Facebook Twitter Youtube Linkedin

Seguridad para un Servidor WordPress

Deja un comentario / Uncategorized / Por

Tutorial Básico de Seguridad para un Servidor WordPress

La seguridad de un sitio WordPress depende tanto de las configuraciones a nivel de servidor como de las buenas prácticas dentro de la propia aplicación de WordPress.

1. Seguridad a Nivel de Servidor (Hosting)

Estas son medidas que se aplican directamente en el entorno donde tu WordPress está alojado.

  • Elección de un Hosting Seguro: No todos los proveedores de hosting son iguales. Elige uno que se especialice en WordPress y que ofrezca características de seguridad como:
    • Firewall de Aplicaciones Web (WAF): Filtra el tráfico malicioso antes de que llegue a tu sitio.
    • Escaneo de Malware: Detección y eliminación automática de software malicioso.
    • Certificados SSL/TLS Gratuitos: Para encriptar la conexión entre el usuario y tu web (HTTPS).
    • Copias de Seguridad Automáticas y Aisladas: Para poder restaurar tu sitio en caso de desastre.
    • Entornos Aislados (Containerization): Evita que la infección de un sitio en un servidor compartido afecte al tuyo.
  • Configuración Segura del Servidor:
    • Permisos de Archivos y Carpetas: Asegúrate de que los permisos estén configurados correctamente. Por regla general:
      • Carpetas: 755 o 750
      • Archivos: 644 o 640
      • wp-config.php: 600
    • Deshabilitar la Edición de Archivos: En el archivo wp-config.php, añade la siguiente línea para impedir que se puedan editar temas y plugins desde el panel de WordPress:
      PHP
      define('DISALLOW_FILE_EDIT', true);
    • Proteger el archivo wp-config.php: Este archivo contiene información sensible. Muévelo un nivel por encima del directorio raíz de WordPress si la configuración de tu servidor lo permite.

2. Componentes de Seguridad Dentro de WordPress

Estos son elementos y prácticas que implementas directamente en tu instalación de WordPress.

  • Plugins de Seguridad: Son la primera línea de defensa. Instala un plugin de seguridad de confianza que ofrezca un conjunto de herramientas. Algunas opciones populares son:
    • Wordfence Security: Ofrece firewall, escáner de malware, seguridad en el inicio de sesión y más.
    • Sucuri Security: Especializado en auditoría de actividad, escaneo de malware y fortalecimiento de la seguridad.
    • iThemes Security (antes Better WP Security): Proporciona más de 30 formas de proteger tu sitio.
  • Autenticación de Dos Factores (2FA): Añade una capa extra de seguridad al proceso de inicio de sesión. Requiere que los usuarios verifiquen su identidad a través de un segundo dispositivo (como un teléfono móvil) antes de acceder. La mayoría de los plugins de seguridad lo incluyen.
  • Contraseñas Robustas y Gestión de Usuarios:
    • Exige contraseñas fuertes para todos los usuarios.
    • Nunca uses «admin» como nombre de usuario.
    • Asigna los roles de usuario adecuados. No des permisos de administrador a quien no los necesite.
  • Actualizaciones Constantes: Mantén siempre actualizados:
    • El núcleo de WordPress.
    • Los plugins.
    • Los temas.Las versiones desactualizadas son uno de los principales vectores de ataque.
  • Limitar los Intentos de Inicio de Sesión: Para prevenir ataques de fuerza bruta, configura una herramienta que bloquee a los usuarios después de un número determinado de intentos fallidos de inicio de sesión. Esto suele estar incluido en los plugins de seguridad.
  • Cambiar la URL de Acceso (Login): Por defecto, la página de acceso de WordPress es wp-admin o wp-login.php. Cambiar esta URL dificulta que los bots la encuentren para lanzar ataques. Plugins como WPS Hide Login pueden hacerlo fácilmente.

En resumen, la seguridad en WordPress es un enfoque por capas. Comienza con un servidor seguro, añade los componentes de seguridad esenciales dentro de tu WordPress y mantén una rutina de mantenimiento y buenas prácticas.

Modos de ataque comunes contra un sitio WordPress (explicado, impacto, señales y mitigaciones rápidas)

Te doy una lista organizada de las formas de ataque más habituales contra instalaciones WordPress, con qué hacen, qué impacto tienen, señales de que están ocurriendo y cómo mitigarlas de forma práctica.

1. Plugins/temas/core desactualizados (vulnerabilidades conocidas)

  • Qué es: Explotación de fallos ya corregidos en versiones antiguas de WordPress, plugins o temas.

