Guía práctica seguridad en wordpress final

Guías prácticas AdministrandoWP.Com

Documento: Guía-práctica-seguridad-en-wordpress_final_v7.doc

Edición: 1

Página: 0 of: 60

Actualizado a: 20-10-2015

Seguridad en WordPress Creado por: Paul Benítez

Para: AdministrandoWP.com

Guía-práctica-seguridad-en-wordpress_final_v7.doc www.administrandowp.com pág. 0 de 60

Contenido Pág.

1 DEDICATORIA ................................................................................................................................ 2

2 INTRODUCCIÓN ............................................................................................................................. 2

2.1 ¿QUÉ TE PUEDE SUCEDER SI ALEGREMENTE DESCUIDAS LA SEGURIDAD DE TU WORDPRESS? .................... 2

3 PROTEGIENDO TU WORDPRESS ............................................................................................... 5

3.1 CONTRATAR UN HOSTING PROFESIONAL Y DE CONFIANZA ..................................................................... 5 3.2 REALIZAR COPIAS DE SEGURIDAD Y AUTOMATIZARLAS ........................................................................... 7

3.2.1 ¿Tienes un sistema de copias de seguridad automatizado?...................................................... 7 3.2.2 ¿De qué tengo que hacer copias de seguridad? .......................................................................... 7 3.2.3 De acuerdo, ya sé de qué tengo que hacer las copias, ahora ¿cómo las hago y automatizo?

8 3.2.4 ¿Quieres ver en detalle cómo se hacen las copias? .................................................................... 8 3.2.5 ¿Se puede hacer de otro modo? .................................................................................................... 8 3.2.6 ¿Qué pasa si tengo un problema y tengo que emplear mi copia de seguridad? ¿Cómo

restauro mi blog o web? .............................................................................................................................. 9

4 MEDIDAS PRÁCTICAS DE SEGURIDAD PARA CONFIGURAR EN TU WORDPRESS .......... 10

4.1 CAMBIA EL USUARIO ADMINISTRADOR POR DEFECTO .......................................................................... 10 4.1.1 ¿Cómo, cuándo y dónde se hace esto? ....................................................................................... 10 4.1.2 Ejemplo práctico. ¿Cuántos intentos de acceso sin éxito se realizan en

www.administrandowp.com con el usuario admin? ............................................................................. 11 4.2 EMPLEA CONTRASEÑAS EN CONDICIONES .......................................................................................... 13 4.3 CAMBIA EL PREFIJO DE LAS TABLAS POR DEFECTO ................................................................................ 15

4.3.1 ¿Cuándo, cómo y dónde cambio el prefijo?............................................................................... 17 4.3.2 ¿Cómo cambio el prefijo de las tablas con Better WP Security o Ithemes Security?............. 18

4.4 EMPLEA LA CARACTERÍSTICA DE CLAVES ÚNICAS DE AUTENTIFICACIÓN (CLAVES SECRETAS) ...................... 21 4.4.1 Entonces, ¿cuál de los dos archivos tengo que editar? wp-config o wp-config-sample.php 22 4.4.2 Cambia las claves secretas con iThemes Security ..................................................................... 24

4.5 ACTUALIZA TU WORDPRESS ............................................................................................................. 25 4.6 ACTUALIZA TUS PLUGINS Y TEMAS ..................................................................................................... 27 4.7 EMPLEA UN PLUGIN DE SEGURIDAD ................................................................................................... 29

4.7.1 Better WP Security ahora iThemes Security. .............................................................................. 29 4.7.2 Security Ninja. ............................................................................................................................... 30 4.7.3 Wordfence ...................................................................................................................................... 30 4.7.4 AIO WP Security & Firewall Plugin ............................................................................................... 30 4.7.5 BulletProof Security ...................................................................................................................... 30 4.7.6 ¿Qué plugins he probado? ........................................................................................................... 31

Seguridad en WordPress

Guía práctica

Documento: Guía-práctica-

seguridad-en-wordpress_final_v7.doc

Edición: 1

Página: 1 of: 60


4.7.7 ¿Cuál es mejor? ............................................................................................................................. 31 4.8 EVITA EL SPAM CON EL PLUGIN AKISMET .......................................................................................... 32

4.8.1 ¿Cómo configuro Akismet para que me ayude con el SPAM?.................................................. 33 4.8.2 Ejemplo del trabajo que hace Akismet ....................................................................................... 35

5 OTRAS HERRAMIENTAS DE SEGURIDAD QUE TIENES A TU ALCANCE ............................ 36

5.1 EL ARCHIVO .HTACCESS .................................................................................................................... 36 5.1.1 Las reglas para .htaccess preconfiguradas de perishablepress.com ..................................... 37 5.1.2 5G Blacklist 2013........................................................................................................................... 37 5.1.3 Localiza el archivo htaccess y edítalo ......................................................................................... 38 5.1.4 6G Beta / 6G Firewall .................................................................................................................... 47

6 MI WEB ESTÁ INFECTADA CON MALWARE, ¿QUÉ PUEDO HACER? .................................. 47

6.1 ¿QUÉ PASA SI TENGO MI WEB INFECTADA POR ALGÚN VIRUS, MALWARE O ME LA HAN HACKEADO? ......... 48 6.2 ¿CÓMO PUEDES SABER SI LA COPIA DE BLOG O WEB ESTÁ INFECTADA? ................................................. 50 6.3 ¿QUÉ PROVEEDORES EXISTEN QUE TE AYUDAN A LIMPIAR TU BLOG O WEB? .......................................... 51

6.3.1 Sucuri.net ....................................................................................................................................... 51 6.3.2 ¿Qué ofrece sucuri.net? ................................................................................................................ 52 6.3.3 HackRepair.com ............................................................................................................................ 53

7 ¿QUIÉN SOY YO? ........................................................................................................................ 54

8 LÍMITE DE RESPONSABILIDAD ................................................................................................. 56

9 FUENTES ...................................................................................................................................... 57

9.1 LISTA DE FUENTES ............................................................................................................................ 57

10 AVISO ........................................................................................................................................ 58


Guía práctica



Edición: 1

Página: 2 of: 60


1 Dedicatoria

A las 2 mujeres de mi vida, Patricia & Sandra.

Y para ti, querido lector, por querer prevenir antes que curar, empezando a

valorar la seguridad de tu WordPress.

Feliz lectura. Ahí va…

2 Introducción

Si te has descargado esta guía tengo la sana convicción de que la seguridad de tu

WordPress es una de tus preocupaciones por lo que, voy a ir al grano y te voy a

mostrar una relación de configuraciones y de plugins junto con unas buenas

prácticas que puedes aplicar desde hoy mismo a tu sitio para reducir de forma

notable la probabilidad de que tu web sea la protagonista de un compromiso.

A lo que tú me puedes preguntar, ¿a qué compromisos de refieres? A cualquiera

de estos que te menciono a continuación, entre otros.

2.1 ¿Qué te puede suceder si alegremente descuidas la

seguridad de tu WordPress?

Entre otras cosas:

1. Que te introduzcan en tu blog o web la web de un banco para hacer phising

o que te intenten engañar mediante phising para que te instales en tu blog un

plugin.

http://es.wikipedia.org/wiki/Phishing

http://blog.sucuri.net/2013/12/phishing-emails-to-install-malicious-wordpress-plugins.html


Guía práctica



Edición: 1

Página: 3 of: 60


2. Que te borren el blog o la web.

3. Que empleen tu blog para ejecutar ataques DDOS

4. Que hagan SPAM desde tu blog o web.

5. Que te cuelen un programa un programa malicioso (virus, etc) y cada vez que

alguien visita tu web o blog dicho programa se instalaba en el ordenador de

tu lector o visitante. El caso Javier EN.

6. Que te suceda lo que a David o a Javier.

7. Que te suceda lo que ha Catalina Echeverry (empleando blogger). La

prevención es cosa nuestra, independientemente de la herramienta.

8. Otros…

No te puedo dar garantías de que realizando los pasos que te indico en la guía

evites al 100% que te veas inmerso en alguno de estos problemas.

Garantizártelo sería temerario e imprudente por mi parte ya que la seguridad en

la web, como en la vida misma, es un capítulo vivo y en constante evolución.

En cambio, si decides seguir adelante y aplicar lo que te explico en este

documento, te puedo asegurar de que reducirás considerablemente la

probabilidad de ser el protagonista de cualquiera de las historias que antes te he

mencionado.

En esta guía práctica te voy a mostrar unos recursos que están a tu alcance y

que puedes implementar desde hoy mismo para mejorar la seguridad de tu blog

o web notablemente.

http://blog.sucuri.net/2014/03/more-than-162000-wordpress-sites-used-for-distributed-denial-of-service-attack.html

https://plus.google.com/103507563419000526887/posts/3xkAJCS8ymL

http://www.monetizados.com/eliminar-un-virus-de-un-blog-de-wordpress.html

https://plus.google.com/+DavidIzkierdoArispon/posts/j9tDLxBr32f

http://javiergomez.eu/sucuri-cinco-consejos-evitar-google-blacklist-malware-bloqueo/

http://www.mamatambiensabe.com/2013/02/madres-blogueras-cuidado-nos-atacan.html


Guía práctica



Edición: 1

Página: 4 of: 60


Lo que te voy a contar incrementará la seguridad de tu sitio, por lo que éste será

más seguro y menos propenso a caer en manos de mentes oscuras que quieren

aprovecharse de tu sitio web o blog de algún modo u otro.

