Ebook Guia Practica Seguridad en Wordpress Final v4

Documento: Gua-prctica-
seguridad-en-
Guas prcticas wordpress_final_v4.doc
AdministrandoWP.Com Edicin: 1
Pgina: 0 of: 74
Publicado: 10-08-2014
Seguridad en WordPress Gua prctica Creado por: Paul Bentez
Para: AdministrandoWP.com
Contenido Pg.
1 DEDICATORIA ................................................................................................................................ 2
2 INTRODUCCIN ............................................................................................................................. 2
2.1 QU TE PUEDE SUCEDER SI ALEGREMENTE DESCUIDAS LA SEGURIDAD DE TU WORDPRESS? .................... 2
3 10 O MS FORMAS DE ASEGURAR WORDPRESS. .................................................................. 5
3.1 CONTRATAR UN HOSTING PROFESIONAL Y DE CONFIANZA ..................................................................... 5
3.2 REALIZAR COPIAS DE SEGURIDAD Y AUTOMATIZARLAS ........................................................................... 8
3.2.1 Tienes un sistema de copias de seguridad automatizado?...................................................... 8
3.2.2 De qu tengo que hacer copias de seguridad? .......................................................................... 8
3.2.3 De acuerdo, ya s de qu tengo que hacer las copias, ahora cmo las hago y automatizo?
8
3.2.4 Quieres ver en detalle cmo se hace? ......................................................................................... 9
3.2.5 Se puede hacer de otro modo? .................................................................................................... 9
3.2.6 Qu pasa si tengo un problema y tengo que emplear mi copia de seguridad? Cmo
restauro mi blog o web? ............................................................................................................................ 10
4 MEDIDAS PRCTICAS DE SEGURIDAD PARA CONFIGURAR EN TU WORDPRESS .......... 11
4.1 CAMBIA EL USUARIO ADMINISTRADOR POR DEFECTO .......................................................................... 11
4.1.1 Cmo, cundo y dnde se hace esto? ....................................................................................... 11
4.1.2 Ejemplo prctico. Cuntos intentos de acceso sin xito se realizan en
www.administrandowp.com con el usuario admin? ............................................................................. 12
4.2 EMPLEA CONTRASEAS EN CONDICIONES .......................................................................................... 14
4.3 CAMBIA EL PREFIJO DE LAS TABLAS POR DEFECTO................................................................................ 16
4.3.1 Cundo, cmo y dnde cambio el prefijo?............................................................................... 18
4.3.2 Cmo cambio el prefijo de las tablas con Better WP Security o Ithemes Security?............. 19
4.4 EMPLEA LA CARACTERSTICA DE CLAVES NICAS DE AUTENTIFICACIN (CLAVES SECRETAS) ...................... 22
4.4.1 Entonces, cul de los dos archivos tengo que editar? wp-config o wp-config-sample.php 23
4.5 ACTUALIZA TU WORDPRESS ............................................................................................................. 24
4.6 ACTUALIZA TUS PLUGINS Y TEMAS ..................................................................................................... 27
4.7 EMPLEA UN PLUGIN DE SEGURIDAD ................................................................................................... 28
4.7.1 Better WP Security ahora iThemes Security. .............................................................................. 28
4.7.2 Security Ninja. ............................................................................................................................... 29
4.7.3 Wordfence ...................................................................................................................................... 29
4.7.4 AIO WP Security & Firewall Plugin ............................................................................................... 29
4.7.5 BulletProof Security ...................................................................................................................... 29
4.8 EVITA EL SPAM CON EL PLUGIN AKISMET .......................................................................................... 31
4.8.1 Cmo configuro Akismet para que me ayude con el SPAM?.................................................. 31
Gua-prctica-seguridad-en-wordpress_final_v4.doc www.administrandowp.com pg. 0 de 74

seguridad-en-
Seguridad en WordPress wordpress_final_v4.doc
Gua prctica Edicin: 1
Pgina: 1 of: 74
4.8.2 Ejemplo del trabajo que hace Akismet ....................................................................................... 33

5 OTRAS MEDIDAS PRCTICAS DE SEGURIDAD QUE TIENES A TU ALCANCE .................. 34
5.1 LATCH EN WORDPRESS.................................................................................................................... 34
5.1.1 Qu es Latch? ............................................................................................................................... 34
5.1.2 Quin est detrs de esta tecnologa? ...................................................................................... 35
5.1.3 Cul es la idea de Latch? ............................................................................................................ 35
5.1.4 Qu necesito para empezar a probar y utilizar Latch? .......................................................... 35
5.1.5 Cmo puedes proteger tu WordPress con Latch? Cmo se configura? .............................. 36
5.2 MODIFICA EL ARCHIVO .HTACCESS..................................................................................................... 50
5.2.1 Las reglas para .htaccess preconfiguradas de perishablepress.com ..................................... 51
5.2.2 5G Blacklist 2013........................................................................................................................... 52
5.2.3 Localiza el archivo htaccess y edtalo ......................................................................................... 53
5.2.4 6G Beta / 6G Firewall .................................................................................................................... 61
6 MI WEB EST INFECTADA CON MALWARE, QU PUEDO HACER? .................................. 61
6.1 QU PASA SI TENGO MI WEB INFECTADA POR ALGN VIRUS, MALWARE O ME LA HAN HACKEADO? ......... 62
6.2 CMO PUEDES SABER SI LA COPIA DE BLOG O WEB EST INFECTADA? ................................................. 64
6.3 QU PROVEEDORES EXISTEN QUE TE AYUDAN A LIMPIAR TU BLOG O WEB? .......................................... 64
6.3.1 Sucuri.net ....................................................................................................................................... 64
6.3.2 Qu ofrece sucuri.net? ................................................................................................................ 65
6.3.3 HackRepair.com ............................................................................................................................ 66
7 QUIN SOY YO? ........................................................................................................................ 68
8 LMITE DE RESPONSABILIDAD ................................................................................................. 70
9 FUENTES ...................................................................................................................................... 71
9.1 LISTA DE FUENTES............................................................................................................................ 71
10 AVISO ........................................................................................................................................ 72

