todavía no has instalado WordPress.

4.3.1.2 Caso (B). Si ya tienes instalado WordPress.

(A) Durante la instalación de WordPress se piden unos datos básicos (1), entre

ellos, el nombre de la base de datos, el nombre de usuario administrador de la

base de datos, la contraseña, el host de la base de datos y (2) el prefijo de las

tablas. Por defecto, si no tocas nada, el prefijo para todas tus tablas (2) es “wp_”.

Ahora es cuando te toca ser el protagonista. Cambia el prefijo.

es cuando te toca ser el protagonista. Cambia el prefijo. Guía-práctica-seguridad-en-wordpress_final_v2.doc
Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

19

of: 73

Vale, yo soy el protagonista pero ¿qué prefijo tengo que poner? La idea en este

punto es que sea poco predecible.

Te dejo unos ejemplos prácticos de prefijos que puedes emplear en tu web o

blog.

kmq69un_

ipbn5ig_

pvm6h34v_

hady9j6cn_

gm740vko_

xcal7d0c_

Nota. Todos los prefijos que has visto se han creado empleando una de las

funcionalidades del plugin Better WP Security, ahora Ithemes Security. Si no

estás inspirado, puedes copiar, pegar y listo.

(B) En el caso de que ya tengas tu WordPress instalado la forma más sencilla

que he encontrado (hasta la fecha) de modificar el prefijo de las tablas es

empleando una de las funcionalidades del plugin Ithemes Security.

Te explico cómo hacerlo.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

20

of: 73

4.3.2

¿Cómo cambio el prefijo de las tablas con Better WP Security o Ithemes Security?

Si todavía estas con Better WP Security (ver imagen inferior)

Seguridad > Prefijo > Cambiar prefijo de las tablas. Cada vez que presionas el botón, éste

cambia inmediatamente el prefijo en las tablas de base de datos.

inmediatamente el prefijo en las tablas de base de datos . Guía-práctica-seguridad-en-wordpress_final_v2.doc
Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

21

of: 73

Si ya trabajas con iThemes Security (ver imagen inferior)

Si ya trabajas con iThemes Security (ver imagen inferior) Existen otras formas de cambiar las tablas

Existen otras formas de cambiar las tablas que no se contemplan en esta guía.

Te dejo un par de enlaces relevantes donde se muestran otras maneras si no

quieres instalar el plugin, aunque en mi opinión lo más sencillo es emplearlo. Lo

dejo a tu discreción.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

22

of: 73

4.4 Emplea

la

característica

autentificación

de

claves

únicas

de

La característica de claves únicas de autentificación o claves secretas es una

prestación que viene de serie desde la versión 2.6 de WordPress que por lo que

he visto pasa bastante desapercibida. A partir de ahora no será ningún misterio

para ti.

Te explico. Su configuración es manual y con un poco de ayuda, en mi opinión y

experiencia, es sencilla de implementar para cualquier usuario de WordPress.

La configuración se resume en editar el fichero de configuración wp-config.php

o wp-config-sample.php. Estos archivos los localizas en la carpeta raíz de tu

blog.

Estos archivos los localizas en la carpeta raíz de tu blog. Guía-práctica-seguridad-en-wordpress_final_v2.doc
Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

23

of: 73

4.4.1 Entonces, ¿cuál de los dos archivos tengo que editar? wp-config o wp- config-sample.php

Se pueden dar dos casos:

4.4.1.1 Si todavía no has instalado tu web o blog la configuración pasa por

editar el archivo

wp-sample-config.php

.

4.4.1.2 Si ya tienes tu web o blog operativo y funcionando tienes que editar

el archivo

wp-config.php

En cualquiera de los dos casos anteriores, los pasos para configurar estos

archivos, y por tanto esta característica, son los siguientes:

2. Te aparecerá un sitio como el de la imagen inferior. Copias todas las

líneas.

como el de la imagen inferior. Copias todas las líneas. Guía-práctica-seguridad-en-wordpress_final_v2.doc
Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

24

of: 73

3. Localiza el archivo wp-config.php o wp-sample-config.php según tu

escenario y pegas todas las líneas que has copiado antes. Tienes que

sustituir lo que te recuadro en rojo en la imagen inferior -líneas 45 a las

52-.

en rojo en la imagen inferior - líneas 45 a las 52 -. Con este cambio

Con este cambio lo que consigues es fortificar tu WordPress y hacer más difícil la

posibilidad de que las mentes oscuras puedan tener acceso a las contraseñas de

tus usuarios de la web o blog empleando malas artes. Tienes más detalles sobre

estas claves en ayudawp.com.