Mi intención es transmitirte los conocimientos prácticos que yo mismo he

adquirido para que tú tengas la certeza de que tu blog (o web) creado con

WordPress no se verá comprometido a las primeras de cambio.

Además, si incurres en un compromiso, tendrás la tranquilidad de que no

perderás tu trabajo.

Te adelanto que cuando termines de leer y de aplicar los consejos prácticos de

esta guía podrás enfocarte en otros asuntos, como:

1. La creación de contenido relevante en tu nicho

2. La creación y estrategia de tu lista de correo

3. La estrategia en redes sociales

4. La estrategia SEO

5. La estrategia de networking

6. Otros asuntos que consideres relevantes para el futuro de tu web o blog

En resumen lo que vas a ver son las configuraciones y herramientas que yo

mismo aplico en todos los sitios web o blogs que construyo o en los que

colaboro. Hasta la fecha, los WordPress que han pasado por mis manos no han

sido objeto de compromiso alguno. Tú puedes conseguir el mismo resultado.

https://www.e-junkie.com/ecom/gb.php?ii=1174690&c=ib&aff=180782&cl=130286

http://www.quondos.com/?ap_id=paulbntz



Guía práctica



Edición: 1

Página: 5 of: 60


Nota. Para elaborar esta guía práctica he recopilado información por Internet en

distintas fuentes, he tomado consejos recibidos, he consultado en redes sociales

y he plasmado mi propia experiencia. Todas las fuentes recopiladas se

mencionan al final, en el epígrafe de fuentes. ¡Vamos allá!

3 Protegiendo tu WordPress

3.1 Contratar un hosting profesional y de confianza

A la hora de minimizar los riesgos de seguridad para tu blog o sitio web uno de

los aspectos a tener en cuenta es el hosting, dicho de otro modo:

¿Qué empresa de hosting me ofrece seguridad y confianza para alojar mi

sitio web o blog?

Existen multitud de servicios de hosting y no voy a entrar en el debate sobre cuál

es más seguro o menos seguro, cuál es mejor o cuál es peor.

Lo que voy a hacer es proponerte los que en mi experiencia -y en experiencia de

personas cercanas- son proveedores de confianza, se preocupan por la

seguridad y te puedo recomendar, lo que no significa que, dado el caso, el

hosting donde estés actualmente alojado sea inapropiado, de poca confianza o

inseguro.

Atendiendo a mi experiencia te puedo recomendar:

1. Siteground. En SiteGround tienes a tu servicio una serie de prestaciones

adicionales enfocadas a la seguridad de WordPress (auto-actualización

http://www.administrandowp.com/ir/siteground


Guía práctica



Edición: 1

Página: 6 of: 60


de WordPress, servidores compartidos seguros, protección de las cuentas

de usuarios aislando unas de otras) a la velocidad (servidores y software

más potente, repartidos por todo el mundo) y un equipo de especialistas

en WordPress a tu disposición (tiempos de respuesta de atención de 15

minutos o menos en sus sistema de tickets, de 10 segundos en llamadas

por teléfono y sin apenas esperas en el sistema de chat online).

Además, desde Septiembre de 2015, SiteGround dispone de toda su oferta

de servicios en tu idioma.

Puedes leer un completo artículo que he elaborado sobre SiteGround para

que entiendas porque yo estoy alojado en este hosting.

2. Webempresa. Puede ser tu hosting de entrada también, su precio es

similar a Siteground y también cuentas con un equipo de soporte para

WordPress en castellano.

Omar de la Fuente, compañero de blogging y amigo recomienda como

primera opción este hosting para sus clientes.

En mis colaboraciones con él he tenido oportunidad de probar el servicio

de Webempresa y coincido en que es un hosting altamente

recomendable. Ahora, comparando a los dos, me quedo con SiteGround.

Su precio básico empieza en 5.93 euros/mes al año.

http://www.administrandowp.com/wordpress-hosting-siteground/

http://www.administrandowp.com/ir/webempresa


Guía práctica



Edición: 1

Página: 7 of: 60


Cualquiera de estos dos proveedores son una buena alternativa si estás

pensando en crearte un blog o una web e incluso si estás pensando cambiarte

de hosting. También son empresas de confianza para diseñadores gráficos y web

que buscan una alternativa de hosting especializada en WordPress.

Si estás migrando de hosting, te dejo un tutorial ampliado y práctico donde

puedes ver paso a paso cómo realizar la migración.

3.2 Realizar copias de seguridad y automatizarlas

Tienes tu blog (o web) construido con WordPress, instalado, operativo en tu

hosting y recibes cientos, miles de visitas, comentarios a diario y además vendes.

Vamos que tienes un blog que es todo un éxito.

3.2.1 ¿Tienes un sistema de copias de seguridad automatizado?

Si tu respuesta es no, ya sabes por donde tienes que empezar. Ve al punto 3.2.2

Si tu respuesta es que si, puedes continuar con el punto 4.

3.2.2 ¿De qué tengo que hacer copias de seguridad?

1. De la base de datos de WordPress.

2. De los archivos que componen tu blog o web.

http://www.administrandowp.com/como-migrar-wordpress-de-alojamiento-web/


Guía práctica



Edición: 1

Página: 8 of: 60


3.2.3 De acuerdo, ya sé de qué tengo que hacer las copias, ahora

¿cómo las hago y automatizo?

Empleando un plugin de copias de seguridad como puede ser BackWPup o

UpDraftPlus También puedes emplear Duplicator, aunque éste actualmente no

cuenta con la posibilidad de automatizarlas en su versión gratuita.

3.2.4 ¿Quieres ver en detalle cómo se hacen las copias?

Tienes un tutorial sobre BackWPup en este enlace. Aquí tienes otro donde

puedes ver como hacerlas y además guardarlas en DropBox. Tienes otro tutorial

sobre Duplicator aquí. Y si prefieres UpdraftPlus tienes dos tutoriales a tu

disposición. Este y este otro.

3.2.5 ¿Se puede hacer de otro modo?

Sí, pero se escapa del ámbito de esta guía. En mi opinión tanto BackWPup como

UpdradftPlus cubren correctamente este propósito.

Importante. Pregunta a tu proveedor de hosting si realiza copias de seguridad.

En caso de que tengas un problema y no tengas tus propias copias, te pueden

ser de mucha ayuda. Dependiendo del plan que contrates tienes este servicio

operativo o no. En el caso de Siteground y Webempresa tienen planes que

incluyen este servicio.

Aunque tu proveedor haga copias por su cuenta, mi consejo es que también

hagas las tuyas propias.

https://wordpress.org/plugins/backwpup/

https://wordpress.org/plugins/updraftplus/

https://wordpress.org/plugins/duplicator/

http://www.administrandowp.com/copia-de-seguridad-con-wordpress/

http://www.haciaelautoempleo.com/backwpup-copias-de-seguridad-wordpress/

http://www.administrandowp.com/copia-de-seguridad-de-wordpress/


http://miposicionamientoweb.es/como-hacer-backup-de-wordpress-con-updraftplus/

http://hormigasenlanube.com/hacer-un-backup-de-wordpress/

http://www.siteground.com/index.htm?afcode=306a796b0209e83a80a7fd2094d8e132

http://gestion.webempresa.eu/gestion/aff.php?aff=062


Guía práctica



Edición: 1

Página: 9 of: 60


3.2.6 ¿Qué pasa si tengo un problema y tengo que emplear mi

copia de seguridad? ¿Cómo restauro mi blog o web?

Imagina que ya tienes algo de pericia, sabes hacer las copias de seguridad de

WordPress, las tienes automatizas y resulta que un día tienes un problema.

Tu web no funciona, te la han hackeado, tiene un compromiso, han o has

borrado todos los artículos que tenías publicados, has cambiado la plantilla y la

has liado parda, en fin, tienes un día negro (créeme lo tendrás) y en ese

momento caes en la cuenta de que tienes tus flamantes copias de seguridad. Ya

sabes que soy un tipo cauto y precavido. ¡Juas, juas!

¿Por dónde empiezas si tienes un problema que se resuelve con la copia de

seguridad?

En primer lugar no te pongas nervioso. Si no sabes por dónde empezar se me

ocurren dos vías. 1. Twitter es tu amigo y 2. el soporte técnico de tu hosting

también. Si tienes claro lo que tienes que hacer, adelante con ello. Si tienes

dudas, pregunta.

No se lo que tengo que hacer ¿dónde busco ayuda?