seguridad-en-
Pgina: 2 of: 74
1 Dedicatoria
A las 2 mujeres de mi vida, Patricia & Sandra.
Y para ti, querido lector, por querer prevenir antes que curar, empezando a
valorar la seguridad de tu WordPress.
Feliz lectura. Ah va
2 Introduccin
A da de hoy tengo la certeza de que la seguridad de tu blog (o sitio web) creado
con WordPress es una de tus preocupaciones por lo que, no me voy a ir por las
ramas y te voy a ensear al menos 10 formas, buenas prcticas, pasos (como
queramos llamarlo) que puedes aplicar desde hoy mismo en tu blog o web para
reducir de forma notable la probabilidad de que tengas un compromiso.
A lo que t me puedes preguntar, a qu compromisos de refieres? A cualquiera
de estos que te menciono a continuacin entre otros.
2.1 Qu te puede suceder si alegremente descuidas la

seguridad de tu WordPress?
Entre otras cosas:
1. Que te introduzcan en tu blog o web la web de un banco para hacer phising
o que te intenten engaar mediante phising para que te instales en tu blog un
plugin.

seguridad-en-
Pgina: 3 of: 74
2. Que te borren el blog o la web.
3. Que empleen tu blog para ejecutar ataques DDOS
4. Que hagan SPAM desde tu blog o web.
5. Que te cuelen un programa un programa malicioso (virus, etc) y cada vez que
alguien visita tu web o blog dicho programa se instalaba en el ordenador de
tu lector o visitante. El caso Javier EN.
6. Que te suceda lo que a David o a Javier.
7. Que te suceda lo que ha Catalina Echeverry (empleando blogger). La
prevencin es cosa nuestra independientemente de la herramienta.
8. Otros
No te puedo dar garantas de que realizando los pasos que te indico en la gua
evites al 100% que te veas inmerso en alguno de estos problemas.
Garantizrtelo sera temerario e imprudente por mi parte ya que la seguridad en
la web, como en la vida misma, es un captulo vivo y en constante evolucin.
En cambio, si decides seguir adelante y aplicar lo que te explico en este
documento, te puedo asegurar de que reducirs considerablemente la
probabilidad de ser el protagonista de cualquiera de las historias que antes te he
mencionado.
En esta gua prctica te voy a mostrar al menos 10 pasos que estn a tu alcance
y que puedes implementar desde hoy mismo para mejorar la seguridad de tu
blog o web notablemente.

seguridad-en-
Pgina: 4 of: 74
Son pasos fciles de aplicar (te ayudar a implementarlos) para conseguir que
tu sitio web sea ms seguro y menos propenso a caer en manos de mentes
oscuras que quieren aprovecharse de tu sitio web o blog de algn modo u otro.
Mi intencin es transmitirte los conocimientos prcticos que yo mismo he
adquirido para que t tengas la certeza de que tu blog (o web) creado con
WordPress no se ver comprometido a las primeras de cambio.
Adems, si incurres en un compromiso, tendrs la tranquilidad de que no
perders tu trabajo.
Te adelanto que cuando termines de leer y de aplicar los consejos prcticos de
esta gua podrs enfocarte en otros asuntos, como:
1. La creacin de contenido relevante en tu nicho
2. La creacin y estrategia de tu lista de correo
3. La estrategia en redes sociales
4. La estrategia SEO
5. La estrategia de networking
6. Otros asuntos que consideres relevantes para el futuro de tu web o blog
En resumen, lo que vas a ver son los pasos que yo mismo aplico en todos los
sitios web o blogs que construyo o en los que colaboro. Hasta la fecha, los
compromisos que he experimentado los he podido solventar en tiempos
razonables.

seguridad-en-
Pgina: 5 of: 74
Nota. Para elaborar esta gua prctica he recopilado informacin por Internet en
distintas fuentes, he tomado consejos recibidos, he consultado en redes sociales
y he plasmado mi propia experiencia. Todas las fuentes recopiladas se
mencionan al final, en el epgrafe de fuentes. Vamos all!
3 10 o ms formas de asegurar WordPress.
3.1 Contratar un hosting profesional y de confianza
A la hora de minimizar los riesgos de seguridad para tu blog o sitio web uno de
los aspectos a tener en cuenta es el hosting, dicho de otro modo
Qu empresa de hosting me ofrece seguridad y confianza para alojar mi
sitio web o blog?
Te cuento. Existen multitud de servicios de hosting y no voy a entrar en el debate
sobre cual es ms seguro o menos seguro, cual es mejor o cual es peor. Lo que
voy a hacer es proponerte los que en mi experiencia -y en experiencia de
personas cercanas- son proveedores de confianza, se preocupan por la
seguridad y te puedo recomendar, lo que no significa que, dado el caso, el
hosting donde ests actualmente alojado sea inapropiado, de poca confianza o
inseguro.
Si lo estimas oportuno, siente libre de hacerme tu consulta y trato de ayudarte a
valorarlo.
Por cierto, no te lo he dicho, pero esta gua contiene enlaces de afiliado. Si
compras un producto servicio desde alguno de mis enlaces obtendr una