Ha sido fácil, ¿me equivoco? Te dejo un videotutorial por si acaso.

4.5 Actualiza tu WordPress

Otra medida de seguridad que está a tu alcance es mantener tu sitio web

construido con WordPress actualizado. O dicho de otro modo, mantener un sitio

construido con WordPress desactualizado es una golosina para los malos.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

25

of: 73

Tomo prestada una frase de sinlios.com: “…las actualizaciones corrigen errores

de todo tipo, la mayor parte de las veces funcionales o meramente estéticos,

pero

en ocasiones estos errores tienen que ver con la seguridad

.”

Por tanto, mantener actualizado tu WordPress es una garantía de estar al día en

cuanto a los posibles errores de seguridad y si tomas la decisión de no actualizar,

tienes que ser consciente de que estarás expuesto a las posibles amenazas

derivadas de esos fallos de seguridad no corregidos.

Hasta aquí todo claro, ahora, la propia actualización tiene sus riesgos, por lo que,

antes de actualizar ten la precaución de tener hecha una copia de seguridad de

tu sitio. Es una práctica que nunca hacemos y luego nos toca llorar.

Una vez tengas los deberes hechos y veas notificaciones para actualizar como las

que se muestran en la imagen inferior, mi consejo es que trates de estar al día e

instalarlas.

mi consejo es que trates de estar al día e instalarlas. Puede que tengas la experiencia

Puede que tengas la experiencia de que al actualizar WordPress alguno de tus

plugins o temas dejan de funcionar y ya tienes el lio en casa. Si tienes esta

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

26

of: 73

experiencia, no te queda otra que tomar una decisión: “¿espero a tener la certeza

de que todos mis plugins son compatibles con la nueva versión?o, “¿asumo los

riesgos de actualizar. Tendrás que decidir ser más o menos cauto.

Otra alternativa nada dolorosa (pero que consume tiempo) y altamente

recomendable es tener un laboratorio de pruebas que sea literalmente un clon

real de tu blog. Actualizas WordPress al clon de tu laboratorio y si todo va bien,

actualizas tu blog real. Esto puede parecer un trabalenguas. ¿Quieres que te

monte un laboratorio de pruebas? ¿Te interesa? Contacta conmigo.

Si tienes tu copia de seguridad y sabes restaurarla ágilmente podrías tomar la

decisión de instalar la actualización y comprobar que todo sale bien, o no.

Puedes darse dos escenarios:

1. ¡He actualizado y todo funciona perfecto! ¡Ole! o por el contrario,

2. ¡Mierda! ¡La he liado parda y ahora no me funciona ni esto ni lo otro, quien

c… me manda a mí actualizar!

Puedes también optar por ser cauto, no ser el primero en actualizar y esperar las

noticias que se publican tras la nueva actualización. Mientras puedes estar al

corriente del trabajo que hacen los desarrolladores de los plugins que tienes

instalados en tu blog y atento al momento en que tengas suficiente información

sobre su compatibilidad con la nueva versión de WordPress. Si no hay nada gris,

tras pasar un tiempo prudencial, actualiza.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

27

of: 73

4.6 Actualiza tus plugins y temas

El mismo argumento que te expongo para WordPress hay que tenerlo en cuenta

también con los plugins y los temas.

Mantén actualizados tus plugins y temas tan pronto como te sea posible. Huye

de plugins que estén desactualizados, de plugins donde el desarrollador no le da

continuidad al mismo y donde el soporte no es bueno ni ágil.

Consejo. Nunca instales plugins desactualizados en tu web o blog de fuentes

poco confiables. Lo mejor es emplear el repositorio oficial de plugins de

WordPress o proveedores que te inspiren confianza, bien sean premium o no.