1. El primer lugar es recurrir al soporte técnico de tu proveedor de hosting.

2. En twitter puedes preguntar en 140 caracteres.

3. Puedes leer este tutorial que te puede servir de orientación. ¡Ojo! El

tutorial está pensado si estás empleando el plugin BackWPup. Si estás

empleando otro plugin u otra herramienta tendrás que conocer dicha

herramienta o pedir ayuda en el foro a sus desarrolladores.

http://www.administrandowp.com/como-restaurar-mi-copia-de-seguridad-realizada-con-backwpup/


Guía práctica



Edición: 1

Página: 10 of: 60


4. Puedes contactar conmigo, contarme tu caso, valoramos el escenario y

nos organizamos.

a. Si quieres que te resuelva el problema y está a mi alcance, te daré

una solución, una estimación de tiempo y los costes para dejarlo

como estaba.

b. ¿Te parece razonable? Contacta conmigo entonces.

4 Medidas prácticas de seguridad para configurar

en tu WordPress

4.1 Cambia el usuario administrador por defecto

Cuando instalas WordPress el usuario por defecto que se establece como

usuario administrador de tu sitio web o blog es un usuario llamado “admin”, a

no ser que decidas lo contrario. Estás en lo cierto, tienes que cambiarlo.

4.1.1 ¿Cómo, cuándo y dónde se hace esto?

En el momento de la instalación lo puedes hacer

Durante uno de los pasos de la instalación de WordPress tienes que decidir el

nombre del usuario que vas a emplear. Por defecto te propondrá admin.

Cámbialo por otro.

http://www.administrandowp.com/contacto/


Guía práctica



Edición: 1

Página: 11 of: 60


Si ya tienes instalado WordPress.

Crea un nuevo usuario con el perfil de administrador y a continuación modifica

el perfil del usuario admin o incluso elimínalo.

4.1.2 Ejemplo práctico. ¿Cuántos intentos de acceso sin éxito se

realizan en www.administrandowp.com con el usuario

admin?

En la captura de pantalla que te muestro a continuación puedes hacerte una

idea aproximada de la cantidad de veces que han intentado acceder a la

http://www.administrandowp.com/


Guía práctica



Edición: 1

Página: 12 of: 60


administración de mi blog www.administrandowp.com empleando el usuario

admin. Si tienes una web o un blog con WordPress también te pasará a ti.

En la imagen superior ves un registro de la hora, el nombre de usuario y la

cantidad de intentos (338). Si bien no se ven todos, te adelanto que en el 95%

aproximadamente de los intentos de acceso, el usuario con el que se intenta

acceder es el usuario admin.

Esta información la he obtenido con el plugin de seguridad Better WP Security,

en la actualidad iThemes Security.

En estos momentos mi web es una web con pocas visitas, no llega a las 4000

visitas al mes y por los registros que tengo, en un día, al menos 10 veces intentan

acceder empleando dicho usuario.

http://www.administrandowp.com/

http://www.administrandowp.com/better-wp-security-plugin-de-seguridad-para-wordpress-todo-en-1/

http://www.administrandowp.com/ithemes-security-plugin-de-seguridad-para-wordpress-antes-better-wp-security/


Guía práctica



Edición: 1

Página: 13 of: 60


De todos modos, la cantidad de visitas que tenga tu web poco importa. Los

intentos de acceso (ataques) los vas a recibir igualmente.

¿Te imaginas que pasaría si dejo mi usuario por defecto como admin y en un

“descuido” dejo también la contraseña por defecto admin o una muy sencilla

como 123456 o algo parecido? No hace falta que te responda.

Recientemente se ha producido el que hasta la fecha es el mayor ataque de

fuerza bruta contra WordPress. Si quieres más detalles pásate por ayudawp.com

y léete el artículo relacionado.

De cualquier modo, recuerda curarte en salud y cambiar el usuario admin

de WordPress por defecto.

4.2 Emplea contraseñas en condiciones

Otra forma de asegurar tu WordPress es emplear contraseñas largas de ocho

caracteres al menos, mezclando mayúsculas, minúsculas y números. Si

introduces también caracteres especiales mejor aún.

Aquí el tema está en quién es el simpático que consigue memorizarse una

contraseña así. No es tarea fácil pero seguro que alguien es capaz. No seré yo.

Para el tema de las contraseñas te recomiendo una herramienta para ayudarte y

que personalmente llevo empleando desde hace más de 5 años. Se trata de

http://ayudawp.com/ataque-de-fuerza-bruta-wordpress/


Guía práctica



Edición: 1

Página: 14 of: 60


LastPass, una aplicación muy buena tanto para crear todas tus contraseñas

como para administrarlas y guardarlas en un lugar seguro.

LastPass se instala como complemento en todos los navegadores, dispone de

versión gratuita y de versión de pago. En la versión de pago destaca la

disponibilidad para prácticamente todos los smartphones de todas las marcas

que hay en el mercado. Su coste, 12 euros al año.

En la siguiente captura de pantalla de LastPass donde puedes ver la herramienta

de generación de contraseñas seguras.

1. Botón para generar contraseñas aleatorias. Cada vez que hacer clic sobre

el botón se genera una contraseña de 12 caracteres.

2. Barra que te muestra nivel de robustez de tu contraseña.

3. Generará por norma contraseñas

con mayúsculas, minúsculas y

números.

4. Puedes configurar caracteres

especiales en tus contraseñas. Si

activas esta opción y generas una

nueva contraseña verás que la

barra de nivel de robustez mejora.

5. Te dejo un completo tutorial sobre

LastPass aquí.

https://lastpass.com/

http://www.paulbenitez.com/lastpass-gestor-de-contrasenas/

http://www.paulbenitez.com/lastpass-gestor-de-contrasenas/


Guía práctica



Edición: 1

Página: 15 of: 60


¡Ahora no podrás decir que no sabes cómo crear una contraseña en

condiciones!

4.3 Cambia el prefijo de las tablas por defecto

Todo WordPress requiere de una base de datos para funcionar y cada

WordPress que se instala en cualquier rincón del mundo tiene las mismas tablas

(10 tablas) que tiene el que tú vas a instalar, el que ya has instalado o con el que

ya trabajas.

Un apunte, si tienes plugins instalados tendrás más de 10 tablas.

¿Y el prefijo de las tablas que tiene que ver con la seguridad?

Te lo explico con otra pregunta. Es un poco gallego, pero…

¿Se pueden instalar varios WordPress en una misma base de datos?

Sí. A lo que te formulo la siguiente pregunta.

¿Cómo sabe cada WordPress cuáles son las tablas con las que tiene que

trabajar si todos están empleando la misma base de datos? ¿Me sigues?

Mediante el prefijo, un conjunto previo de caracteres que tú elijes y se insertan

al principio del nombre de cada tabla de WordPress. Así, se determina que tablas

son para una instalación de WordPress y que tablas son para otra.

Te lo muestro con una imagen para que lo entiendas mejor.


Guía práctica



Edición: 1

Página: 16 of: 60


En esta imagen lateral lo puedes ver con más claridad:

1. Base de datos llamada wordpress

2. Tablas que componen la base de datos wordpress

con el prefijo wp_

¿Cuál es el prefijo que por defecto se emplea en

WordPress?

Tal y como ves en la imagen, el prefijo es wp_

Me queda claro lo del prefijo de las tablas pero, ¿qué tiene que ver esto con

la seguridad?

El argumento es sencillo, verás. Al igual que tú sabes esto que te acabo de

contar, es decir, que el prefijo por defecto de las tablas de WordPress es el

mismo para todos los WordPress al igual que el nombre de sus tablas, las

mentes malintencionadas también lo saben y aquí está el problema.

¿Por qué? Porqué más del 18% de las páginas web (cifra en constante

crecimiento) que hay por el mundo están construidaas con WordPress. Esta cifra

supone un pastel muy grande de sitios webs susceptibles de interés para mentes

oscuras que saben que se pueden beneficiar enormemente de los descuidos de

seguridad de los usuarios haciéndose con el control de sus blogs o webs.

Dichas mentes pueden emplear este conocimiento para usos inapropiados y

tratar de comprometer un gran número de sitios web con fines maliciosos, fines

como algunos de los que te he mencionado en la introducción.

http://wordpress.tv/2013/07/29/matt-mullenweg-state-of-the-word-2013/


Guía práctica



Edición: 1

Página: 17 of: 60


Por tanto, está a tu alcance ponérselo un poco más difícil a las mentes oscuras,

¿cómo? cambiando el prefijo de las tablas de tu WordPress. Te curarás en salud y

menos probabilidades tendrás de ver comprometido tu sitio web o blog.

4.3.1 ¿Cuándo, cómo y dónde cambio el prefijo?

Se pueden dar dos casos:

4.3.1.1 Caso (A). Si todavía no has instalado WordPress.

4.3.1.2 Caso (B). Si ya tienes instalado WordPress.

(A) Durante la instalación de WordPress se piden unos datos básicos (1), entre

ellos, el nombre de la base de datos, el nombre de usuario administrador de la

base de datos, la contraseña, el host de la base de datos y (2) el prefijo de las

tablas. Por defecto, si no tocas nada, el prefijo para todas tus tablas (2) es “wp_”.