seguridad-en-
Pgina: 6 of: 74
comisin. Entre otras cosas, me ayudars a pagar las facturas (luz, agua, gas,
libros de cole, ya sabes ) y a seguir apostando por el proyecto. Muchas gracias!
Por favor, avsame si compras con uno de mis enlaces y en contrapartida cuenta
conmigo para ayudarte (slo para los 20 primeros al mes) personalmente a
configurar lo que vas a ver en esta gua en tu blog o web si no terminas de
aclararte del todo con los pasos que aqu explico. Tienes la gua prctica y
adems cuentas con mi ayuda para ejecutar todos los pasos. 100% beneficio
para ti!!
Te digo esto porque a veces soy un poco difcil de entender cuando escribo, me
lo dice mi hija.
Continuamos. Atendiendo a mi experiencia te puedo recomendar:
1. Hostgator. Se caracteriza por tener buenas prestaciones a bajo precio en
sus planes de alojamiento compartido Hatchling, Baby y Business. En mi
opinin, Hatchling y Baby son suficientes para empezar un pequeo sitio
web o blog. El plan Baby y Business te permiten alojar mltiples dominios,
lo que en mi opinin es muy recomendable contando con que el aumento
de precio es nada desmesurado.
El precio bsico empieza en 3,96 dlares/mes al ao. Si empleas el cupn
de descuento TECNOFILOS obtendrs un 25% de descuento adicional el
primer ao en el plan que contrates. Precio ms que ajustado.

seguridad-en-
Pgina: 7 of: 74
2. Siteground. Puede ser tu hosting de entrada tambin. Su precio es ms
elevado lo que en contrapartida se traduce en que tienes a tu servicio una
serie de prestaciones adicionales enfocadas a, la seguridad de
WordPress (auto-actualizacin de WordPress, servidores compartidos
seguros, proteccin de las cuentas de usuarios aislando unas de otras) a
la velocidad (servidores y software ms potente, repartidos por todo el
mundo) y un equipo de especialistas en WordPress a tu disposicin
(tiempos de respuesta de atencin de 15 minutos o menos en sus sistema
de tickets, de 10 segundos en llamadas por telfono y sin apenas esperas
en el sistema de chat online). El inconveniente es que el ingls es el idioma
de contacto y soporte.
Los planes StartUp, GrowBig y GoGeek tienen un precio especial del 50%
sobre su precio habitual durante el primer ao. El segundo ao y
sucesivos, su precio se duplica. A tener en cuenta.
Su precio bsico, StartUp empieza en 3,95 euros/mes el primer ao. El
segundo asciende a 7,95 euros y sucesivos.
Actualmente, para www.administrandowp.com y otros proyectos tengo
contratado el plan GrowBig.
3. Webempresa. Puede ser tu hosting de entrada tambin, su precio es
similar a Siteground pero sin el inconveniente de ste, es decir, tienes un
equipo de soporte para WordPress en castellano.

seguridad-en-
Pgina: 8 of: 74
Su precio bsico empieza en 5.93 euros/mes al ao.
Cualquiera de estos tres proveedores es una buena alternativa si ests
pensando en crearte un blog o una web e incluso si ests pensando cambiarte
de hosting. Si es tu caso, te dejo un tutorial ampliado y prctico donde puedes
ver paso a paso cmo realizar la migracin. Video incluido!
3.2 Realizar copias de seguridad y automatizarlas
Tienes tu blog (o web) construido con WordPress, instalado, operativo en tu
hosting y recibes cientos, miles de visitas, comentarios a diario y adems vendes.
Vamos que tienes un blog que es todo un xito.
3.2.1 Tienes un sistema de copias de seguridad automatizado?

Si tu respuesta es no, ya sabes por donde tienes que empezar. Ve al punto 3.2.2
Si tu respuesta es que si, puedes continuar con el punto 4.
3.2.2 De qu tengo que hacer copias de seguridad?
1. De la base de datos de WordPress.
2. De los archivos que componen tu blog o web.
3.2.3 De acuerdo, ya s de qu tengo que hacer las copias, ahora

cmo las hago y automatizo?

seguridad-en-
Pgina: 9 of: 74
Empleando un plugin de copias de seguridad como puede ser BackWPup.
Tambin puedes emplear Duplicator, aunque ste actualmente no cuenta con la
posibilidad de automatizarlas.
3.2.4 Quieres ver en detalle cmo se hace?
Tienes un tutorial sobre BackWPup en este enlace. Aqu tienes otro donde
puedes ver como hacerlas y adems guardarlas en DropBox. Tienes otro tutorial
sobre Duplicator aqu.
3.2.5 Se puede hacer de otro modo?
S, pero se escapa del mbito de esta gua. En mi opinin BackWPup cubre a la

perfeccin este propsito.
Importante. Pregunta a tu proveedor de hosting si realiza copias de seguridad.
En caso de que tengas un problema y no tengas tus propias copias, te puede ser
de mucha ayuda. Dependiendo del plan que contrates tienes este servicio
operativo o no. En el caso de Siteground y Webempresa tienen planes que
incluyen este servicio. Hostgator me consta que no. Pregunta de todos modos.
Aunque tu proveedor haga copias por su cuenta, mi consejo es que tambin
hagas las tuyas propias.

