Etiqueta: wordpress es seguro

Ya sabemos que WordPress es seguro, cómo mantenerlo actualizado y además como incrementar su seguridad. Ahora lo que nos queda saber es qué hacer en un caso de desastre total…

Prevenir antes que curar

Ya lo dice el refrán: más vale prevenir que curar. Y de esto va la información que vas a encontrar aquí. Como se decía al inicio, anteriormente hemos escrito sobre cómo incrementar la seguridad, pero no siempre es un problema de seguridad el que un sitio WordPress se rompa. Puede haber muchos factores, algo tan sencillo como que la máquina donde está tu web se estropee.

Para evitar llegar a un extremo al que no quiere nadie llegar, lo que vamos a tener que preparar es un sistema de plan de contingencia.

El plan de contingencia

Como en muchas situaciones, hemos de ponernos en lo peor, y en el caso de WordPress, es que nuestro sitio deje de funcionar o se borre, o nos lo consigan manipular y podamos llegar a perder la información.

Para esto debemos tener un plan de contingencia que puede ser de muchos niveles. Y que podríamos dividir en 3 niveles: copias de seguridad, sistemas redundados y alta disponibilidad.

Las copias de seguridad

Este es el sistema mínimo y básico que hemos de tener para nuestro WordPress. Por ahora WordPress no dispone de un sistema propio de copias de seguridad, por lo que necesitamos depender de un sistema tercero para realizar esas copias.

¿Qué hemos de copiar y guardar? Básicamente 4 elementos:

• El programa (software). Es el contenido que incluye el núcleo de WordPress, los plugins y temas, además de todos los contenidos media que hayas podido subir.
• La información (base de datos). En la base de datos se almacenan los contenidos y configuraciones de tu sitio, tus páginas, entradas y otros contenidos que hayas podido guardar y publicar.
• La configuración del servidor web. Dependiendo del sistema que uses (Apache, nginx) pueden ser unos contenidos u otros. El más conocido es el fichero .htaccess. En caso de duda, consulta con tu proveedor de hosting para que te indique qué ficheros deberías guardar.
• Los certificados TLS. Aunque los certificados se pueden regenerar, lo mejor es tener disponible y guardados los ficheros de los certificados para poder configurarlos de nuevo en caso extremo.

Para hacer copias de seguridad tenemos varias opciones. La primera de ellas suele estar en el proveedor de hosting, que suele disponer de sistemas propios para hacer copias de todo nuestro sitio y configuración. Es importante saber y preguntar cómo y qué se puede recuperar en caso de un desastre y haya que restaurarla, ya que en algunos casos se podrá recuperar fichero a fichero y en otros se tendrá que sobrescribir toda la información, perdiendo la información nueva que haya habido entre la copia y el momento actual.

En otros casos podemos configurar un plugin de copias de seguridad de los que hay en el repositorio de WordPress y que puedes encontrar entre los plugins etiquetados como backup.

Como última opción, siempre puedes realizar la copia manualmente. Por ejemplo, descargando los ficheros por FTP, la base de datos con algún panel del tipo a phpMyAdmin y el resto de las configuraciones dependerán del sistema o del hosting.

Existe una alternativa que es la de crear copias instantáneas de volumen (snapshots) en los que se hace una copia puntual en el tiempo de cómo se encuentra el sistema. En estos casos, a la hora de realizar la restauración podemos sobrescribir el sistema actual con el de ese momento, o podemos montar un nuevo sistema, acceder y recuperar la información que requiramos.

Sistemas redundados

Un sistema redundado es aquel en el que en realidad tienes dos o más veces tu WordPress funcionando, pero sólo lo hace uno a la vez. Además, estas instalaciones están configuradas mediante un sistema primario-secundario, en el que hay una instalación principal, y cualquier cambio que se haga, se va heredando al resto de versiones.

En caso de que el WordPress principal falle, pasaría a ponerse en marcha de forma manual o automática la segunda edición del sitio.

Normalmente estos sistemas se encuentran distribuidos o federados para no encontrarse físicamente en el mismo lugar. Por ejemplo, si hay un corte de electricidad en un centro de datos, se mandaría a los usuarios a otros centros de datos en otras localizaciones.