Ahora es cuando te toca ser el protagonista. Cambia el prefijo.


Guía práctica



Edición: 1

Página: 18 of: 60


Vale, yo soy el protagonista pero ¿qué prefijo tengo que poner? La idea en este

punto es que sea poco predecible.

Te dejo unos ejemplos prácticos de prefijos que puedes emplear en tu web o

blog.

kmq69un_

ipbn5ig_

pvm6h34v_

hady9j6cn_

gm740vko_

xcal7d0c_

Nota. Todos los prefijos que has visto se han creado empleando una de las

funcionalidades del plugin Better WP Security, ahora Ithemes Security. Si no

estás inspirado, puedes copiar, pegar y listo.

(B) En el caso de que ya tengas tu WordPress instalado la forma más sencilla

que he encontrado (hasta la fecha) de modificar el prefijo de las tablas es

empleando una de las funcionalidades del plugin Ithemes Security.

Te explico cómo hacerlo.

4.3.2 ¿Cómo cambio el prefijo de las tablas con Better WP Security o

Ithemes Security?

Si todavía estas con Better WP Security (ver imagen inferior)


http://www.administrandowp.com/ithemes-security-plugin-de-seguridad-para-wordpress-antes-better-wp-security/


Guía práctica



Edición: 1

Página: 19 of: 60


Seguridad > Prefijo > Cambiar prefijo de las tablas. Cada vez que presionas el

botón, éste cambia inmediatamente el prefijo en las tablas de base de datos.


Guía práctica



Edición: 1

Página: 20 of: 60


Si ya trabajas con iThemes Security (ver imagen inferior)

Existen otras formas de cambiar las tablas que no se contemplan en esta guía.

Te dejo un par de enlaces relevantes donde se muestran otras maneras si no

quieres instalar el plugin, aunque en mi opinión lo más sencillo es emplearlo.

http://ayudawp.com/cambiar-el-prefijo-de-la-base-de-datos-de-wordpress/

http://forobeta.com/tutoriales-de-wordpress/56827-cambiar-prefijo-prefix-

de-tablas-base-de-datos-wordpress.html

http://ayudawp.com/cambiar-el-prefijo-de-la-base-de-datos-de-wordpress/

http://forobeta.com/tutoriales-de-wordpress/56827-cambiar-prefijo-prefix-de-tablas-base-de-datos-wordpress.html

http://forobeta.com/tutoriales-de-wordpress/56827-cambiar-prefijo-prefix-de-tablas-base-de-datos-wordpress.html


Guía práctica



Edición: 1

Página: 21 of: 60


4.4 Emplea la característica de claves únicas de

autentificación (claves secretas)

La característica de claves únicas de autentificación o claves secretas es una

prestación que viene de serie desde la versión 2.6 de WordPress que por lo que

he observado pasa bastante desapercibida. A partir de ahora no será ningún

misterio para ti.

Te explico. Su configuración es manual y con un poco de ayuda, en mi opinión y

experiencia, es sencilla de implementar para cualquier usuario de WordPress.

La configuración se resume en editar el fichero de configuración wp-config.php

o wp-config-sample.php. Estos archivos los localizas en la carpeta raíz de tu

blog.

http://codex.wordpress.org/Editing_wp-config.php#Security_Keys


Guía práctica



Edición: 1

Página: 22 of: 60


4.4.1 Entonces, ¿cuál de los dos archivos tengo que editar? wp-config o wp-

config-sample.php

Se pueden dar dos casos:

4.4.1.1 Si todavía no has instalado tu web o blog la configuración pasa por

editar el archivo wp-sample-config.php.

4.4.1.2 Si ya tienes tu web o blog operativo y funcionando tienes que editar

el archivo wp-config.php

En cualquiera de los dos casos anteriores, los pasos para configurar estos

archivos, y por tanto esta característica, son los siguientes:

1. Te conectas a la web https://api.wordpress.org/secret-key/1.1/salt/

2. Te aparecerá un sitio como el de la imagen inferior. Copias todas las

líneas.

https://api.wordpress.org/secret-key/1.1/salt/


Guía práctica



Edición: 1

Página: 23 of: 60


3. Localiza el archivo wp-config.php o wp-sample-config.php según tu

escenario y pegas todas las líneas que has copiado antes. Tienes que

sustituir lo que te recuadro en rojo en la imagen inferior -líneas 45 a las

52-.

Con este cambio lo que consigues es fortificar tu WordPress y hacer más difícil la

posibilidad de que las mentes oscuras puedan tener acceso a las contraseñas de

tus usuarios de la web o blog empleando malas artes.

Entonces, ¿por qué es importante cambiar las claves secretas? Porque

mejoran la seguridad de tu WordPress, es una puerta más a las mentes

malintencionadas.

Tienes más detalles sobre estas claves en ayudawp.com. y en el blog de Javier

Gobea.

http://ayudawp.com/claves-secretas-wordpress/

http://hormigasenlanube.com/claves-unicas-de-autentificacion/

http://hormigasenlanube.com/claves-unicas-de-autentificacion/


Guía práctica



Edición: 1

Página: 24 of: 60


4.4.2 Cambia las claves secretas con iThemes Security

Te hablaré de plugins más adelante y entre ellos de Ithemes Security pero quiero

comentarte ahora que con la versión 4.6 de Enero de 2015 de este plugin, el

paso para cambiar las claves secretas que te he mencionado antes se ha

convertido en una tarea terriblemente sencilla que requiere hacer clic en un

botón y listo.

Los tres pasos del punto anterior, resueltos en un clic.

Si te fijas en la imagen siguiente, entenderás a lo que me refiero. Si tienes instalado el

plugin en tu WordPress localiza la opción Advanced, a continuación WordPress salts.

Marca la casilla de verificación y presiona sobre el botón Change WordPress salts.


Guía práctica



Edición: 1

Página: 25 of: 60


Automáticamente saldrás del panel de administración y tu WordPress de pedirá

que vuelvas a introducir tu usuario y contraseña. No te preocupes, es algo

totalmente coherente con lo que has hecho. Vuelve a introducir tus datos y listo.

No es necesario que vuelvas a enredar con esta opción.

4.5 Actualiza tu WordPress

Otra medida de seguridad que está a tu alcance es mantener tu sitio web

construido con WordPress actualizado.

O dicho de otro modo, mantener un sitio construido con WordPress

desactualizado es una golosina para los malos.

Tomo prestada una frase de sinlios.com: “…las actualizaciones corrigen errores

de todo tipo, la mayor parte de las veces funcionales o meramente estéticos,

pero en ocasiones estos errores tienen que ver con la seguridad.”

Por tanto, mantener actualizado tu WordPress es una garantía de estar al día en

cuanto a los posibles errores de seguridad y si tomas la decisión de no actualizar,

tienes que ser consciente de que estarás expuesto a las posibles amenazas

derivadas de esos fallos de seguridad no corregidos.

Hasta aquí todo claro, ahora, la propia actualización tiene sus riesgos, por lo que,

antes de actualizar ten la precaución de tener hecha una copia de seguridad de

tu sitio. Es una práctica que nunca hacemos y luego nos toca llorar. Si te alojas

en SiteGround esto no te pasará.

http://sinlios.com/blog/2014/01/16/cuando-y-como-actualizar-wordpress/

http://www.administrandowp.com/como-restaurar-mi-copia-de-seguridad-realizada-con-backwpup/

http://www.administrandowp.com/wordpress-hosting-siteground/


Guía práctica



Edición: 1

Página: 26 of: 60


Una vez tengas los deberes hechos y veas notificaciones para actualizar como las

que se muestran en la imagen inferior, mi consejo es que trates de estar al día e

instalarlas.

Puede que tengas la experiencia de que al actualizar WordPress alguno de tus

plugins o temas dejan de funcionar y ya tienes el lio en casa.

Si has tenido esta experiencia, cada vez que aparece una actualización te

preguntas : ¿Espero a tener la certeza de que todos mis plugins son compatibles

con la nueva versión? ¿Asumo los riesgos de actualizar?

Tendrás que decidir ser más o menos cauto.

Otra alternativa nada dolorosa que consume algo de tiempo pero que es

altamente recomendable es tener un laboratorio de pruebas que sea

literalmente un clon real de tu blog.

Llevas a cabo las actualizaciones en el clon de tu WordPress laboratorio y si todo

va bien, actualizas tu blog real.



Guía práctica



Edición: 1

Página: 27 of: 60


Si eres diseñador gráfico y web y quieres que te monte un laboratorio de

pruebas o colabore contigo como socio técnico contacta conmigo.

Si tienes tu copia de seguridad y sabes restaurarla ágilmente podrías tomar la

decisión de instalar la actualización y comprobar que todo sale bien, o no.

Puedes darse dos escenarios:

1. ¡He actualizado y todo funciona perfecto! ¡Ole! o por el contrario,

2. ¡Mierda! ¡La he liado parda y ahora no me funciona ni esto ni lo otro, quien

cojo… me manda a mí actualizar!