seguridad-en-
Pgina: 10 of: 74
3.2.6 Qu pasa si tengo un problema y tengo que emplear mi
copia de seguridad? Cmo restauro mi blog o web?
Pues eso, que ya tienes algo de pericia, sabes hacer las copias de seguridad de
WordPress, las tienes automatizas y resulta que un da tienes un problema. Tu
web no funciona, te la han hackeado, tiene un compromiso, han o has borrado
todos los artculos que tenas publicados, has cambiado la plantilla y la has liado
parda, en fin, tienes un da negro (creme lo tendrs) y en ese momento caes en
la cuenta de que tienes tus flamantes copias de seguridad. Ya sabes que soy un
tipo cauto y precavido. Juas, juas!
Por dnde empiezas si tienes un problema que se resuelve con la copia de
seguridad?
No te pongas nervioso, twitter es tu amigo y el soporte tcnico de tu hosting
tambin. Si tienes claro lo que tienes que hacer, adelante con ello. Si tienes
dudas, pregunta.
Dnde?
1. El primer lugar es recurrir al soporte tcnico de tu proveedor de hosting.
2. En twitter puedes conseguir ayuda. Pregunta en 140 caracteres.
3. Puedes leer este tutorial que te puede servir de orientacin. Ojo! El
tutorial est pensado si ests empleando el plugin BackWPup. Si ests
empleando otro plugin u otra herramienta tendrs que conocer dicha
herramienta o pedir ayuda en su foro a sus desarrolladores.
4. Puedes contactar conmigo, contarme tu caso, valoramos el escenario y
llegamos a un acuerdo.

seguridad-en-
Pgina: 11 of: 74
a. Si quieres que te resuelva el problema y est a mi alcance, te dar
una solucin, una estimacin de tiempo y los costes para dejarlo
como estaba.
b. Te parece razonable? Contacta conmigo entonces.
4 Medidas prcticas de seguridad para configurar
en tu WordPress
4.1 Cambia el usuario administrador por defecto
Cuando instalas WordPress el usuario por defecto que se establece como
usuario administrador de tu sitio web o blog es un usuario llamado admin, a
no ser que decidas lo contrario. Ests en lo cierto, tienes que cambiarlo.
4.1.1 Cmo, cundo y dnde se hace esto?
En el momento de la instalacin lo puedes hacer
Durante uno de los pasos de la instalacin de WordPress tienes que decidir el
nombre del usuario que vas a emplear. Por defecto te propondr admin.
Cmbialo por otro, tal y como ves en la imagen.
Si ya tienes instalado WordPress.
Crea un nuevo usuario con el perfil de administrador y a continuacin modifica
el perfil del usuario admin o incluso elimnalo.

seguridad-en-
Pgina: 12 of: 74
4.1.2 Ejemplo prctico. Cuntos intentos de acceso sin xito se

realizan en www.administrandowp.com con el usuario
admin?
En la captura de pantalla que te muestro a continuacin puedes hacerte una
idea aproximada de la cantidad de veces que han intentado acceder a la
administracin de mi blog www.administrandowp.com empleando el usuario
admin. Si tienes una web o un blog con WordPress tambin te pasar a ti.

seguridad-en-
Pgina: 13 of: 74
En la imagen superior ves un registro de la hora, el nombre de usuario y la
cantidad de intentos (338). Si bien no se ven todos, te adelanto que en el 95%
aprox. de los intentos de acceso, el usuario con el que se intenta acceder es el
usuario admin. Esta informacin la he obtenido con el plugin de seguridad
Better WP Security, en la actualidad iThemes Security.
En estos momentos mi web es una web con pocas visitas, no llega a las 4000
visitas al mes y por los registros que tengo, en un da, al menos 10 veces intentan
acceder empleando dicho usuario. De todos modos, la cantidad de visitas que
tenga tu web poco importa. Los intentos de acceso (ataques) los vas a recibir
igualmente.

seguridad-en-
Pgina: 14 of: 74
Te imaginas que pasara si dejo mi usuario por defecto como admin y en un
descuido dejo tambin la contrasea por defecto admin o una muy sencilla
como 123456 o algo parecido? No hace falta que te responda.
Recientemente se ha producido el que hasta la fecha es el mayor ataque de
fuerza bruta contra WordPress. Si quieres ms detalles psate por ayudawp.com
y lete el artculo relacionado.
De cualquier modo, recuerda curarte en salud y cambiar el usuario admin
de WordPress por defecto.
4.2 Emplea contraseas en condiciones
Otra forma de asegurar tu WordPress es emplear contraseas largas de ocho
caracteres al menos, mezclando maysculas, minsculas y nmeros. Si
introduces tambin caracteres especiales mejor an.
Aqu el tema est en quin es el simptico que consigue memorizarse una
contrasea as. No es tarea fcil pero seguro que alguien es capaz. No ser yo.
Para el tema de las contraseas te recomiendo una herramienta para ayudarte y
que personalmente llevo empleando desde hace ms de 5 aos. Se trata de
LastPass, una aplicacin muy buena tanto para crear todas tus contraseas
como para administrarlas y guardarlas en un lugar seguro.

seguridad-en-
Pgina: 15 of: 74
LastPass se instala como complemento en todos los navegadores, dispone de
versin gratuita y de versin de pago. En la versin de pago destaca la
disponibilidad para prcticamente todos los smartphones de todas las marcas
que hay en el mercado. Su coste es de tan solo 12 euros al ao.
Te dejo un par de capturas de pantalla de LastPass donde puedes ver la
herramienta de generacin de contraseas seguras.
1. Botn para generar contraseas aleatorias. Cada vez que hacer clic sobre
el botn se genera una contrasea de 12 caracteres.
2. Barra que te muestra nivel de robustez de tu contrasea.
3. Generar por norma contraseas con maysculas, minsculas y nmeros.
4. Puedes configurar caracteres especiales en tus contraseas. Si activas esta
opcin y generas una nueva contrasea vers que la barra de nivel de
robustez mejora.