En cualquier caso, estos sistemas ya suelen tener sus propios mecanismos para hacer copias de seguridad de forma recurrente.

Alta disponibilidad

Sin duda es el sistema óptimo, pero el más complejo y caro (de precio) ya que requiere de bastante inversión y recursos.

En este caso, tendríamos varias copias de nuestro sitio web funcionando a la vez, en distintas localizaciones, y a los usuarios se les manda de forma independiente a cualquiera de ellas. Por norma general, para que esto funcione al menos ha de haber 3 localizaciones. De la misma manera que el caso anterior, aquí también es imprescindible tener copias de seguridad ya que toda la información se copia y replica a la vez en todos los sistemas.

Previamente hemos visto cómo es la seguridad de WordPress y cómo realizar tareas de actualización.

¿Podemos hacer WordPress más seguro?

Sí, siempre se puede.

Navegando de forma segura con HTTPS

Hasta hace un tiempo las páginas web comenzaban mayormente por HTTP://. Este es el protocolo por el que se pueden ver las páginas web de forma “normal”. Porque existe otro sistema, ahora muy habitual, que es el de HTTPS://. Este sistema con esa S extra; una S de seguro. Es lo mismo que antes, pero la información va cifrada.

La diferencia entre un sistema y otro es que la información que va desde tu navegador hasta el servidor web (donde se encuentra la web), y del servidor web a tu navegador, en el segundo caso va cifrado mediante un certificado TLS (anteriormente SSL). Esto hace que todos los contenidos que van y vienen no puedan ser interceptados con ataques de intermediario o eavesdropping.

Si tu sitio web no aparece por defecto con https://, te recomendamos que escribas a tu empresa de hosting para preguntarles cómo conseguir hacerlo, ya que con un certificado Let’s Encrypt se puede hacer de forma sencilla y gratuita.

Usando contraseñas seguras

Cuando creas o te crean un usuario en WordPress suele aparecerte una contraseña “rara”. Esta contraseña suele tener letras en mayúsculas, en minúsculas, con números y símbolos. Una contraseña así, de unos 12 caracteres se suele considerar segura.

De todas formas, hoy en día tenemos facilidades para almacenar contraseñas distintas para cada sitio, ya que nuestro navegador de Internet suele incorporar la función de recordar contraseña, además de tener herramientas y Apps que nos permiten actuar como gestor de contraseñas.

Aunque las contraseñas que incorpora WordPress son seguras, lo más recomendable es disponer de una contraseña alfanumérica (como mínimo) lo más larga posible, y en este caso hablaríamos de un mínimo de 18 caracteres. Sin duda, una contraseña muy larga pero menos compleja, es más segura que una contraseña corta y compleja.

Pero no hemos de olvidar que a veces no estamos trabajando nosotros solos en nuestro WordPress, sino que tenemos otros Usuarios, y, para bien o para mal, no podemos obligar a otros usuarios a que tengan contraseñas seguras.

Es por esto que siempre es muy recomendable incluir en los usuarios de nivel Administrador y Editor un sistema de doble validación (también conocido como Autenticación de múltiples factores). Desde el equipo de colaboradores de WordPress podemos recomendarte un plugin de la Comunidad WordPress llamado Two-Factor que permitiría la activación de este sistema (además, puedes colaborar en él si te interesa desde su ficha).

Protegiéndote de ataques externos

En algunos casos, tanto si tu sitio es muy conocido como si no lo es, puede que algunos usuarios maliciosos (o ciberdelincuentes) quieran atacar tu sitio de forma masiva. En estos casos te recomendamos el uso de un cortafuegos (firewall) como capa de seguridad.

Existen muchos tipos de cortafuegos a muchos niveles. Los más avanzados son máquinas (servidores) físicos que se ponen entre los usuarios y los servidores web. En otros casos, existen aplicaciones en el sistema operativo que actúan, en este caso a nivel de programa. Como un nivel más cercano a WordPress, podemos encontrar los WAF (Web Application Firewall) como cortafuegos de aplicación web. Para los casos de WordPress existen multitud de ellos en forma de plugin y que puedes encontrar entre los plugins etiquetados como firewall.