  • Impacto: RCE, SQLi, XSS, escalada de privilegios, backdoors.

  • Señales: Archivos modificados, comportamiento extraño, picos de tráfico/inicios de sesión, alertas del host o scanner.

  • Mitigación: Mantener todo actualizado; probar en staging; eliminar plugins/temas no usados; usar repositorios oficiales o fuentes de confianza.

2. Fuerza bruta en el login (password guessing)

  • Qué es: Intentos masivos de adivinar usuario/contraseña de wp-admin.

  • Impacto: Acceso admin, toma de control del sitio.

  • Señales: Muchos intentos de login en logs, IPs repetidas, bloqueo por WAF.

  • Mitigación: 2FA, contraseñas fuertes, limitar intentos (rate limiting), cambiar URL de login (ocultar no es seguridad completa), bloquear XML-RPC si no se usa.

3. XML-RPC abuse / Pingback DDoS

  • Qué es: Uso de xmlrpc.php para ejecutar métodos remotos (p. ej. pingback) o amplificación.

  • Impacto: Fuerza bruta, DDoS o uso como reflector.

  • Señales: Tráfico inusual a xmlrpc.php, logs con llamadas repetidas.

  • Mitigación: Deshabilitar xmlrpc si no se necesita; usar WAF para filtrar.

4. Cross-Site Scripting (XSS)

  • Qué es: Inyección de scripts en páginas que se ejecutan en el navegador de otros usuarios.

  • Impacto: Robo de cookies/sesiones, redirecciones maliciosas, defacement.

  • Señales: Contenido extraño en posts, redirecciones a sitios externos, alertas de navegador.

  • Mitigación: Validar/escapar entrada y salida, actualizar plugins, Content Security Policy (CSP), escaneo de vulnerabilidades.

5. SQL Injection (SQLi)

  • Qué es: Inyección de consultas maliciosas en parámetros que acceden a la base de datos.

  • Impacto: Exfiltración/alteración de datos, creación de cuentas admin.

  • Señales: Errores raros de BD, páginas que muestran datos inesperados, logs con payloads.

  • Mitigación: Usar consultas preparadas/funciones WP seguras, mantener software, WAF.

6. Remote File Inclusion / Local File Inclusion (RFI/LFI)

  • Qué es: Forzar al servidor a incluir/ejecutar archivos remotos o locales.

  • Impacto: RCE, backdoors.

  • Señales: Nuevos archivos .php en uploads, ejecución de código desconocido.

  • Mitigación: Restringir funciones PHP peligrosas, revisar permisos, validar uploads.

7. Upload de archivos maliciosos

  • Qué es: Subir .php o shells escondidos en directorios públicos (por ejemplo carpeta uploads).

  • Impacto: Control remoto total, persistencia.

  • Señales: Archivos con nombres extraños, ejecuciones desde /wp-content/uploads, shells detectados por scanner.

  • Mitigación: Restringir tipos MIME permitidos, almacenar uploads fuera del docroot o renombrarlos, bloquear ejecución PHP en /uploads con .htaccess.

8. Cross-Site Request Forgery (CSRF)

  • Qué es: Forzar a un usuario autenticado a ejecutar acciones sin su consentimiento.

  • Impacto: Cambio de configuración, envío de contenido, creación de usuarios.

  • Señales: Cambios de configuración sin explicación, acciones desde IPs distintas.

  • Mitigación: Nonces de WP, validar origen/referer, actualizar plugins.

9. Privilege escalation (escalada de privilegios)

  • Qué es: Aprovechar bug para pasar de rol bajo a admin.

  • Impacto: Control total del sitio.

  • Señales: Nuevas cuentas admin, cambios en permisos.

  • Mitigación: Revisar roles, usar principio de menor privilegio, auditoría regular, bloqueo de creación automática de admins.

10. Backdoors y malware (archivos persistentes)

  • Qué es: Código oculto que otorga acceso permanente incluso si parcheas la vulnerabilidad original.

  • Impacto: Persistencia del atacante, spam, minería, redirecciones.

  • Señales: Archivos PHP en temas/plugins inusuales, modificaciones de wp-settings, tráfico saliente a dominios desconocidos.

  • Mitigación: Escanear con herramientas (Wordfence, Maldet, Sucuri), restaurar desde backup limpio, cambiar credenciales.

11. Supply-chain / plugins “nulled” o con puertas traseras

  • Qué es: Plugins/temas pirateados que contienen código malicioso.

  • Impacto: Backdoors, robo de datos.