Al final, se trata de lo bien que te resuelve la vida tal plugin para tal propósito,

pero no solo de eso, sino también de las personas están detrás del desarrollo,

soporte y continuidad del mismo. Dicho de otro modo, si el plugin hace algo

bueno por ti, pero las personas que están detrás del mismo no invierten tiempo

ni esfuerzo en su mejora y soporte, entonces, ese plugin ya no es tan bueno para

ti. Cuidado con esto.

Recuerda que siempre conviene realizar una copia de seguridad antes de

ponerte a actualizar los plugins. Recuerda también que otra alternativa es tener

tu propio laboratorio de pruebas. Actualizas tus plugin en el laboratorio de

pruebas y si todo va bien, actualizas tu blog real (o web) con la certeza de que

todo irá bien.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

28

of: 73

4.7 Emplea un plugin de seguridad

Otra medida que puedes emplear para asegurar tu WordPress es instalar un

plugin de seguridad. En mi opinión, altamente recomendable ya que te hace la

vida más fácil.

Te enumero cinco plugins de seguridad recomendados. La idea no es

instalártelos todos, sino emplear uno. De los mencionados hay dos que destacan

por el alto volumen de descargas que tienen, Better WP Security (iThemes

Security) y WordFence. En estos momentos rondan los 2 millones de descargas

cada uno.

4.7.1 Better WP Security ahora iThemes Security.

Más de 2 millones de descargas. El ratio de críticas es de 4.7 sobre 5. Es gratuito

con opciones de pago premium. Lo puedes descargar desde el repositorio de

Te ayuda en la configuración de más de 30 opciones para proteger tu sitio web o

blog.

y un artículo extendido

sobre iThemes Security. Si quieres aprender a configurarlo, te recomiendo que

te des una vuelta por esos artículos. Si quieres que colabore contigo en su

Tienes un tutorial ampliado sobre Better WP Security

configuración contacta conmigo y lo valoramos.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

29

of: 73

4.7.2 Security Ninja.

Más de 2400 compras. Tiene un ratio de críticas de 4.51 puntos sobre 5. Lo

puedes conseguir en codecanyon.net. Se trata de un plugin de pago muy

económico (10$).

4.7.3 Wordfence

Apunto de llegar a los 2 millones de descargas. Tiene un ratio de críticas de 4.9

sobre 5. Es gratuito con opciones de pago premium. Lo puedes descargar desde

Actualmente lo estoy probando. Permanece atento a mi blog para estar al tanto.

4.7.4 AIO WP Security & Firewall Plugin

Descargado más de 267.000 veces. El ratio de críticas es de 4.9 sobre 5. Lo

puedes conseguir en el repositorio de WordPress y es completamente gratuito.

A pesar de no haberlo probado hay una opción que me ha llamado la atención y

es que te ayuda a configurar en tu blog web las reglas 5G Blacklistcortesía de

Perishable Press” de las que hablaré más adelante.

4.7.5 BulletProof Security

Descargado más de 1 millón de veces. Tiene un ratio de críticas de 4.8 sobre 5.

Lo puedes conseguir en el repositorio de WordPress. Es gratuito aunque cuenta

con una versión de pago profesional a un coste de 60$.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

30

of: 73

De todos los plugins anteriores he probado Better WP Security, actualmente

renombrado a iThemes Security. Te recomiendo su uso. También estoy

probando WordFence del que próximamente escribiré en el blog.

Mirando las cifras de descargas, entre los dos plugins, en estos momentos tienen

la friolera de más 4 millones desde el repositorio oficial de WordPress

encontrándose ambos en el top 15 de plugins más populares del repositorio de

WordPress.

La interpretación de estas cifras es que estamos ante dos plugins que generan

mucho interés entre la comunidad WordPress. Y es que la seguridad siempre es

un tema de interés y relevancia.

¿Cuál es mejor?

Eterna pregunta. Ni uno ni otro, me explico. Si quieres incrementar la seguridad

en tu blog o web creada con WordPress, evitar correr riesgos y no ser el

protagonista de alguno de los puntos que te he mencionado en la introducción,

cualquiera de los dos plugins es una excelente opción. Es más, a pesar de no

haber probado los otros tres que también te comento, me atrevo a decir que

cualquiera de ellos es igualmente una muy buena opción.