seguridad-en-
Pgina: 16 of: 74
Ahora no podrs decir que no sabes cmo crear una contrasea en
condiciones!
4.3 Cambia el prefijo de las tablas por defecto
Todo WordPress requiere de una base de datos para funcionar y cada
WordPress que se instala en cualquier rincn del mundo tiene las mismas tablas
(10 tablas) que tiene el que t vas a instalar, el que ya has instalado o con el que
ya trabajas. Un apunte, si tienes plugins instalados tendrs ms de 10 tablas.
Y esto que tiene que ver con el prefijo de las tablas y con la seguridad?
Te lo explico con otra pregunta. Es un poco gallego, pero
Se pueden instalar varios WordPress en una misma base de datos?
S. A lo que te formulo la siguiente pregunta.
Cmo sabe cada WordPress cules son las tablas con las que tiene que
trabajar si todos estn empleando la misma base de datos? Me sigues?
Mediante el prefijo, un conjunto previo de caracteres que t elijes y se insertan al
principio del nombre de cada tabla de WordPress. As se determina que tablas
son para una instalacin de WordPress y que tablas son para otra. Te lo muestro
con una imagen para que lo entiendas mejor.

seguridad-en-
Pgina: 17 of: 74
En esta imagen lateral lo puedes ver con ms claridad:
1. Base de datos wordpress
2. Tablas que componen la base de datos wordpress
con el prefijo wp_
Cul es el prefijo que por defecto se emplea en
WordPress?
Tal y como ves en la imagen, el prefijo es wp_
Me queda claro lo del prefijo de las tablas pero, qu tiene que ver esto con
la seguridad?
El argumento es sencillo, vers. Al igual que t sabes esto que te acabo de
contar, es decir, que el prefijo por defecto de las tablas de WordPress es el
mismo para todos los WordPress al igual que el nombre de sus tablas, las
mentes malintencionadas tambin lo saben y aqu est el problema.
Por qu? Porqu ms del 18% de las pginas web (cifra en constante
crecimiento) que hay por el mundo estn construidas con WordPress. Esta cifra
supone un pastel muy grande de sitios webs susceptibles de inters para mentes
oscuras que saben que se pueden beneficiar enormemente de los descuidos de
seguridad de los usuarios hacindose con el control de sus blogs o webs.
Dichas mentes pueden emplear este conocimiento para usos inapropiados y
tratar de comprometer un gran nmero de sitios web con fines maliciosos, fines
como algunos de los que te he mencionado en la introduccin.

seguridad-en-
Pgina: 18 of: 74
Por tanto, est a tu alcance ponrselo un poco ms difcil a las mentes oscuras,
cmo? cambiando el prefijo de las tablas de tu WordPress. Te curars en salud y
menos probabilidades tendrs de ver comprometido tu sitio web o blog.
4.3.1 Cundo, cmo y dnde cambio el prefijo?
Se pueden dar dos casos:
4.3.1.1 Caso (A). Si todava no has instalado WordPress.
4.3.1.2 Caso (B). Si ya tienes instalado WordPress.
(A) Durante la instalacin de WordPress se piden unos datos bsicos (1), entre
ellos, el nombre de la base de datos, el nombre de usuario administrador de la
base de datos, la contrasea, el host de la base de datos y (2) el prefijo de las
tablas. Por defecto, si no tocas nada, el prefijo para todas tus tablas (2) es wp_.
Ahora es cuando te toca ser el protagonista. Cambia el prefijo.

seguridad-en-
Pgina: 19 of: 74
Vale, yo soy el protagonista pero qu prefijo tengo que poner? La idea en este
punto es que sea poco predecible.
Te dejo unos ejemplos prcticos de prefijos que puedes emplear en tu web o
blog.
kmq69un_
ipbn5ig_
pvm6h34v_
hady9j6cn_
gm740vko_
xcal7d0c_
Nota. Todos los prefijos que has visto se han creado empleando una de las
funcionalidades del plugin Better WP Security, ahora Ithemes Security. Si no
ests inspirado, puedes copiar, pegar y listo.
(B) En el caso de que ya tengas tu WordPress instalado la forma ms sencilla
que he encontrado (hasta la fecha) de modificar el prefijo de las tablas es
empleando una de las funcionalidades del plugin Ithemes Security.
Te explico cmo hacerlo.
4.3.2 Cmo cambio el prefijo de las tablas con Better WP Security o

Ithemes Security?
Si todava estas con Better WP Security (ver imagen inferior)

seguridad-en-
Pgina: 20 of: 74
Seguridad > Prefijo > Cambiar prefijo de las tablas. Cada vez que presionas el botn, ste
cambia inmediatamente el prefijo en las tablas de base de datos.

seguridad-en-
Pgina: 21 of: 74
Si ya trabajas con iThemes Security (ver imagen inferior)
Existen otras formas de cambiar las tablas que no se contemplan en esta gua.
Te dejo un par de enlaces relevantes donde se muestran otras maneras si no
quieres instalar el plugin, aunque en mi opinin lo ms sencillo es emplearlo. Lo
dejo a tu discrecin.
http://ayudawp.com/cambiar-el-prefijo-de-la-base-de-datos-de-wordpress/
http://forobeta.com/tutoriales-de-wordpress/56827-cambiar-prefijo-prefix-
de-tablas-base-de-datos-wordpress.html

seguridad-en-
Pgina: 22 of: 74
4.4 Emplea la caracterstica de claves nicas de
autentificacin (claves secretas)
La caracterstica de claves nicas de autentificacin o claves secretas es una
prestacin que viene de serie desde la versin 2.6 de WordPress que por lo que
he visto pasa bastante desapercibida. A partir de ahora no ser ningn misterio
para ti.
Te explico. Su configuracin es manual y con un poco de ayuda, en mi opinin y
experiencia, es sencilla de implementar para cualquier usuario de WordPress.
La configuracin se resume en editar el fichero de configuracin wp-config.php
o wp-config-sample.php. Estos archivos los localizas en la carpeta raz de tu
blog.

