Seguro que últimamente habéis escuchado en las noticias cosas sobre el apagón general del que están avisando a los gobiernos. El desgaste de la tecnología y los avisos sobre ciberataques son cada vez más frecuentes, y es que la protección ha pasado de estar en las calles, a estar en nuestro hosting. Esto sucede debido a que los ataques que menos esperamos y de los que nos damos cuenta más tarde, son aquellos que suceden a través de la red. Para evitar exponer tu página de WordPress a este tipo de ciberataques, os traigo información sobre el nuevo plugin que han desarrollado desde SiteGround: SiteGround Security, un plugin de protección contra vulnerabilidades para tu WordPress.
Un plugin de protección en WordPress es obligatorio
Antes de analizar a fondo las ventajas de este plugin, voy a explicar por qué es necesario tener un plugin de protección dentro de cualquier sitio web hecho con WordPress.
Si cogemos un plugin de protección promedio, de los que sabemos que funcionan bien, detecta aproximadamente unos 50.000 ataques por minuto. Esto, teniendo en cuenta dos variables, la primera es que solo cuenta los ataques ha que sido capaz de detectar (evidentemente), y la segunda que este resultado solo corresponde a la muestra de este plugin, que representa un 1% del total. Si hacemos un cálculo rápido podemos hacernos una ligera idea de los ataques que suele haber por minuto en sitios hechos con WordPress. Sin una buena garantía de seguridad nos enfrentamos, en el mejor de los casos a una invasión de comentarios, redirecciones, pérdida de contenido y todo plagado de spam.
Qué es SiteGround Security
SiteGround Security es un plugin desarrollado por el equipo de SiteGround, que esta pensado especialmente para garantizar la seguridad de cualquier sitio de WordPress de forma gratuita. Este complemento para el famoso CMS asegura protección contra las vulnerabilidades más comunes. Los nuevos usuarios de WordPress que alojen su web con el hosting de SiteGround, podrán disfrutar de esta solución ya preinstalada… ¡Pero que no cunda el pánico! Por qué también podemos encontrarlo y descargarlo de forma gratuita el repositorio de WordPress.
Si bien es cierto que estos proveedores de hosting destacan, para mi, por la buena calidad de su servicio, por mucha diferencia con respecto a su competencia; en este caso no es necesario tener el hosting contratado con ellos para poder hacer uso de este plugin. Y ahora vamos a ver en detalle qué es lo que ofrece SiteGround Security que lo hace tan novedoso.
Protección contra ataques comunes de forma predeterminada con SiteGround Security
Una de las primeras pistas para un hacker a la hora de preparar un ciberataque, es saber que el sitio web está hecho con WordPress y qué versión está utilizando en ese momento. Pero gracias a la configuración predeterminada que presenta este plugin, elimina esta información. Esto lo hace, junto con el archivo read me (archivo que presenta información sobre el sistema y documentación específica sobre la versión de WordPress) que aparece con estos datos.
Gracias a esta configuración por defecto, al intentar rastrear e investigar el sitio web, no se podrá ver el software con el que se ha realizado, ni la información relativa a la misma para obtener así vulnerabilidades a través de las que poder atacar.
Protección contra vulnerabilidades xss habilitada
Una de las grandes vulnerabilidades que tiene WordPress, es que a través de aplicaciones y códigos JS, permite a ciertos usuarios acceder a datos del CMS a los que no debería. Por este motivo la configuración predeterminada al instalar SiteGround Security lleva activada la protección avanzada contra vulnerabilidades xss, indicando que no acepte la indexación de código externo, a través de encabezados que dan indicaciones a los navegadores sobre los tipos de código que deben aceptar.
Desactiva el protocolo XML – RPC
Este protocolo es el que se utilizaba para conseguir conectar WordPress con otro tipo de sistemas y aplicaciones, intercambiando información a tiempo real entre ambos. La realidad es que desde la aparición de la REST API, cada vez se utiliza menos este protocolo, y únicamente deja vías de comunicación abiertas.
Este protocolo suele ser visitado para explorar vulnerabilidades y posibilidades de ciberataques. Por este motivo, se desactiva de forma predeterminada en el momento en el que se pone en funcionamiento el plugin de seguridad del que estoy hablando.
Hay algunas aplicaciones que necesitan de este protocolo para el intercambio de información, en el momento en el que esto se precise, se puede activar el protocolo sin ningún problema. Esto se puede activar, para hacer uso de la aplicación en concreto, a través de la interfaz de configuración de SiteGround Security. Ya que estoy hablando de la configuración predeterminada que muestra por defecto, no de opciones inamovibles que no tengan retorno.