Lo que no te recomendaría es instalar dos plugins de este tipo a la vez a la vez,

es decir, emplearía uno u otro, pero no varios a la vez. Mi interpretación es que

podrías tener algún problema dado que son herramientas pensadas para lo

mismo, no complementarias entre sí. Mi postura es que no es aconsejable.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

31

of: 73

Dado que hay gente para todo, en este hilo del foro de WordPress.org se plantea

esta posibilidad, tener instalados a la vez WordFence y Better WP Security. Si te

lees el hilo te adelanto que no se observan problemas de incompatibilidad a la

vista… Lo dejo a tu discreción.

4.8 Evita el SPAM con el plugin akismet

Una de los problemas a los que te enfrentas cuando creas tu blog es el SPAM.

Akismet es la mejor herramienta hasta la fecha (que yo conozco) para ventilarte

de un plumazo el SPAM. Literalmente te olvidas del SPAM con este plugin.

Akismet viene preinstalado en WordPress, lo único que tienes que hacer es

activarlo.

4.8.1 ¿Cómo configuro Akismet para que me ayude con el SPAM?

1. Activa el plugin

Akismet para que me ayude con el SPAM? 1. Activa el plugin 2. Activa la cuenta

2. Activa la cuenta de Akismet

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

32

of: 73

Edición : 1 Página : 32 of: 73 En este punto tienes que conseguir tu clave

En este punto tienes que conseguir tu clave API (2). Una vez obtenida, tienes que

pegarla en el campo (3) y hacer clic en Usar esta clave. Desde ese momento

Akismet se pone en modo trabajo y se encarga del SPAM por ti. ¡Listo!

pone en modo trabajo y se encarga del SPAM por ti. ¡Listo! 3. La clave API

3. La clave API la obtienes desde la web de Akismet

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

33

of: 73

Edición : 1 Página : 33 of: 73 4.8.2 Ejemplo del trabajo que hace Akismet En

4.8.2 Ejemplo del trabajo que hace Akismet

En la imagen inferior tienes una captura de pantalla con 891 comentarios

moderados por Akismet en el blog www.tecnofilos.net en un momento

determinado. Si tienes tiempo -y ganas-, puedes revisar todos los comentarios

de spam y ver si se le ha escapado alguno a Akismet. En caso contrario,

directamente elimina todos y a otra cosa.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

34

of: 73

Edición : 1 Página : 34 of: 73 5 Otras medidas prácticas de tienes a tu

5 Otras

medidas

prácticas

de

tienes a tu alcance

5.1 Latch en WordPress

5.1.1 ¿Qué es Latch?

seguridad

que

Si tomamos la descripción literal de su web Latch es tu interruptor de

seguridad digital.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

35

of: 73

Dicho a mi manera, es un pestillo, un cerrojo que quitas o pones a voluntad, solo

que en vez de hacerlo en la puerta de tu casa, lo haces en cada una de tus

identidades digitales, esto es, ponerle un pestillo al usuario y contraseña de cada

uno de los servicios que tengas en Internet. El pestillo es un segundo elemento

de seguridad que controlas a voluntad.

Nota. Cuando menciono identidades digitales en esta guía práctica interprétalo

como un usuario y una contraseña, es decir, una entidad es la suma del usuario

y la contraseña. En este artículo tienes más información sobre la identidad

El interruptor de seguridad es una tecnología española, muy reciente, que de

momento no se emplea masivamente en multitud de servicios de Internet. Poco

a poco va avanzando. Cuenta con el apoyo y la financiación de Telefónica, de

hecho, Telefónica ha creado la empresa Elevenpaths, entre otras cosas, para

distribuir esta tecnología. Esto promete.

5.1.2 ¿Quién está detrás de esta tecnología?

Aparte del músculo financiero de Telefónica, en la parte tecnológica del asunto

tenemos a Chema Alongo, @Chemaalonso, uno de los grandes artífices de este

invento. Chema es el responsable del blog Un informático en el lado del mal,

experto en asuntos de seguridad, conocido internacionalmente por esta faceta y

cuenta con un sentido del humor muy particular.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

36

of: 73

Se trata de una persona muy coloquial, amena que suele cae bien al resto del

mundo.