Como vimos en la entrada previa, WordPress es una herramienta considerada segura, siempre y cuando la mantengamos actualizada y al día.

¿Cuál es la mejor forma de mantener WordPress seguro?

Muy simple: las actualizaciones automáticas.

¿Cómo configuro las actualizaciones automáticas?

Antes de configurarlas, hemos de saber que WordPress está compuesto de 3 grandes partes: el núcleo (el propio WordPress), los plugins y los temas.

Cada una de estas partes es independiente cuando hablamos de las actualizaciones automáticas.

¿Cómo actualizo el núcleo?

Hay varias formas. La más moderna es configurar el sistema de actualizaciones automáticas para las versiones mayores (que incluye cualquier actualización que salga).

Para esto accederemos al menú de opciones del Escritorio y allí tenemos una subsección llamada Actualizaciones.

Desde WordPress 5.6, podrás decidir si quieres configurar que sólo se actualicen las versiones menores o se actualicen las versiones mayores. En general, la recomendación es tener la última versión del núcleo de WordPress.

Otras opciones más manuales son las de entrar en esa misma sección cuando haya una nueva versión y darle al botón de “Actualizar”. Recuerda siempre hacer una copia de seguridad de tu sitio.

Finalmente, un sistema más manual aún es la de descargarte la última versión desde la web (el fichero ZIP), descomprimirlo en tu ordenador, y subir todos los ficheros por FTP. No es lo mejor, pero funciona.

¿Cómo actualizo los plugins o temas?

Desde WordPress 5.4 existe la posibilidad que los plugins y temas se actualicen de forma automática. Si vamos al listado de plugins, veremos que en la parte derecha de cada uno de ellos tenemos la opción de “activar / desactivar actualizaciones automáticas”. Aquellos plugins simples en los que te sientas con seguridad de actualizar, actívalo.

En los temas ocurre algo similar, aunque en este caso la opción está viendo la ficha de uno de ellos. Si pulsas sobre el tema se abre una ventana y allí tendrás la misma opción para activar las actualizaciones automáticas.

En cualquier caso, siempre tendrás la opción de las actualizaciones pulsando en el botón de “Actualizar” de cada uno de ellos cuando haya una nueva versión.

Y, como no, el sistema más antiguo, es el de descargarte el plugin o tema y subirlo por FTP.

Como detalle interesante, desde hace ya unas versiones, si tienes un plugin externo sin actualizaciones automáticas, puedes descargar el ZIP y subirlo como “Añadir nuevo”. Si ya existe previamente, WordPress te dará un mensaje diciendo que ya existe, con información comparativa de la versión anterior y la nueva, y la posibilidad de continuar la actualización o cancelarla.

¿Qué pasa con los plugins o temas antiguos?

Este suele ser el mayor problema de seguridad, aquellos que no se actualizan desde hace tiempo y que, por norma general, no sabemos que están obsoletos.

Por esto es recomendable cada cierto tiempo (¿3 meses?) hacer una revisión de todos los plugins y temas, ver sus fichas en WordPress.org (o desde donde los hayas descargado) y comprobar que están actualizados, que la versión que tú tienes coincide con la última versión, y seguir los consejos que comentamos en el primero de los artículos.

Mi hosting es administrado ¿me hacen ellos las actualizaciones?

Por norma general la respuesta es “a medias”. Habitualmente las empresas de hosting que tienen soporte específico para WordPress se encargan de actualizar el núcleo de WordPress de forma más manual. Aunque salga una versión nueva, ellos se esperan unos días mientras hacen pruebas y simulaciones para validar que tu sitio va a funcionar sin problemas.

Pero de la misma forma que sí que suelen revisar el núcleo, no se encargan de revisar los plugins y temas. En cualquier caso, nunca está de más preguntarle a tu empresa de hosting de qué se encargan y de que no.

Una de las preguntas habituales sobre WordPress hace referencia a la seguridad del software, a cómo está construido, y a porqué se anuncia por Internet que no lo es.

¿Es WordPress seguro?

Respuesta corta: sí.

En cualquier caso, siempre puedes leer la documentación de seguridad en nuestro sitio web.

Y ahora la respuesta larga…

Para empezar, hay que decir que nada, absolutamente nada, es 100% seguro, por lo que WordPress puede tener, como el resto de los gestores de contenido, situaciones derivadas de la seguridad.