seguridad-en-
Pgina: 23 of: 74
4.4.1 Entonces, cul de los dos archivos tengo que editar? wp-config o wp-
config-sample.php
Se pueden dar dos casos:
4.4.1.1 Si todava no has instalado tu web o blog la configuracin pasa por

editar el archivo wp-sample-config.php.
4.4.1.2 Si ya tienes tu web o blog operativo y funcionando tienes que editar

el archivo wp-config.php
En cualquiera de los dos casos anteriores, los pasos para configurar estos
archivos, y por tanto esta caracterstica, son los siguientes:
1. Te conectas a la web https://api.wordpress.org/secret-key/1.1/salt/
2. Te aparecer un sitio como el de la imagen inferior. Copias todas las
lneas.

seguridad-en-
Pgina: 24 of: 74
3. Localiza el archivo wp-config.php o wp-sample-config.php segn tu
escenario y pegas todas las lneas que has copiado antes. Tienes que
sustituir lo que te recuadro en rojo en la imagen inferior -lneas 45 a las
52-.
Con este cambio lo que consigues es fortificar tu WordPress y hacer ms difcil la
posibilidad de que las mentes oscuras puedan tener acceso a las contraseas de
tus usuarios de la web o blog empleando malas artes. Tienes ms detalles sobre
estas claves en ayudawp.com.
Ha sido fcil, me equivoco? Te dejo un videotutorial por si acaso.
4.5 Actualiza tu WordPress
Otra medida de seguridad que est a tu alcance es mantener tu sitio web
construido con WordPress actualizado. O dicho de otro modo, mantener un sitio
construido con WordPress desactualizado es una golosina para los malos.

seguridad-en-
Pgina: 25 of: 74
Tomo prestada una frase de sinlios.com: las actualizaciones corrigen errores
de todo tipo, la mayor parte de las veces funcionales o meramente estticos,
pero en ocasiones estos errores tienen que ver con la seguridad.
Por tanto, mantener actualizado tu WordPress es una garanta de estar al da en
cuanto a los posibles errores de seguridad y si tomas la decisin de no actualizar,
tienes que ser consciente de que estars expuesto a las posibles amenazas
derivadas de esos fallos de seguridad no corregidos.
Hasta aqu todo claro, ahora, la propia actualizacin tiene sus riesgos, por lo que,
antes de actualizar ten la precaucin de tener hecha una copia de seguridad de
tu sitio. Es una prctica que nunca hacemos y luego nos toca llorar.
Una vez tengas los deberes hechos y veas notificaciones para actualizar como las
que se muestran en la imagen inferior, mi consejo es que trates de estar al da e
instalarlas.
Puede que tengas la experiencia de que al actualizar WordPress alguno de tus
plugins o temas dejan de funcionar y ya tienes el lio en casa. Si tienes esta

seguridad-en-
Pgina: 26 of: 74
experiencia, no te queda otra que tomar una decisin: espero a tener la certeza
de que todos mis plugins son compatibles con la nueva versin? o, asumo los
riesgos de actualizar. Tendrs que decidir ser ms o menos cauto.
Otra alternativa nada dolorosa (consume algo de tiempo) y altamente
recomendable es tener un laboratorio de pruebas que sea literalmente un clon
real de tu blog. Actualizas WordPress al clon de tu laboratorio y si todo va bien,
actualizas tu blog real. Esto puede parecer un trabalenguas. Quieres que te
monte un laboratorio de pruebas? Te interesa? Contacta conmigo.
Si tienes tu copia de seguridad y sabes restaurarla gilmente podras tomar la
decisin de instalar la actualizacin y comprobar que todo sale bien, o no.
Puedes darse dos escenarios:
1. He actualizado y todo funciona perfecto! Ole! o por el contrario,
2. Mierda! La he liado parda y ahora no me funciona ni esto ni lo otro, quien
c me manda a m actualizar!
Puedes tambin optar por ser cauto, no ser el primero en actualizar y esperar las
noticias que se publican tras la nueva actualizacin. Mientras puedes estar al
corriente del trabajo que hacen los desarrolladores de los plugins que tienes
instalados en tu blog y atento al momento en que tengas suficiente informacin
sobre su compatibilidad con la nueva versin de WordPress. Si no hay nada gris,
tras pasar un tiempo prudencial, actualiza.

seguridad-en-
Pgina: 27 of: 74
4.6 Actualiza tus plugins y temas
El mismo argumento que te expongo para WordPress hay que tenerlo en cuenta
tambin con los plugins y los temas.
Mantn actualizados tus plugins y temas tan pronto como te sea posible. Huye
de plugins que estn desactualizados, de plugins donde el desarrollador no le da
continuidad al mismo y donde el soporte no es bueno ni gil.
Consejo. Nunca instales plugins desactualizados en tu web o blog de fuentes
poco confiables. Lo mejor es emplear el repositorio oficial de plugins de
WordPress o proveedores que te inspiren confianza, bien sean premium o no.
Al final, se trata de lo bien que te resuelve la vida tal plugin para tal propsito,
pero no solo de eso, sino tambin de las personas estn detrs del desarrollo,
soporte y continuidad del mismo. Dicho de otro modo, si el plugin hace algo
bueno por ti, pero las personas que estn detrs del mismo no invierten tiempo
ni esfuerzo en su mejora y soporte, entonces, ese plugin ya no es tan bueno para
ti. Cuidado con esto.
Recuerda que siempre conviene realizar una copia de seguridad antes de
ponerte a actualizar los plugins. Recuerda tambin que otra alternativa es tener
tu propio laboratorio de pruebas. Actualizas tus plugin en el laboratorio de
pruebas y si todo va bien, actualizas tu blog real (o web) con la certeza de que
todo ir bien.