5.1.3 ¿Cuál es la idea de Latch?

La idea de Latch es sencilla, ayudarnos a proteger nuestras identidades digitales

con un segundo factor de seguridad, el pestillo o cerrojo digital.

Latch tiene diferentes usos pero en esta guía práctica nos vamos a centrar en

¿cómo nos puede ayudar Latch a incrementar la seguridad en nuestro

WordPress?, o dicho de otro modo, ¿cómo puedes proteger tu WordPress con

Latch?

5.1.4 ¿Qué necesito para empezar a probar y utilizar Latch?

Antes de introducirte de lleno en responderte a la pregunta anterior, te muestro

como puedes comenzar con Latch y lo que necesitas.

1. Registrarte como usuario en la web de Latch

2. Un móvil al que instalarle la aplicación Latch. ¿Quién no tiene un móvil hoy en

día?

a) Android

b) Iphone

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

37

of: 73

a) Por ejemplo, puedes darte de alta como cliente en el banco virtual Nevele

Bank y comenzar a probar Latch. A tu discreción. Si eres cliente de

Movistar tienes Latch operativo para que hagas uso y disfrute.

4. Empezar a disfrutar de las bondades de Latch. Con tu cuenta de usuario de

Latch, tu aplicación móvil instalada en tu terminal y un servicio online que

tiene configurado Latch en sus sistemas tienes todos los argumentos para

empezar a disfrutar de tu pestillo digital.

Coloquialmente hablando, el proceso de configuración del pestillo lo

llamamos “parear”. Se trata de relacionar tu aplicación móvil con tu servicio

de Internet. Es lo último que tienes que hacer para darle vida al asunto.

5.1.5 ¿Cómo puedes proteger tu WordPress con Latch? ¿Cómo se configura?

Vamos a lo práctico. Parto de la base de que tienes tu blog -o web- creado con

WordPress y eres el administrador, el webmaster, es decir, la persona

responsable del sitio.

5.1.5.1 Implantar latch en tu blog en 6 pasos

1. Créate una cuenta de desarrollador en la web de Latch

Si te habías creado una cuenta de usuario, esa misma te sirve para registrarte en

el área de desarrollo. No te asustes si no eres desarrollador. Lo que te va a hacer

falta no requiere de ninguna pericia ni conocimiento en desarrollo ni nada por el

estilo. Pasos:

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

38

of: 73

a. Rellena los campos obligatorios y listo (nombre, correo, contraseña,

confirmación de contraseña y aceptas).

b. Regístrate y completa la validación de tu cuenta.

c. Por último accede al área de desarrolladores.

cuenta. c. Por último accede al área de desarrolladores. 2. Da de alta una nueva aplicación.

2. Da de alta una nueva aplicación.

Emplea el nombre que tú quieras. En el momento de crearla se generan los

datos “ID aplicacióny Token secretoque son fundamentales y te harán falta

para integrar tu WordPress con Latch.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

39

of: 73

Haz clic en Mis aplicaciones (1) y añade una nueva aplicación (4). En la imagen

inferior puedes ver que tengo 2 aplicaciones creadas (2) y (3).

puedes ver que tengo 2 aplicaciones creadas (2) y (3). Ponle un nombre y haz clic

Ponle un nombre y haz clic en Añadir la aplicación

y (3). Ponle un nombre y haz clic en Añadir la aplicación Guía-práctica-seguridad-en-wordpress_final_v2.doc
Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

40

of: 73

A continuación, verás que tienes acceso a estos datos.

(1) ID de aplicación. Este código lo vas a necesitar más adelante.

(2) Token Secreto. Este código lo vas a necesita más adelante

(3) Imagen. Este es un detalle que puedes modificar a tu gusto pero

tampoco es estrictamente relevante. Yo he subido un logo representativo

de WordPress. A tu discreción.

2º factor OTP. Lo dejamos deshabilitado.

discreción.  2º factor OTP. Lo dejamos deshabilitado. Suficiente hasta aquí, es decir, no es necesario

Suficiente hasta aquí, es decir, no es necesario modificar ni añadir nada más.