¿Eso significa que no lo sea? No. Significa que como WordPress está hecho por humanos, los humanos se equivocan y puede llegar a haber algo. Pero con una ventaja a diferencia de otros sistemas: WordPress es GPL; y esto significa que el código fuente, todo lo que se ha creado, es público y accesible para cualquiera, lo que permite que cualquiera sea capaz de encontrar si algo está mal o puede fallar, e incluso que sea un problema de seguridad y aún más: sugerir la corrección.

Nuevo código

Cada vez que se crea una parte nueva de WordPress se hace pública y otras personas la revisan, la prueban, y se incorpora en una primera versión de desarrollo, que posteriormente se convierte en una versión beta, luego en la versión candidata y finalmente en el código general. Todos estos pasos intermedios permiten que muchas personas hagan una revisión tanto de las funcionalidades como del código, pudiendo encontrar errores y sugiriendo soluciones.

Revisiones automáticas

Además de las revisiones que se pueden realizar previas al lanzamiento, existen muchas herramientas que analizan la seguridad del código (principalmente PHP). Teniendo en cuenta que WordPress es muy utilizado, incluso estas empresas realizan y participan de la revisión del código de forma libre y altruista, por lo que tenemos tanto a personas como a máquinas revisando posibles problemas.

¿Cómo hago que mi sitio sea y siga siendo seguro?

Muy sencillo: actualízalo. Has de tener en cuenta que WordPress está formado de muchas piezas, y cuando se habla de seguridad se habla de la suma de todas esas piezas. Si falla una, fallan todas.

Para que WordPress funcione hacen falta 4 partes: el sistema operativo de la máquina donde se ejecuta (Ubuntu, CentOS…), el servidor web (Apache, nginx…), PHP y la base de datos (MySQL, MariaDB…).

¿Hay que tener las últimas versiones de todo esto? No, no es necesario tener las últimas versiones, pero sí tener las versiones estables (o de seguridad) actualizadas. En general, todas estas piezas funcionan con un sistema de versiones de 3 partes / números. Por ejemplo, si WordPress tiene la versión 5.5.3. Las dos primeras cifras (5.5) son la versión mayor, que suele incorporar grandes cambios con respecto a la anterior (5.4), y la siguiente cifra (5.5.3) indica que desde que salió la primera versión (la 5.5.0) se han hecho pequeñas mejoras para corregir problemas que se han encontrado, de seguridad, de rendimiento o de funcionalidad.

En este caso, si usas WordPress 5.5.x sí que te recomendamos que uses la última versión menor, porque no debe fallar nada de tu sistema, e incluye las mejoras de seguridad pertinentes.

Esto sirve para todo lo mencionado, sistema operativo, servidor web, base de datos o PHP. En cualquier caso, pregunta a tu empresa de alojamiento (hosting) cómo trabajan con las actualizaciones y quién se encarga de ellas.

¿Y qué pasa con los plugins y temas?

Aquí es donde encontramos la mayoría de los problemas relacionados con la seguridad de WordPress.

WordPress puede funcionar sin plugins, pero requiere un tema, y por eso se incorporan los temas llamados Twenty-algo. Estos temas vienen con WordPress y son seguros, ya que los mantiene el mismo equipo de desarrollo.

¿Cómo sé si un plugin o tema es seguro?

No hay una manera 100% segura de saberlo, pero puedes seguir algunas pistas para tomar la decisión de si el complemento puede serlo.

Para empezar, revisaremos la fecha de la última actualización del plugin. Normalmente no se recomienda usar plugins que lleven más de 6 meses sin actualizar; esto no significa que no funcionen, significa que pueden no estar adaptados a las nuevas versiones de WordPress y generar problemas.

Otra cosa que puedes revisar son los datos de compatibilidad. Por norma general todos los plugins incluyen las versiones de WordPress sobre las que funciona, además de las versiones de PHP sobre las que funciona. Si todo encaja correctamente no deberías tener problemas. Además, como el código fuente de plugins y temas también sigue la licencia GPL y es público, se puede revisar para hacer los mismos análisis que en el propio núcleo de WordPress.