Puedes también optar por ser cauto, no ser el primero en actualizar y esperar las

noticias que se publican tras la nueva actualización. Mientras puedes estar al

corriente del trabajo que hacen los desarrolladores de los plugins que tienes

instalados en tu blog y atento al momento en que tengas suficiente información

sobre su compatibilidad con la nueva versión de WordPress.

Si no hay nada gris, tras pasar un tiempo prudencial, actualiza.

4.6 Actualiza tus plugins y temas

El mismo argumento que te expongo para WordPress hay que tenerlo en cuenta

también con los plugins y los temas.

http://www.administrandowp.com/acelero-al-maximo-tus-desarrollos/


Guía práctica



Edición: 1

Página: 28 of: 60


Mantén actualizados tus plugins y temas tan pronto como te sea posible. Huye

de plugins que estén desactualizados, de plugins donde el desarrollador no le da

continuidad al mismo y donde el soporte no es bueno ni ágil.

Consejo. Nunca instales plugins desactualizados en tu web o blog de fuentes

poco confiables. Lo mejor es emplear el repositorio oficial de plugins de

WordPress o proveedores que te inspiren confianza, bien sean premium o no.

Al final, se trata de lo bien que te resuelve la vida tal plugin para tal propósito,

pero no solo de eso, sino también de las personas que están detrás del

desarrollo, soporte y continuidad del mismo.

Dicho de otro modo, si el plugin hace algo bueno por ti, pero las personas que

están detrás del mismo no invierten tiempo ni esfuerzo en su mejora y soporte,

entonces, en mi opinión ese plugin ya no es tan bueno para ti. Cuidado con esto.

Recuerda que siempre conviene realizar una copia de seguridad antes de

ponerte a actualizar los plugins. Recuerda también que otra alternativa es tener

tu propio laboratorio de pruebas. Actualizas tus plugin en el laboratorio de

pruebas y si todo va bien, actualizas tu blog real (o web) con la certeza de que

todo irá bien.

https://wordpress.org/plugins/

https://wordpress.org/plugins/


Guía práctica



Edición: 1

Página: 29 of: 60


4.7 Emplea un plugin de seguridad

Otra medida que puedes emplear para asegurar tu WordPress es instalar un

plugin de seguridad. En mi opinión, altamente recomendable ya que te hace la

vida más fácil.

Te enumero cinco plugins de seguridad recomendados. La idea no es

instalártelos todos, sino emplear uno. De los mencionados hay dos que destacan

por el alto volumen de descargas que tienen, Better WP Security (iThemes

Security) y WordFence. En estos momentos rondan los 4 millones de descargas

cada uno.

4.7.1 Better WP Security ahora iThemes Security.

A punto de llegar a los 4 millones de descargas. El ratio de críticas es de 4.7

sobre 5. Dispones de versión gratuita y de pago premium. Lo puedes descargar

desde el repositorio de WordPress.

Te ayuda en la configuración de más de 30 opciones para proteger tu sitio web o

blog.

Tienes un tutorial ampliado sobre Better WP Security y un artículo extendido

sobre iThemes Security. Si quieres aprender a configurarlo, te recomiendo que

te des una vuelta por esos artículos. Si quieres que colabore contigo en su

configuración contacta conmigo y lo valoramos.

https://plus.google.com/103507563419000526887/posts/ZCmGHU5NKhA

https://wordpress.org/plugins/better-wp-security/


http://www.administrandowp.com/ithemes-security-plugin-de-seguridad-para-wordpress-antes-better-wp-security/http:/www.tecnofilos.net/tag/ithemes-security/



Guía práctica



Edición: 1

Página: 30 of: 60


4.7.2 Security Ninja.

Más de 2700 compras. Tiene un ratio de críticas de 4.51 puntos sobre 5. Lo

puedes conseguir en codecanyon.net. Se trata de un plugin de pago muy

económico (10$).

4.7.3 Wordfence

Más de 4 millones de descargas. Tiene un ratio de críticas de 4.9 sobre 5. Es

gratuito con opciones de pago premium. Lo puedes descargar desde el

repositorio de WordPress. Tienes un completo tutorial sobre este plugin aquí.

4.7.4 AIO WP Security & Firewall Plugin

Descargado más de 600.000 veces. El ratio de críticas es de 4.9 sobre 5. Lo

puedes conseguir en el repositorio de WordPress y es completamente gratuito.

A pesar de no haberlo probado hay una opción que me ha llamado la atención y

es que te ayuda a configurar en tu blog web las reglas “5G Blacklist” cortesía de

“Perishable Press” de las que hablaré más adelante.

4.7.5 BulletProof Security

Descargado más de 1 millón de veces. Tiene un ratio de críticas de 4.8 sobre 5.

Lo puedes conseguir en el repositorio de WordPress. Es gratuito aunque cuenta

con una versión de pago profesional a un coste de 60$.

http://codecanyon.net/?ref=paulbntz

https://wordpress.org/plugins/wordfence/

http://www.lifestylealcuadrado.com/wordfence-seguridad-wordpress/

https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/

http://perishablepress.com/5g-blacklist-2013/

http://perishablepress.com/

https://wordpress.org/plugins/bulletproof-security/


Guía práctica



Edición: 1

Página: 31 of: 60


4.7.6 ¿Qué plugins he probado?

De todos los plugins anteriores he probado iThemes Security y Wordfence. Te

recomiendo su uso.

Si te fijas en las cifras de descarga, entre los dos plugins, en estos momentos

alcanzan la friolera de más 8 millones desde el repositorio oficial de WordPress

encontrándose ambos en el top 15 de plugins más populares del dicho

repositorio.

La interpretación de estas cifras es que estamos ante dos plugins que son

auténticos pesos pesados dentro de la comunidad WordPress. La seguridad es

un tema al alza que genera mucho interés y relevancia. Cuento con que ésta guía

te facilite el suficiente conocimiento para curarte en salud y no ser el próximo en

caer en las manos de los que van con malas artes.

4.7.7 ¿Cuál es mejor?

Eterna pregunta. Ni uno ni otro, me explico. Si quieres incrementar la seguridad

en tu blog o web creada con WordPress, evitar correr riesgos y no ser el

protagonista de alguno de los puntos que te he mencionado en la introducción,

cualquiera de los dos plugins es una excelente opción.

Es más, a pesar de no haber probado los otros tres que también te comento, me

atrevo a decir que cualquiera de ellos es igualmente una muy buena opción.

https://wordpress.org/plugins/browse/popular/




Guía práctica



Edición: 1

Página: 32 of: 60


Lo que no te recomendaría si te acabas de adentrar en WordPress y no tienes un

perfil técnico es instalar varios plugins de este tipo a la vez, es decir, emplearía

uno u otro, pero no varios al mismo tiempo.

Si no tienes soltura en asuntos técnicos y se manifiesta algún problema de

incompatibilidad puesto que son herramientas pensadas para lo mismo, no

necesariamente complementarias entre sí, es posible que te vieras inmerso en

asuntos delicados, por lo que de momento te lo desaconsejo.

En este hilo del foro de WordPress.org se plantea esta posibilidad, tener

instalados a la vez Wordfence y Better WP Security. Si te lees el hilo te adelanto

que no se observan problemas de incompatibilidad a la vista.

Pues bien, hoy te puedo confirmar que pueden convivir los dos plugins a la vez,

es más, en mi caso personal los dos plugins participan de la seguridad de mi

blog.

4.8 Evita el SPAM con el plugin akismet

Una de los problemas a los que te enfrentas cuando creas tu blog es el SPAM.

Akismet es la mejor herramienta hasta la fecha (que yo conozco) para ventilarte

de un plumazo el SPAM. Literalmente te olvidas del SPAM con este plugin.

Akismet viene preinstalado en WordPress, lo único que tienes que hacer es

activarlo.

http://wordpress.org/support/topic/any-compatibility-issues-using-both-better-wp-security-wordfence-security

http://akismet.com/


Guía práctica



Edición: 1

Página: 33 of: 60


4.8.1 ¿Cómo configuro Akismet para que me ayude con el SPAM?

1. Activa el plugin

2. Activa la cuenta de Akismet


Guía práctica



Edición: 1

Página: 34 of: 60


A continuación tienes que conseguir tu clave API (2). Una vez obtenida, tienes

que pegarla en el campo (3) y hacer clic en Usar esta clave. Desde ese momento

Akismet se pone en modo trabajo y se encarga del SPAM por ti. ¡Listo!

3. La clave API la obtienes desde la web de Akismet


Guía práctica



Edición: 1

Página: 35 of: 60


4.8.2 Ejemplo del trabajo que hace Akismet

En la imagen inferior tienes una captura de pantalla con 891 comentarios

moderados por Akismet en el blog www.administrandowp.com en un momento

determinado.

Fíjate en la cantidad de comentarios de spam. Es posible que alguno se haya

escapado pero revisarlos todos ya te digo que no viable ni por asomo. Elimínalos

todos y a otra cosa.