En la parte inferior de la imagen anterior verás un botón que indica GUARDAR

CAMBIOS. Haz clic sobre el y a continuacion clic en Mis aplicaciones en el menu

lateral izquierdo.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

41

of: 73

En este punto has terminado el trabajo en el area de desarrollador de Latch.

Fíjate que en la imagen inferior tienes la lista de aplicaciones que has creado.

Sobre cada una de ellas tienes la posibilidad de editarla, eliminarla o acceder al

panel de control.

de editarla, eliminarla o acceder al panel de control. 3. Descarga e instala el plugin Latch

3. Descarga e instala el plugin Latch en tu WordPress.

Ahora toca descargarte el plugin de Latch para WordPress. Este proceso es

sencillo. Tan solo cae en la cuenta de que el archivo zip que te descargas se

llama latch-plugin-wordpress-master.zip y dentro de ese archivo hay otro

archivo llamado Latch.zip.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

42

of: 73

Este último archivo es el plugin que tienes que instalar en tu WordPress.

Imagino que tarde o temprano lo subirán al repositorio de WordPress para

hacerlo más sencillo si cabe.

repositorio de WordPress para hacerlo más sencillo si cabe. Plugin instalado y activo

Plugin instalado y activo

hacerlo más sencillo si cabe. Plugin instalado y activo Guía-práctica-seguridad-en-wordpress_final_v2.doc
Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

43

of: 73

Nota. Doy por hecho que sabes instalar un plugin y activarlo, en caso contrario,

contacta conmigo o si lo prefieres date una vuelta por este video. Se muestra

como instalar y activar un plugin.

4. Configura el Plugin con el “ID aplicación” y el “Token Secreto”.

Haz clic en el menú

aplicación y Token Secreto que se han generado desde el área de desarrollador

. Ahora introduce los datos ID

Ajustes / Latch Settings

de WordPress en el paso 2. Guardar los cambios y listo.

En estos momentos ya tienes tu WordPress configurado para hacer uso de Latch.

Tú y los usuarios de tu blog o web- os podéis empezar a beneficiar de esta

herramienta de seguridad, el pestillo digital.

de esta herramienta de seguridad, el pestillo digital. Guía-práctica-seguridad-en-wordpress_final_v2.doc
Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

44

of: 73

Si tienes alguna duda con el proceso que hasta aquí te he comentado puedes

recurrir a la guía propia elaborada por ElevenPaths. Lo dejo a tu discreción.

También puedes contactar conmigo para valorar una posible colaboración si lo

deseas.

Bien, ya tienes la tecnología desplegada en tu WordPress. Vamos a usarla pues

¿a qué esperas?

5. Activa el pestillo digital en tu usuario de WordPress

Acceder a Usuarios > Tu perfil. Localiza el epígrafe que indica Latch Setup.

Tendrás que completar el campo Latch token.

Latch Setup . Tendrás que completar el campo Latch token. 6. ¿De dónde saco el dato

6. ¿De dónde saco el dato que hay que poner en Latch token?

De la aplicación Latch que tienes instalada en tu móvil (si no la tienes instalada

ya sabes, PlayStore u otros y a instalar).

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

45

of: 73

Latch disponible en Google Play

Página : 45 of: 73 Latch disponible en Google Play Acceso directo a Latch en el

Acceso directo a Latch en el móvil

en Google Play Acceso directo a Latch en el móvil Ve a por tu móvil y

Ve a por tu móvil y abre la aplicación Latch. Fíjate en la parte inferior

de

la

imagen 1 (ver página 46) donde dice “Código de pareado para nuevo servicio”.

Presiona sobre esa opción y verás (imagen 2) que se genera un código de

pareado.

Dicho código es el que tienes que poner en el campo Latch token de tu perfil

en WordPress. Por último, actualiza. Si no lo haces, no se completa el proceso de

pareo.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

46

of: 73

Imagen 1 Imagen 2
Imagen 1
Imagen 2

Al actualizar tu perfil en WordPress se muestra lo que ves en la imagen inferior:

Tu cuenta está protegida con Latch. ¡Bien! También tienes la posibilidad de

dejar de emplear el pestillo marcando la casilla de verificación Stop using Latch

(esto es, desparear el servicio).