  • Señales: Funcionalidad extra rara, tráfico a dominios sospechosos.

  • Mitigación: Evitar nulled; usar solo fuentes confiables; revisar código de plugins antes de instalarlos.

12. Denegación de servicio (DDoS)

  • Qué es: Abrumar el servidor con tráfico para dejar el sitio inaccesible.

  • Impacto: Indisponibilidad del sitio.

  • Señales: Alta latencia, caídas, logs con muchas solicitudes.

  • Mitigación: CDN + WAF (Cloudflare, Fastly), escalado en hosting, reglas de rate limit.

13. Exposición de backups / archivos confidenciales

  • Qué es: Backups o archivos de configuración accesibles públicamente (wp-config.bak, .sql).

  • Impacto: Filtración de credenciales DB, salts, claves API.

  • Señales: Backups descargables desde web, archivos .sql o .zip en public_html.

  • Mitigación: Guardar backups fuera del docroot, proteger con permisos, no mantener dumps accesibles.

14. Información sensible por permisos incorrectos

  • Qué es: Permisos de archivos/dirs demasiado laxos permiten modificación o lectura.

  • Impacto: Alteración de archivos, lectura de config.

  • Señales: Permisos 777, propietarios extraños.

  • Mitigación: Usar permisos seguros (ficheros 644, directorios 755, wp-config 600/640), revisar owner.

15. Inyecciones en REST API

  • Qué es: Explotar endpoints REST para inyectar o extraer datos.

  • Impacto: Exposición de datos, modificación remota.

  • Señales: Llamadas inusuales a /wp-json/, respuestas con datos sensibles.

  • Mitigación: Limitar/filtrar endpoints, autenticación adecuada, WAF.

16. Phishing / defacement / SEO spam

  • Qué es: Insertar páginas que roban credenciales o redirigen, o inyectar spam en contenido.

  • Impacto: Daño reputacional, listas negras (Google), pérdida de tráfico.

  • Señales: Contenido desconocido en el site, backlinks extraños, advertencias en Google Search Console.

  • Mitigación: Eliminar malware, revisar usuarios, limpiar DB, pedir reconsideración a Google.

17. Clickjacking

  • Qué es: Sitio cargado en iframes para engañar al usuario.

  • Impacto: Acciones forzadas, phishing.

  • Señales: Tu web aparece embebida en dominios extraños.

  • Mitigación: X-Frame-Options: DENY o SAMEORIGIN; CSP frame-ancestors.

18. Robo de sesión / cookies inseguras

  • Qué es: Cookies no seguras o sesiones expuestas (HTTP en vez de HTTPS).

  • Impacto: Secuestro de cuentas.

  • Señales: Sesiones hijackeadas, accesos desde IPs extrañas.

  • Mitigación: Forzar HTTPS, marcar cookies Secure + HttpOnly, usar SameSite.

19. Server-side misconfigurations (PHP, DB, server)

  • Qué es: Configuración insegura del servidor (phpinfo público, directorios listados).

  • Impacto: Exposición de información para ataques, ejecución de código.

  • Señales: Directorios indexables, phpinfo accesible.

  • Mitigación: Hardening del servidor, desactivar funciones peligrosas, deshabilitar directory listing.

Prioridad práctica (qué hacer primero)

  1. Backup completo fuera del servidor (si no lo tienes, créalo ahora).

  2. Actualizar WordPress + plugins + temas (en staging primero si es posible).

  3. Cambiar credenciales (admin, FTP, DB), activar 2FA.

  4. Escaneo completo (Wordfence, Sucuri o scanner del host) y revisar archivos modificados.

  5. Eliminar plugins/temas no usados y reemplazar plugins no confiables.

  6. Configurar WAF/CDN (Cloudflare, Sucuri, o WAF del host).

  7. Revisar permisos y deshabilitar ejecución en uploads.

  8. Habilitar HTTPS y cookies seguras.

  9. Limitar intentos de login / bloquear xmlrpc si no se usa.

  10. Monitoreo continuo: registros, alertas, integridad de archivos.

Herramientas útiles (rápido)

  • Backups: UpdraftPlus, BackWPup (configurar fuera del servidor).

  • Escaneo y WAF: Wordfence, Sucuri, MalCare, Cloudflare WAF.

  • Auditoría / integridad: plugins que chequen cambios en archivos, logs de seguridad.

  • Hardening: siga la guía oficial de hardening de WordPress (wp-config salts, desactivar edición de archivos desde dashboard, etc.).

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Copyright © 2023 Diego Gordillo, Todos los derechos reservados.