Taller de Seguridad en WordPress. Configuramos el plugin All In One WP Security and Firewall

Taller de Seguridad en WordPress. Configuramos el plugin All In One WP Security and Firewall

WordPress en sí es seguro. Mucho. Hay una comunidad detrás que funciona mejor que muchas grandes empresas privadas. Actualizaciones constantes y muchísimos temas y plugins que ayudan a tener nuestros sites funcionando seguros y a toda máquina. Y además bonitos y a la última. #AmorDeWordPress

Sin embargo, el mayor problema de WordPress son sus usuarios. Es así. Todos cuando empezamos no tenemos ni idea y montamos temas y plugins a lo loco sin mirar qué estamos haciendo. Pensamos que cuantos más plugins mejor y que los temas podemos poner cualquiera así a lo loco.

Pues no.

Errores típicos que me encuentro en webs de clientes.

1.- Temas abandonados:

Este año me he encontrado con dos webs infectadas por un tema obsoleto. Son temas que has buscado por ahí y no en el repositorio oficial de WordPress. Estos temas tienen muchas papeletas de tener agujeros de seguridad por los que los robots piratas infectan y usan tu site para enviar spam o atacar bancos.

¿Cómo evito esto?

Fijándonos en los tres datos básicos que muestra la descripción de los temas en wordpress.org.

  • Actualización: Que no hayan pasado muchos meses desde su última versión.
  • Instalaciones activas: Que tenga varios miles, a no ser que seas un pro y un tester no hagas experimentos con tu web.
  • Valoraciones: Cuatro estrellas o más es una garantía de éxito.
ejemplo de tema seguro y actualizado para WordPress GeneratePress
Nosotros usamos mucho GeneratePress. Es ejemplo de tema seguro, muy ligero y actualizado constantemente para WordPress.

2.- Temas o plugins nulled o piratas

Un amigo me ha pasado el DIVI, que dice que es toda la caña, pirateado para que funcione gratis.

Miedo.

Ten mucho miedo.

Cuando un tema te lo descargas «por ahí» probablemente tenga virus o alguna captación de datos del piratilla de turno. No te fíes. ¿Que vas a llevar pasarelas de pago? ¿En serio? Pues no sé cómo decirte esto. No lo hagas. Usa sólo temas del repositorio oficial de WordPress o de sitios de confianza para la comunidad.

3. Webs abandonadas sin actualizar.

Hace unos meses sufrimos un «bug» en un plugin e infectó a docenas de clientes. Era un plugin de RGPD y nos costó muchas horas de trabajo limpiar los sites que no actualizaron en cuanto avisamos del fallo.

Es que me da miedo actualizar por si me deja de funcionar mi web.

De verdad. Si tenéis miedo a eso, hablad con vuestro hosting acerca de la política de copias de seguridad. Seguro que hay una copia de la noche anterior a la que volver. Y en el 99% de los casos, por actualizar nunca pasa nada. y si pasa, tiene arreglo en el 100% de los casos.

4. Contraseñas simples

Cuando usamos como contraseña nuestra fecha de nacimiento o nuestro nombre seguido de un número es un error demasiado común. Estamos invitando a los hackers a probar suerte con nuestras cuentas de usuario a ver si consiguen acceso de administrador a nuestro site para poder hackear. Hay una lista de unos pocos miles de contraseñas que representa el 30% (lo digo de memoria) de todas las contraseñas web.

Vamos, que somos muy poco originales

Y los hackers lo saben. Usan aplicaciones webs que comprueban con listados de contraseñas contra tu web. Y lo hacen a diario. Cada minuto, muchas veces. A no ser que pongamos medios. Uno de ellos es instalar plugins de seguridad en nuestras webs.

Listado de ataques a induscomp.com en los últimos días. Generado con WordFence.
Listado de ataques a induscomp.com en los últimos días. Generado con el plugin de Firewall WordFence.

Asegurando nuestras webs con plugins

En este vídeo-taller os hablo de All In One WP Security and Firewall. Sirve para proteger bastantes puntos por donde atacan los piratas de turno.

Este vídeo es muuuuy largo (44 minutos) y me gustaría que lo usárais como referencia por si os atascáis en alguna parte o no sabéis para qué sirve cada cosa. Verlo del tirón puede ser muy duro. 😀

Es más. Si queréis dejar las webs exactamente igual de bien defendidas que yo lo he hecho con espejito-espejito.com, no tenéis más que descargaros la configuración de mi AIO WP S & F e importarla en vuestro propio blog.

Este sistema no está garantizado, así es que aseguráos que tenéis copia de seguridad y sabéis aplicarla. O al menos que tenéis el teléfono de quien os lo pueda hacer.

Descargamos el archivo de configuración de aquí abajo Copiamos y pegamos el código que indicamos aquí abajo y seguimos el paso a paso de la imagen.

Paso a paso de cómo importar los ajustes de all in one WP security & Firewall
Paso a paso de cómo importar los ajustes de all in one WP security & Firewall

Lo importamos copiando y pegando el txt del archivo de descarga que tenéis aquí abajo, porque el otro método no me ha funcionado todas las veces y el del txt sí. Aquí tenéis el archivo de descarga.

Esta lección contiene material que está restringido solo para nuestros alumnos de la plataforma. Contiene más texto importante, vídeo, imágenes, audio o recursos hechos con mucho amor.

Para ver toda la lección completa si eres alumno ACCEDIENDO COMO ALUMNO, o si aún no te has registrado SUSCRÍBETE YA. Sin permanencia.

¡¡Importante: Tenéis que darle a buscar y reemplazar el correo soporte@induscomp.com por el vuestro propio o si no me llegarán a mí vuestras alertas de seguridad!!

Y si queréis saber para que sirve cada cosa aquí me tenéis 44 minutos hablando acerca de cómo configurar cada opción de este completísimo plugin. Y también traduciendo qué significa cada cosa, que algunas las he tenido que googlear. 😀

Esta lección contiene material que está restringido solo para nuestros alumnos de la plataforma. Contiene más texto importante, vídeo, imágenes, audio o recursos hechos con mucho amor.

Para ver toda la lección completa si eres alumno ACCEDIENDO COMO ALUMNO, o si aún no te has registrado SUSCRÍBETE YA. Sin permanencia.

Aparte de este plugin suelo utilizar WordFence y también Anti-Malware Security and Brute-Force Firewall. Si me lo pedís hacemos otro taller para cada uno de ellos.

Ponedme en los comentarios si necesitáis algo más para poder ayudaros con vuestros WordPress.

Un abrazo y gracias por vuestro apoyo.

Deja un comentario