Stop using Latch (esto es, desparear el servicio). Guía-práctica-seguridad-en-wordpress_final_v2.doc
Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

47

of: 73

Te habrás dado cuenta de que en tu móvil tienes un nuevo servicio. En este

ejemplo te muestro como he configurado el blog ApuntesWP.com.

te muestro como he configurado el blog ApuntesWP.com.  ¿ Qué es lo que puedo hacer
te muestro como he configurado el blog ApuntesWP.com.  ¿ Qué es lo que puedo hacer

¿Qué es lo que puedo hacer ahora? ¿Todo esto para qué?

Ahora puedes, desde tu móvil, a tu voluntad y discreción, bloquear tu identidad

(usuario y contraseña de tu WordPress) cuando no estés trabajando en tu blog,

es decir, echar el pestillo. Una vez hecho esto,

. ¿Por qué?

aunque te robaran el usuario y

la contraseña no podrían acceder nunca a tu blog con esos datos

Por qué tienes puesto el pestillo.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

48

of: 73

Imagina que algún simpático te roba el usuario y la contraseña y decide

emplearlos en tu blog. ¡Voila! la aplicación Latch te muestra un aviso por cada

intento.

Está claro que si tú estás de cañas con tus amigos y solo le dedicas tiempo al

blog en un horario concreto, si te salta la alarma fuera de ese horario es que

tienes a un simpático intentando darte guerra (o un programa automatizado que

tiene tu blog como objetivo).

Activo el pestillo con mi móvil, ¿qué pasa si alguien intenta entrar a mi blog?

Si activas el pestillo (imagen 1) y alguien intenta acceder a tu blog (habiéndote

previamente robado los datos, es decir, conoce tu usuario y tu clave) lo que tú

verás en tu móvil es (imagen 2)

Imagen 1 >

Pestillo Activado

en tu móvil es (imagen 2) Imagen 1 > Pestillo Activado Imagen 2 > Intento de

Imagen 2 >

Intento de acceso bloqueado

Pestillo Activado Imagen 2 > Intento de acceso bloqueado Guía-práctica-seguridad-en-wordpress_final_v2.doc
Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

49

of: 73

Si intentan entrar 50 veces, verás en tu móvil la alarma 50 veces. Si eres tú el que

intenta entrar y te has olvidado de quitar el pestillo, pues blanco y en botella, con

presionar sobre Desbloquear el servicio lo tienes resuelto. Desde ese instante

podrás entrar de nuevo en tu blog.

Cuando accedes a la administración de tu WordPress e intentas acceder, si tienes

el pestillo echado, el mensaje de error que ves es el siguente. ¡No te alarmes! y

quita el pestillo. Si has quitado el pestillo y sigues sin entrar, amigo, es que estás

poniendo mál la contraseña.

amigo, es que estás poniendo mál la contraseña.  Guía-práctica-seguridad-en-wordpress_final_v2.doc
Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

50

of: 73

Si tienes por ejemplo, un blog con 10 usuarios escribiendo publicaciones cada

día, cada semana, etc y, como administrador del blog decides implantar Latch,

cada uno de los usuarios de tu blog podrá activarse el pestillo a su voluntad y

discreción con tan solo, instalarse la aplicación Latch en su móvil y generando un

código de pareado que luego podrá introducir en el campo Latch token de su

perfil de usuario de WordPress.

De esta forma, aunque los usuarios sean descuidados con la fortaleza de sus

contraseñas, si hacen uso de Latch y activan el pestillo por norma cuando no

están dándole al teclado, siempre podrán avisarte en caso de que alguien

(programa malicioso o algo) les robe los datos de acceso e intenten emplearlos

para fines oscuros.

En este sentido, Latch actúa como un mecanismo de alerta temprana antes de

que las cosas se pongan feas y tanto tú como tu usuario colaborador estáis más

tranquilos ante amenazas de terceros.

Contacta conmigo si quieres que colabore contigo y te ayude a implantar Latch

en tu blog o web-.

5.2 Modifica el archivo .htaccess

El fichero htaccess es un fichero del Servidor Web Apache mediante el cual es

posible definir distintas directivas que permiten modificar el comportamiento del

servidor web posibilitándote argumentos para realizar configuraciones a medida

sin necesidad de cambiar el comportamiento general del servidor.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

51

of: 73

Nota. Tu blog construido con WordPress, normalmente, funciona bajo la estela

de un servidor Web Apache. Tanto Hostgator, WebEmpresa como Siteground

trabajan con servidores Web Apache.