seguridad-en-
Pgina: 28 of: 74
4.7 Emplea un plugin de seguridad
Otra medida que puedes emplear para asegurar tu WordPress es instalar un
plugin de seguridad. En mi opinin, altamente recomendable ya que te hace la
vida ms fcil.
Te enumero cinco plugins de seguridad recomendados. La idea no es
instalrtelos todos, sino emplear uno. De los mencionados hay dos que destacan
por el alto volumen de descargas que tienen, Better WP Security (iThemes
Security) y WordFence. En estos momentos rondan los 2 millones de descargas
cada uno.
4.7.1 Better WP Security ahora iThemes Security.
Ms de 2 millones de descargas. El ratio de crticas es de 4.7 sobre 5. Es gratuito
con opciones de pago premium. Lo puedes descargar desde el repositorio de
WordPress.
Te ayuda en la configuracin de ms de 30 opciones para proteger tu sitio web o
blog.
Tienes un tutorial ampliado sobre Better WP Security y un artculo extendido
sobre iThemes Security. Si quieres aprender a configurarlo, te recomiendo que
te des una vuelta por esos artculos. Si quieres que colabore contigo en su
configuracin contacta conmigo y lo valoramos.

seguridad-en-
Pgina: 29 of: 74
4.7.2 Security Ninja.
Ms de 2400 compras. Tiene un ratio de crticas de 4.51 puntos sobre 5. Lo
puedes conseguir en codecanyon.net. Se trata de un plugin de pago muy
econmico (10$).
4.7.3 Wordfence
Apunto de llegar a los 2 millones de descargas. Tiene un ratio de crticas de 4.9
sobre 5. Es gratuito con opciones de pago premium. Lo puedes descargar desde
el repositorio de WordPress.
Tienes un tutorial ampliado sobre este plugin aqu.
4.7.4 AIO WP Security & Firewall Plugin
Descargado ms de 267.000 veces. El ratio de crticas es de 4.9 sobre 5. Lo
puedes conseguir en el repositorio de WordPress y es completamente gratuito.
A pesar de no haberlo probado hay una opcin que me ha llamado la atencin y
es que te ayuda a configurar en tu blog web las reglas 5G Blacklist cortesa de
Perishable Press de las que hablar ms adelante.
4.7.5 BulletProof Security
Descargado ms de 1 milln de veces. Tiene un ratio de crticas de 4.8 sobre 5.
Lo puedes conseguir en el repositorio de WordPress. Es gratuito aunque cuenta
con una versin de pago profesional a un coste de 60$.

seguridad-en-
Pgina: 30 of: 74
De todos los plugins anteriores he probado Better WP Security, actualmente
renombrado a iThemes Security. Te recomiendo su uso. Tras probar durante
varios meses Wordfence, igualmente te recomiendo su uso. Si aprender ms
sobre este plugin, en este tutorial tienes bastantes detalles.
Mirando las cifras de descargas, entre los dos plugins, en estos momentos tienen
la friolera de ms 4 millones desde el repositorio oficial de WordPress
encontrndose ambos en el top 15 de plugins ms populares del repositorio de
WordPress.
La interpretacin de estas cifras es que estamos ante dos plugins que son
autnticos pesos pesados dentro de la comunidad WordPress. La seguridad es
un tema al alza que genera mucho inters y relevancia. Cuento con que sta gua
te facilite el suficiente conocimiento para curarte en salud y no ser el prximo en
caer en las manos de los que van con malas artes.
Cul es mejor?
Eterna pregunta. Ni uno ni otro, me explico. Si quieres incrementar la seguridad
en tu blog o web creada con WordPress, evitar correr riesgos y no ser el
protagonista de alguno de los puntos que te he mencionado en la introduccin,
cualquiera de los dos plugins es una excelente opcin. Es ms, a pesar de no
haber probado los otros tres que tambin te comento, me atrevo a decir que
cualquiera de ellos es igualmente una muy buena opcin.
Lo que no te recomendara es instalar dos plugins de este tipo a la vez a la vez,
es decir, empleara uno u otro, pero no varios a la vez. Mi interpretacin es que

seguridad-en-
Pgina: 31 of: 74
podras tener algn problema dado que son herramientas pensadas para lo
mismo, no complementarias entre s. Mi postura es que no es aconsejable, de
momento, hasta que termine mis pruebas.
Dado que hay gente para todo, en este hilo del foro de WordPress.org se plantea
esta posibilidad, tener instalados a la vez WordFence y Better WP Security. Si te
lees el hilo te adelanto que no se observan problemas de incompatibilidad a la
vista Lo dejo a tu discrecin.
4.8 Evita el SPAM con el plugin akismet
Una de los problemas a los que te enfrentas cuando creas tu blog es el SPAM.
Akismet es la mejor herramienta hasta la fecha (que yo conozco) para ventilarte
de un plumazo el SPAM. Literalmente te olvidas del SPAM con este plugin.
Akismet viene preinstalado en WordPress, lo nico que tienes que hacer es
activarlo.
4.8.1 Cmo configuro Akismet para que me ayude con el SPAM?
1. Activa el plugin