Bloqueo y protección de carpetas predeterminada de SiteGround Security
Otra práctica muy usual entre los hackers, suele ser ejecutar archivos maliciosos a través de las carpetas de acceso público de WordPress, por ejemplo, las galerías; para tener maneras diferentes de acceder a tu información. En la configuración predeterminada de esta aplicación se detectan las ejecuciones maliciosas, se limitan y bloquean, antes de que actúen. Permitiendo de esta manera al usuario que se mantenga seguro, pero que sus archivos se carguen y ejecuten desde secuencias inofensivas.
Refuerzo de seguridad en el inicio de sesión
Otra de las grandes ventajas de esta extensión, es el aporte de seguridad inicial en el momento de iniciar sesión en nuestro sitio de WordPress, pues en este momento puede haber muchas vulnerabilidades que pueden ser aprovechadas para ataques externos.
Cambio de la URL de inicio de sesión del sitio web
Para evitar que sea tan sencillo ingresar en el panel del sitio web, como poner la dirección seguida de /wp-admin/, SiteGround Security permite crear una dirección diferente para acceder al backend de WordPress. De esta manera el administrador del panel deberá conocer la dirección exacta antes poder intentar iniciar sesión y se les habrá puesto al menos una piedra más en el camino a los que intenta acceder a contenido y datos que no les pertenecen.
Deshabilitar el nombre «Admin»
Esto es una cosa que todos sabemos y verdaderamente una gran cantidad de usuarios de WordPress siguen haciendo. Los hackers también lo saben, y van a agotar esa oportunidad la primera, por eso este plugin deshabilita este nombre de usuario por defecto, para que no se pueda utilizar. Cuanto más difícil esté nuestro sitio para acceder por cualquier parte, mucho mejor.
Controlar IP e inicios de sesión
Otra característica que nos permite hacer esta extensión es controlar la IP desde la que se inicia sesión en el panel de WordPress. También podemos desactivar por un tiempo el inicio de sesión, o limitar los intentos. Esto puede funcionar, por ejemplo si durante el fin de semana sabemos que nadie va a acceder al backend del sitio web, yo recomiendo desactivar el acceso. Se puede activar manualmente desde el propio panel de ajustes del plugin si se necesita.
Verificación en dos pasos
Personalmente este tipo de inicios de sesión me parecen un poco tediosas. Pero siempre puede venir bien saber que están ahí por si hablamos de un sitio web con datos delicados, o acceso restringido. Si trabajas en una agencia con un equipo grande, puede que necesites acotar el acceso de las personas que trabajan en ciertos proyectos. También lo veo útil para sitios web en los que intervienen varias empresas y hay muchos datos en movimiento, ya que es el trabajo de muchos el que está en juego.
SiteGround Security muestra un registro de actividad de administradores
Por último, SiteGround Security guarda un registro de actividad e inicio de sesión de los administradores del sitio. Esto va a permitir llevar un seguimiento de lo que se ha estado haciendo en cada momento, y si se detecta alguna actividad o inicio sospechoso, en el apartado Post – Hack del plugin, hay un listado de acciones útiles para llevar a cabo en estos casos.
Si crees que la seguridad de tu web se ha visto comprometida, si albergas bases de datos importantes, si tienes vulnerabilidades que no sabes como solucionar… no lo dejes, ponte en contacto con profesionales. Déjate asesorar.
Yo personalmente, siempre recomiendo el alojamiento de SiteGround por la experiencia que he tenido con ellos, pero además de esto, ofrecer un plugin con estas condiciones, de manera gratuita para cualquier usuario, seas o no su cliente… me parece increíble. Si dudas sobre qué hosting es el mejor para WordPress puedes echar un vistazo por aquí, pero si te interesa la ciberseguridad, recuerda que con el hosting de SiteGround este plugin ya viene preinstalado. Y si no, lo tienes aquí mismo.
La ausencia de ayuda profesional se paga cara
Como se suele decir, si se te rompe una pierna vas al médico, y si se te rompe una tubería llamas al fontanero. Pues si se te rompe tu web, o buscas mejorar tus resultados, contacta con un consultor SEO y con profesionales del marketing digital. Por qué es un profesional especializado en este sector.
Y sobre todo, para estas personas que quieren hacer volar su negocio a través de la comunicación digital, no saben lo lejos que pueden llegar hasta que deciden poner unas alas a su espalda para echar a volar.