Guía práctica



Edición: 1

Página: 36 of: 60


5 Otras herramientas de seguridad que tienes a

tu alcance

5.1 El archivo .htaccess

El fichero htaccess es un fichero del Servidor Web Apache mediante el cual es

posible definir distintas directivas que permiten modificar el comportamiento del

servidor web posibilitándote argumentos para realizar configuraciones a medida

sin necesidad de cambiar el comportamiento general del servidor.

Dicho de otro modo, el archivo htaccess te abre las puertas a un amplio abanico

de posibilidades a tu alcance que te ayuda a proteger tu blog de mentes

malintencionadas.

Nota. Tu blog construido con WordPress, normalmente, funciona bajo la estela

de un servidor Web Apache. Tanto WebEmpresa como Siteground trabajan con

servidores Web Apache.

No voy a entrar aquí en detalle sobre todas las posibilidades que ofrece la

edición de este archivo, dado que son numerosas y fácilmente da para otra guía

práctica. De hecho, tienes este libro a tu dispoción que yo mismo me he

comprado para que no se me escape detalle.

Lo que si voy a hacer es presentarte el trabajo de Jeff Starr, un desarrollador de

WordPress que durante varios años ha estado creando y perfeccionando unas

http://httpd.apache.org/docs/current/howto/htaccess.html

http://gestion.webempresa.eu/gestion/aff.php?aff=062

http://www.siteground.com/index.htm?afcode=306a796b0209e83a80a7fd2094d8e132

https://htaccessbook.com/

https://plus.google.com/116997484632739778984/posts


Guía práctica



Edición: 1

Página: 37 of: 60


directivas para el archivo htaccess enfocadas proteger nuestro blog de la

actividad maliciosa de terceros.

Lo que ha hecho es compartir con el resto del mundo su trabajo, trabajo que ha

probado en entornos reales, es decir, con sus clientes y sus proyectos

personales.

Este trabajo lo publica abiertamente en su blog perishablepress.com y nos lo

deja disponible para descarga.

5.1.1 Las reglas para .htaccess preconfiguradas de perishablepress.com

Las reglas preconfiguradas de perishablepress son fruto del trabajo de varios

años, por lo que a medida que se han ido realizando cambios en ellas se han

creado distintos nombres para el conjunto de las mismas. Las directivas más

recientes hasta la fecha son las llamadas 5G Blacklist 2013.

5.1.2 5G Blacklist 2013

Tal y como el mismo Jeff indica en su sitio web y cito literalmente:

“The 5G Blacklist is a simple, flexible blacklist that checks all URI requests against a

series of carefully constructedHTAccess directives. This happens quietly behind the

scenes at the server level, saving resources for stuff likePHP and MySQL for all blocked

requests.”

Te lo traduzco a mi manera:



Guía práctica



Edición: 1

Página: 38 of: 60


La lista negra 5G es una simple y flexible que se encarga de filtrar las peticiones URLI

mediante una serie muy cuidadosa de directivas definidas en el archivo htaccess.

Todo ello se produce silenciosamente en la trastienda, a nivel del servidor,

ahorrándonos los recursos de php y de mysql de todas las solicitudes bloqueadas.

Esto es, un “cortafuegos” para todo tipo de actividad maligna que se pone en

marcha en nuestro servidor web Apache.

Tenemos por tanto, unas reglas prefabricadas, fruto del trabajo de años de

experiencia de un desarrollador web especializado en WordPress que las emplea

en blogs y páginas web protegiéndolos en modo silencioso sin dar problemas… y

digo yo, ¿qué hacemos que no las estamos empleando?

Pues eso, que te muestro a continuación qué es lo que tienes que hacer y cómo

para que tu blog –o web- también se pueda beneficiar de este trabajo.

5.1.3 Localiza el archivo htaccess y edítalo

Una forma de acceder al archivo htaccess de tu blog o web es emplear el

administrador de archivos que viene por defecto en tu cpanel o emplear un

programa FTP como filezilla.

5.1.3.1 Localizar archivo htaccess mediante administrador de archivos

http://www.administrandowp.com/cliente-ftp-filezilla/


Guía práctica



Edición: 1

Página: 39 of: 60


Accede a tu cpanel, localiza el epígrafe de archivos y haz clic en el administrador

de archivos. Localiza la carpeta “public_html” y navega por los archivos hasta

encontrar el archivo htaccess.

Al presionar sobre el icono “Code Editor” accedes a la herramienta de edición y

ves el contenido del archivo.


Guía práctica



Edición: 1

Página: 40 of: 60


Nota. Doy por hecho que en tu WordPress, en el Menu Ajustes / Enlaces

permanentes tienes configurada una opción distinta a la predeterminada, si

hacemos un guiño al SEO, y a lo aprendido en Quondos, la estructura

personalizada o el nombre de la entrada es la mejor opción.

Te digo esto porque a lo mejor es posible que no veas un archivo htaccess.

Confío que no sea tu caso. Si es así, tan solo, configura los enlaces permanentes

con una opción distinta a la predeterminada en tu WordPress y verás que te

aparece el archivo.



Guía práctica



Edición: 1

Página: 41 of: 60


5.1.3.2 Localizar archivo htaccess mediante FileZilla

En el caso de que optes por esta opción, descárgate el archivo htaccess a tu

ordenador y a continuación te recomiendo que lo trabajes y edites con el

programa Notepad++

http://notepad-plus-plus.org/


Guía práctica



Edición: 1

Página: 42 of: 60


Una vez localizado el archivo lo que tienes que hacer es, y cito literalmente lo

que indica el autor en su web:

To use: include the entire 5G Blacklist in the root .htaccess file of your site.

Remember to backup your original .htaccess file before making any changes.

Test thoroughly while enjoying your favorite beverage. If you encounter any

issues, please read the troubleshooting tips and/or leave a comment to report a

bug.

Note: in some cases it may be necessary to place the QUERY STRING rules

before WP-permalink rules.

Dicho a mi manera:

Copia el contenido completo de las reglas preconfiguradas 5G Blacklist en el

archivo raíz de tu sitio. Recuerda hacer una copia de tu archivo original antes de

realizar ningún cambio, por si las moscas. Haz pruebas a fondo mientras

disfrutas de tu bebida favorita. Si encuentras algún problema, echa un vistazo a

los consejos para solucionarlos y/o deja un comentario para informarme de un

error.

Nota. En algunos casos puede ser necesario colocar las reglas relativas a “Query

String” antes que las reglas “WP-Permalink”

Esto es, literalmente, copiar y pegar las reglas que tiene publicadas en su página

en el archivo. Guardar los cambios y listo.


http://perishablepress.com/5g-blacklist-2013/#troubleshooting

http://perishablepress.com/5g-blacklist-2013/#comment

http://perishablepress.com/5g-blacklist-2013/#troubleshooting

http://perishablepress.com/5g-blacklist-2013/#comment


Guía práctica



Edición: 1

Página: 43 of: 60


En mi experiencia, te puedo decir que tengo el archivo htaccess editado con

estas reglas desde Noviembre de 2013 y hasta la fecha todo ha ido como la seda.

No tengo en la chistera ningún episodio oscuro. ¡Toco madera!


Guía práctica



Edición: 1

Página: 44 of: 60


Te dejo una copia exacta a la que hay publicada en la web de perishablepress

en esta guía. Comienza y termina con texto sobreado en amarillo.

# 5G BLACKLIST/FIREWALL (2013)

# @ http://perishablepress.com/5g-blacklist-2013/

# 5G:[QUERY STRINGS]

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteCond %{QUERY_STRING} (\"|%22).*(<|>|%3) [NC,OR]

RewriteCond %{QUERY_STRING} (javascript:).*(\;) [NC,OR]

RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3) [NC,OR]

RewriteCond %{QUERY_STRING} (\\|\.\./|`|=\'$|=%27$) [NC,OR]

RewriteCond %{QUERY_STRING}

(\;|\'|\"|%22).*(union|select|insert|drop|update|md5|benchmark|or|and|if)

[NC,OR]

RewriteCond %{QUERY_STRING} (base64_encode|localhost|mosconfig) [NC,OR]

RewriteCond %{QUERY_STRING} (boot\.ini|echo.*kae|etc/passwd) [NC,OR]

RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC]

RewriteRule .* - [F]

</IfModule>

# 5G:[USER AGENTS]

<IfModule mod_setenvif.c>


Guía práctica



Edición: 1

Página: 45 of: 60


# SetEnvIfNoCase User-Agent ^$ keep_out

SetEnvIfNoCase User-Agent

(binlar|casper|cmsworldmap|comodo|diavol|dotbot|feedfinder|flicky|ia_archi

ver|jakarta|kmccrew|nutch|planetwork|purebot|pycurl|skygrid|sucker|turnit

|vikspider|zmeu) keep_out

<limit GET POST PUT>

Order Allow,Deny

Allow from all

Deny from env=keep_out

</limit>

</IfModule>

# 5G:[REQUEST STRINGS]

<IfModule mod_alias.c>

RedirectMatch 403 (https?|ftp|php)\://

RedirectMatch 403 /(https?|ima|ucp)/

RedirectMatch 403 /(Permanent|Better)$

RedirectMatch 403 (\=\\\'|\=\\%27|/\\\'/?|\)\.css$)$

RedirectMatch 403 (\,|$\+|/\,/|\{0\}|$/\(|\.\.\.|\+\+\+|\||\\\"\\\")