Dicho de otro modo, el archivo htaccess te abre las puertas a un amplio abanico

de posibilidades a nuestro alcance que nos ayuda a proteger nuestro blog de

mentes malintencionadas.

No voy a entrar aquí en detalle sobre todas las posibilidades que ofrece la

edición de este archivo, dado que son numerosas y fácilmente da para otra guía

el trabajo de Jeff Starr, un

práctica. Lo que si voy a hacer es presentarte

desarrollador de WordPress que durante varios años ha estado creando y

perfeccionando unas directivas para el archivo htaccess enfocadas proteger

nuestro blog de la actividad maliciosa de terceros.

Lo que ha hecho es compartir con el resto del mundo su trabajo, trabajo que ha

probado en entornos reales, es decir, con sus clientes y sus proyectos

personales. Este trabajo lo publica abiertamente en su blog perishablepress.com

y nos lo deja disponible para descarga.

5.2.1 Las reglas para .htaccess preconfiguradas de perishablepress.com

Las reglas preconfiguradas de perishablepress son fruto del trabajo de varios

años, por lo que a medida que se han ido realizando cambios en ellas se han

creado distintos nombres para el conjunto de las mismas. Las directivas más

recientes hasta la fecha son las llamadas 5G Blacklist 2013.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

52

of: 73

5.2.2 5G Blacklist 2013

Tal y como el mismo Jeff indica en su sitio web y cito literalmente:

The 5G Blacklist is a simple, flexible blacklist that checks all URI requests against a

series of carefully constructedHTAccess directives. This happens quietly behind the

scenes at the server level, saving resources for stuff likePHP and MySQL for all blocked

requests.”

Te lo traduzco a mi manera:

La lista negra 5G es una simple y flexible lista negra que se encarga de filtrar las

peticiones URI mediante una serie muy cuidadosa de directivas definidas en el

archivo htaccess. Todo ello se produce silenciosamente en la trastienda, a nivel del

servidor, ahorrándonos los recursos de php y de mysql de todas las solicitudes

bloqueadas.

Esto es, un cortafuegospara todo tipo de actividad maligna que se pone en

marcha en nuestro servidor web Apache.

Tenemos por tanto, unas reglas prefabricadas, fruto del trabajo de años de

experiencia de un desarrollador web especializado en WordPress que las emplea

en blogs y páginas web protegiéndolos en modo silencioso sin dar problemas… y

digo yo, ¿qué hacemos que no las estamos empleando?

Pues eso, que te muestro a continuación qué es lo que tienes que hacer y como

para que tu blog o web- también se pueda beneficiar de este trabajo.

Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

53

of: 73

5.2.3 Localiza el archivo htaccess y edítalo

Una forma de acceder al archivo htaccess de tu blog o web es emplear el

administrador de archivos que viene por defecto en tu cpanel o emplear un

5.2.3.1 Localizar archivo htaccess mediante administrador de archivos

Accede a tu cpanel, localiza el epígrafe de archivos y haz clic en el administrador

de archivos. Localiza la carpeta “public_html” y navega por los archivos hasta

encontrar el archivo htaccess.

navega por los archivos hasta encontrar el archivo htaccess. Guía-práctica-seguridad-en-wordpress_final_v2.doc
Seguridad en WordPress Guía práctica Documento : Guía-práctica- seguridad-en- wordpress_final_v2.doc Edición : 1

Seguridad en WordPress Guía práctica

Documento: Guía-práctica-

seguridad-en-

wordpress_final_v2.doc

Edición:

1

Página:

54

of: 73

Al presionar sobre el icono “Code Editor” accedes a la herramienta de edición y

ves el contenido del archivo.

a la herramienta de edición y ves el contenido del archivo. Nota. Doy por hecho que

Nota. Doy por hecho que en tu WordPress, en el Menu Ajustes / Enlaces

permanentes tienes configurada una opción distinta a la predeterminada, si

hacemos un guiño al SEO, y a lo que he aprendido en Quondos, la estructura