RedirectMatch 403 \.(cgi|asp|aspx|cfg|dll|exe|jsp|mdb|sql|ini|rar)$

RedirectMatch 403 /(contac|fpw|install|pingserver|register)\.php$

RedirectMatch 403 (base64|crossdomain|localhost|wwwroot|e107\_)

RedirectMatch 403 (eval\(|\_vti\_|\(null$|echo.*kae|config\.xml)

RedirectMatch 403 \.well\-known/host\-meta

RedirectMatch 403 /function\.array\-rand

RedirectMatch 403 \)\;\$$this$\.html$


Guía práctica



Edición: 1

Página: 46 of: 60


RedirectMatch 403 proc/self/environ

RedirectMatch 403 msnbot\.htm$\.\_

RedirectMatch 403 /ref\.outcontrol

RedirectMatch 403 com\_cropimage

RedirectMatch 403 indonesia\.htm

RedirectMatch 403 \{\$itemURL\}

RedirectMatch 403 function

RedirectMatch 403 labels\.rdf

RedirectMatch 403 /playing.php

RedirectMatch 403 muieblackcat

</IfModule>

# 5G:[REQUEST METHOD]

<ifModule mod_rewrite.c>

RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)

RewriteRule .* - [F]

</IfModule>

# 5G:[BAD IPS]

<limit GET POST PUT>

Order Allow,Deny

Allow from all

# uncomment/edit/repeat next line to block IPs

# Deny from 123.456.789

</limit>


Guía práctica



Edición: 1

Página: 47 of: 60


5.1.4 6G Beta / 6G Firewall

Como te decía con anterioridad, la seguridad como la vida misma evoluciona

constantemente, en este sentido, la continuación de las reglas prefabricadas 5G

blacklist 2013 tienen su continuidad en el proyecto 6G beta, es decir, en fase de

construcción aún pero más cerca.

En esta web tienes todos los detalles. Estaremos pendientes del resultado del

trabajo.

6 Mi web está infectada con malware, ¿qué puedo

hacer?

Todos los puntos anteriores que te he mencionado van encaminados a prevenir

el hecho de tener un problema pero, ¿qué pasa ti ya tengo el problema

encima de la mesa? ¿qué pasa si tengo mi web infectada por algún virus o

malware? ¿Qué pasa si me han hackeado la web? En ese caso, ¿qué puedo

hacer?

Si tu web está infectada es probable que -si no te has dado cuenta tu antes- tus

visitantes o seguidores te alerten (vía twitter, mail, etc) del problema, en

ocasiones, el antivirus del ordenador puede hacer saltar la alarma y en otros

casos es más evidente y Google puede mostrar a tus visitantes un cartel

maravilloso como este:

http://perishablepress.com/6g-beta/


Guía práctica



Edición: 1

Página: 48 of: 60


Si en los resultados de búsqueda Google muestra este cartel, la broma puede ser

bastante agravante porque puedes empezar a perder visitas, muchas visitas.

Cuando más tiempo tardes en resolverlo más perdida de tráfico tendrás.

¿Cuánto cuesta tener tu sitio bloqueado? ¿Cuánto cuesta el daño a tu imagen?

Seguro que puedes hacerte una idea del coste que tiene una situación como

esta.

6.1 ¿Qué pasa si tengo mi web infectada por algún virus,

malware o me la han hackeado?

Evitando en la medida de lo posible entrar en modo pánico, en el caso de que tu

blog -o web- este infectado con malware u otro tipo de herramienta maliciosa o

te lo hayan hackeado, lo más sensato que puedes hacer es:


Guía práctica



Edición: 1

Página: 49 of: 60


1. Cambia todas las contraseñas de inmediato. La contraseña de acceso

FTP (recuerda emplear siempre FTP en modo cifrado), email,

administración de tu blog... ¿Es posible que tu ordenador tenga algún

bichito? Pasa el antivirus y asegúrate de que tu PC no es el problema.

2. Tratar de determinar cuándo te han infectado la web. En el caso de que

tengas un cartel como el que te he mostrado antes es muy aconsejable

que estés dado de alta en las herramientas de Google para Webmasters.

Esta herramienta es de ayuda dado que te notifica, aproximadamente, de

la fecha de la infección. Además, con esta herramienta puedes avisar a

Google cuando el problema esté resuelto para que lo revise y retire el

cartel maravilloso. Así no alarmas a tus visitantes.

3. A continuación, trata de restaurar una copia de seguridad de tu blog

de tu blog anterior a la infección. Si tienes automatizadas tus copias y las

haces de forma recurrente este paso debería ser fácil. Ojo, verifica que la

copia no esté infectada. Aunque te pueda parecer raro, esto pasa.

4. Si no tienes copias de seguridad de tu blog, contacta con tu proveedor de

hosting. Es posible que ellos tengan copias de seguridad y te ayuden a

restaurarla.

5. Tras restaurar la copia, verifica que todo es correo. En caso de que no

sea así, tu copia de seguridad está comprometida y lo mejor es pasar al

punto 6 o al 7.

6. En profundidad:

a. Mi artículo sobre como desinfecté un sitio al completo paso a paso

7. Contrata un servicio especializado.

http://www.administrandowp.com/cliente-ftp-filezilla/

https://www.google.com/webmasters/tools/home?hl=es



http://www.administrandowp.com/limpiar-malware-wordpress/


Guía práctica



Edición: 1

Página: 50 of: 60


6.2 ¿Cómo puedes saber si la copia de blog o web está

infectada?

Haciendo un escáner en cualquiera de estos sitios

1. http://www.virustotal.com

2. http://sitecheck.sucuri.net

3. http://www.avgthreatlabs.com/website-safety-reports/

4. http://safeweb.norton.com

O mediante evidencias que no dejan lugar a dudas, como esta:

Si no sabes ni cómo ni cuándo te han infectado la web, si no tienes copias de

seguridad o, en caso de tenerlas no sabes restaurarlas, ni tampoco sabes

verificar si están infectadas, entonces querido lector, tendrás que rascarte el

bolsillo y contratar un servicio especializado.

http://www.virustotal.com/

http://sitecheck.sucuri.net/

http://www.avgthreatlabs.com/website-safety-reports/

http://safeweb.norton.com/


Guía práctica



Edición: 1

Página: 51 of: 60


6.3 ¿Qué proveedores existen que te ayudan a limpiar tu

blog o web?

6.3.1 Sucuri.net

Se trata de una empresa especializada en limpiar tu web de virus y/o malware

(programas maliciosos) y de sacarte de sacarte de las listas negras.

Si Google muestra el cartel maravillo cuando la gente visita tu blog –o web-,

entonces, estás en la lista negra de sitios web y blogs peligrosos. Una vez lo

limpies, tendrás que decirle a Google: “¡ea! ¡Que ya he limpiado mi sitio, revísalo,

sácame de la lista negra y quítame el cartel maravilloso majo! Si contratas el

servicio de sucuri.net, este trabajo lo hacen por ti.

Adicionalmente, al contratar el servicio, se encargan de monitorizar tu blog o

web para tratar de evitar que se vea comprometido una vez más, es decir, acto

seguido de tener el problema se meten de lleno en evitar que te vuelva a

suceder. Prevenir siempre es mejor que curar pero como no siempre actuamos

conforme a las buenas prácticas, lo normal es que tengamos que curar.

http://affl.sucuri.net/?affl=6bad1495143b7b449205ce3b67ee7520


Guía práctica



Edición: 1

Página: 52 of: 60


6.3.2 ¿Qué ofrece sucuri.net?

Remoción y Limpieza de Páginas Ilimitadas

Verificaciones Automáticas de Malware & Hacks

Verificación de Listas Negras & Monitoreo

Bloquee a los Hackers con ayuda de nuestro Firewall de Sitios Web

Protección contra Denegación de Servicio Avanzada (DDoS)

SSL & PCI Compliance

Dispones de los planes: Básico, Pro y Business

Hasta la fecha no he tenido la necesidad de hacer uso de los servicios de Sucuri

ya que no he tenido ningún episodio oscuro y en caso de producirce tengo las

herramientas y la pericia suficiente para darle solución.

Si no es tu caso y los planes de acción o contingencia no te resultan, no dudaría

en contratarlos. También puedes contactar conmigo.

http://www.administrandowp.com/ir/sucuri





Guía práctica



Edición: 1

Página: 53 of: 60


6.3.3 HackRepair.com

HackRepair.com es una alternativa a sucuri.net ofrecida por Jim Walker, un

experto en seguridad web afincado en California.

Ofrece un servicio de limpieza de tu sitio web con resultados visibles en cuestión

de horas. También hace el ejercicio de sacarte de las listas negras en hasta 24

horas.


Guía práctica



Edición: 1

Página: 54 of: 60


7 ¿Quién soy yo?

En primer lugar, muchas gracias por suscribirte a la mi lista de correo y por

descargarte esta guía práctica sobre seguridad en WordPress.

Mi intención es hacerte la vida un poco más fácil mostrándote cómo aplicar

medidas de seguridad prácticas y útiles para tu blog –o web- construido con

WordPress con el sano propósito de que evites que sea hackeado a las primeras

de cambio.

Mi nombre es Paul Benítez y vivo en Madrid con mi

mujer y mi hija de 10 años.

A finales de Diciembre de 2012 tras muchas vueltas

con Joomla y siguiendo los consejos de Franck

Scipion, decidí empezar a aprender todo lo que

estuviese a mi alcance sobre WordPress con la sana

intención de compartirlo contigo, darme a conocer y

comenzar a generar ingresos pasivos ofreciendo

valor alrededor de esta herramienta.

Con esos objetivos en mente, le di un giro de 180 grados a la temática de mí blog

www.tecnofilos.net, hoy www.admistrandowp.com, y comencé a escribir

artículos prácticos, guías y tutoriales con el propósito de enseñarte a crear,

administrar, mantener, acelerar y con esta guía, a proteger tu blog -o web-

construido con WordPress con el fin de ahorrarte tiempo y dinero.

http://forum.joomla.org/viewtopic.php?f=87&t=705222

http://www.joomla.org/

http://www.lifestylealcuadrado.com/acerca-de-franck-scipion/

http://www.lifestylealcuadrado.com/acerca-de-franck-scipion/

http://wordpress.org/

http://www.tecnofilos.net/

http://www.admistrandowp.com/


Guía práctica



Edición: 1

Página: 55 of: 60


Desde Agosto de 2013 escribo para:

Ayudar a las personas que se inician en WordPress, por ejemplo, están en

la fase de que quieren aprender a crearse un blog -o una web-.

Ayudar a las personas que ya cuentan con un blog -o web- con WordPress,

por ejemplo, publicando artículos sobre plugins, temas, migraciones de

hosting, mejorar la seguridad, mejorar la velocidad de carga…

Ayudar a las personas que carecen de un perfil técnico, piensan que no

tienen destreza suficiente, la tecnología les bloquea, piensan que no

tienen el control de su blog y que están faltos de la pericia necesaria para

mantenerlo, administrarlo y personalizarlo.

Abrirme puertas colaborando con diseñadores gráficos y web que

emplean WordPress como gestor de contenidos.

Mi intención es aportar luz para que superes la barrera tecnológica, pierdas el

miedo y consigas tener el control suficiente de tu blog o web en todo momento

ahorrándote tiempo y dinero. Por lo pronto, si aplicas lo que explico en esta guía

tendrás un blog mucho más seguro.

Al fin y al cabo WordPress es una herramienta tecnológica, una aplicación web

que te ayuda y en el propósito de construir tu blog o web solo que, en

determinados escenarios exige una pericia técnica que quizás no tengas, no

hayas adquirido aún o sencillamente no te apetezca adquirir y prefieras delegar

ese trabajo en otra persona.

Contacta conmigo y valoramos como podemos colaborar juntos.



Guía práctica



Edición: 1

Página: 56 of: 60


Si quieres saber más sobre mi:

Perfil en linkedin

Perfil en Google+

Visita mi página quien soy

8 Límite de responsabilidad

Esta guía se proporciona tal cual, con la sana intención de ayudar a los usuarios

responsables y administradores de sus blogs o sitios web creados con

WordPress a protegerlos contra actividades maliciosas. Mediante el uso de esta

guía, asumes todo el riesgo y responsabilidad de lo que pueda suceder, sea

bueno o malo.

He hecho todo lo posible para escribir todos los contenidos de esta guía de

forma precisa, transparente y honesta pensando en ayudarte a mejorar la

seguridad de tu WordPress. Si lo que lees en la guía no te resulta de fácil

aplicación, tienes dudas, o no te ves seguro, por favor, aplica el sentido común y

no intentes hacer algo que pueda mermar su funcionamiento de tu blog o sitio

web.

Si tienes dudas al aplicar algún punto o directamente no sabes cómo aplicarlo,

contacta conmigo para tratar de ver cómo podemos colaborar juntos.

Si observas algún error en la guía, dato incorrecto y crees que debería ser

corregido, por favor, házmelo saber para modificarlo. ¡Muchas gracias!

https://www.linkedin.com/in/paulbntz

https://plus.google.com/u/0/+PaulBenítez/about/p/pub

http://www.administrandowp.com/quien-soy/




Guía práctica



Edición: 1

Página: 57 of: 60


9 Fuentes

Esta guía, aparte de mi propia experiencia, ha sido posible gracias a la

recopilación de información desde diferentes fuentes, páginas y blogs de

Internet. Desde aquí mi agradecimiento a todos ellos por compartir tanta y tan

buena información.

9.1 Lista de fuentes

http://www.cws-tech.com/es/la-seguridad-de-wordpress/

http://www.securitybydefault.com/2013/04/moddynip-como-proteger-

wordpress-de.html

http://isocialweb.com/como-instalar-wordpress-correctamente-para-seo-y-

seguridad/

http://wordpress.org/support/topic/set-up-a-secret-key-in-wordpress-25

http://www.forosdelweb.com/f118/para-que-sirve-auth_key-secure_auth_key-

logged_in_key-etc-673355/

http://forobeta.com/tutoriales-de-wordpress/131973-seguridad-wordpress.html

http://www.webempresa.com/blog/item/1390-protege-y-bloquea-el-dashboard-

de-wordpress-con-Latch-de-eleven-paths.html

https://github.com/ElevenPaths/Latch-plugin-wordpress

http://www.decidetunube.com/ponle-un-pestillo-tu-blog/


http://ayudawp.com/ataque-masivo-de-fuerza-bruta-contra-wordpress-estas-

preparado/



http://blog.elevenpaths.com/2014/02/guias-detalladas-de-instalacion-de.html

http://www.cws-tech.com/es/la-seguridad-de-wordpress/

http://www.securitybydefault.com/2013/04/moddynip-como-proteger-wordpress-de.html

http://www.securitybydefault.com/2013/04/moddynip-como-proteger-wordpress-de.html

http://isocialweb.com/como-instalar-wordpress-correctamente-para-seo-y-seguridad/

http://isocialweb.com/como-instalar-wordpress-correctamente-para-seo-y-seguridad/

http://wordpress.org/support/topic/set-up-a-secret-key-in-wordpress-25

http://www.forosdelweb.com/f118/para-que-sirve-auth_key-secure_auth_key-logged_in_key-etc-673355/

http://www.forosdelweb.com/f118/para-que-sirve-auth_key-secure_auth_key-logged_in_key-etc-673355/

http://forobeta.com/tutoriales-de-wordpress/131973-seguridad-wordpress.html

http://www.webempresa.com/blog/item/1390-protege-y-bloquea-el-dashboard-de-wordpress-con-latch-de-eleven-paths.html


https://github.com/ElevenPaths/latch-plugin-wordpress

http://www.decidetunube.com/ponle-un-pestillo-tu-blog/


http://ayudawp.com/ataque-masivo-de-fuerza-bruta-contra-wordpress-estas-preparado/

http://ayudawp.com/ataque-masivo-de-fuerza-bruta-contra-wordpress-estas-preparado/



http://blog.elevenpaths.com/2014/02/guias-detalladas-de-instalacion-de.html


Guía práctica



Edición: 1

Página: 58 of: 60


http://www.webempresa.com/blog/item/1390-protege-y-bloquea-el-dashboard-

de-wordpress-con-Latch-de-eleven-paths.html

http://wordpress.org/plugins/bulletproof-security/




http://codecanyon.net/item/security-ninja/577696

http://www.uncommunitymanager.es/identidad-digital/

http://www.mamatambiensabe.com/2013/02/madres-blogueras-cuidado-nos-

atacan.html

http://dulciaolivari.com/nuestro-blog-libre-de-riesgo/

http://javiergomez.eu/sucuri-cinco-consejos-evitar-google-blacklist-malware-

bloqueo/



10 Aviso

Esta guía práctica ha sido producida con pasión y sudor por Paul Benítez, así

que, por favor:

No copies partes de este la guía y las publiques en tu blog o web, con o sin

atribución/créditos.

No publiques esta guía práctica, eBook, en plataformas gratuitas.

Gracias por tu comprensión y colaboración.



http://wordpress.org/plugins/bulletproof-security/




http://codecanyon.net/item/security-ninja/577696

http://www.uncommunitymanager.es/identidad-digital/



http://dulciaolivari.com/nuestro-blog-libre-de-riesgo/





Documents

Guía práctica seguridad en wordpress final