seguridad-en-
Pgina: 32 of: 74
2. Activa la cuenta de Akismet
En este punto tienes que conseguir tu clave API (2). Una vez obtenida, tienes que
pegarla en el campo (3) y hacer clic en Usar esta clave. Desde ese momento
Akismet se pone en modo trabajo y se encarga del SPAM por ti. Listo!
3. La clave API la obtienes desde la web de Akismet

seguridad-en-
Pgina: 33 of: 74
4.8.2 Ejemplo del trabajo que hace Akismet
En la imagen inferior tienes una captura de pantalla con 891 comentarios
moderados por Akismet en el blog www.administrandowp.com en un momento
determinado. Si tienes tiempo -y ganas-, puedes revisar todos los comentarios
de spam y ver si se le ha escapado alguno a Akismet. En caso contrario,
directamente elimina todos y a otra cosa.

seguridad-en-
Pgina: 34 of: 74
5 Otras medidas prcticas de seguridad que
tienes a tu alcance
5.1 Latch en WordPress
5.1.1 Qu es Latch?
Si tomamos la descripcin literal de su web Latch es tu interruptor de
seguridad digital.
Dicho a mi manera, es un pestillo, un cerrojo que quitas o pones a voluntad, solo
que en vez de hacerlo en la puerta de tu casa, lo haces en cada una de tus
identidades digitales, esto es, ponerle un pestillo al usuario y contrasea de cada
uno de los servicios que tengas en Internet. El pestillo es un segundo elemento
de seguridad que controlas a voluntad.
Nota. Cuando menciono identidades digitales en esta gua prctica interprtalo
como un usuario y una contrasea, es decir, una entidad es la suma del usuario
y la contrasea. En este artculo tienes ms informacin sobre la identidad
digital.
El interruptor de seguridad es una tecnologa espaola, muy reciente, que de
momento no se emplea masivamente en multitud de servicios de Internet. Poco
a poco va avanzando. Cuenta con el apoyo y la financiacin de Telefnica, de
hecho, Telefnica ha creado la empresa Elevenpaths, entre otras cosas, para
distribuir esta tecnologa. Esto promete.

seguridad-en-
Pgina: 35 of: 74
5.1.2 Quin est detrs de esta tecnologa?
Aparte del msculo financiero de Telefnica, en la parte tecnolgica del asunto
tenemos a Chema Alongo, @Chemaalonso, uno de los grandes artfices de este
invento. Chema es el responsable del blog Un informtico en el lado del mal,
experto en asuntos de seguridad, conocido internacionalmente por esta faceta y
cuenta con un sentido del humor muy particular.
5.1.3 Cul es la idea de Latch?
La idea de Latch es sencilla, ayudarnos a proteger nuestras identidades digitales
con un segundo factor de seguridad, el pestillo o cerrojo digital.
Latch tiene diferentes usos pero en esta gua prctica nos vamos a centrar en
cmo nos puede ayudar Latch a incrementar la seguridad en nuestro
WordPress? o dicho de otro modo, cmo puedes proteger tu WordPress con
Latch?
5.1.4 Qu necesito para empezar a probar y utilizar Latch?
Antes de introducirte de lleno en responderte a la pregunta anterior, te muestro
como puedes comenzar con Latch y lo que necesitas.

seguridad-en-
Pgina: 36 of: 74
Para comenzar a utilizar Latch necesitas:
1. Registrarte como usuario en la web de Latch
2. Un mvil al que instalarle la aplicacin Latch. Quin no tiene un mvil hoy en
da?
a) Android
b) Iphone
3. Un servicio de Internet que tenga implantado Latch en sus sistemas.
a) Por ejemplo, puedes darte de alta como cliente en el banco virtual Nevele
Bank y comenzar a probar Latch. A tu discrecin. Si eres cliente de
Movistar tienes Latch operativo para que hagas uso y disfrute.
4. Empezar a disfrutar de las bondades de Latch. Con tu cuenta de usuario de
Latch, tu aplicacin mvil instalada en tu terminal y un servicio online que
tiene configurado Latch en sus sistemas tienes todos los argumentos para
empezar a disfrutar de tu pestillo digital.
Coloquialmente hablando, el proceso de configuracin del pestillo lo
llamamos parear. Se trata de relacionar tu aplicacin mvil con tu servicio
de Internet. Es lo ltimo que tienes que hacer para darle vida al asunto.
5.1.5 Cmo puedes proteger tu WordPress con Latch? Cmo se configura?
Vamos a lo prctico. Parto de la base de que tienes tu blog -o web- creado con
WordPress y eres el administrador, el webmaster, es decir, la persona
responsable del sitio.

seguridad-en-
Pgina: 37 of: 74
5.1.5.1 Implantar latch en tu blog en 6 pasos
1. Crate una cuenta de desarrollador en la web de Latch
Si te habas creado una cuenta de usuario, esa misma te sirve para registrarte en
el rea de desarrollo. No te asustes si no eres desarrollador. Lo que te va a hacer
falta no requiere de ninguna pericia ni conocimiento en desarrollo ni nada por el
estilo. Pasos:
a. Rellena los campos obligatorios y listo (nombre, correo, contrasea,
confirmacin de contrasea y aceptas).
b. Regstrate y completa la validacin de tu cuenta.
c. Por ltimo accede al rea de desarrolladores.

seguridad-en-
Pgina: 38 of: 74
2. Da de alta una nueva aplicacin.
Emplea el nombre que t quieras. En el momento de crearla se generan los
datos ID aplicacin y Token secreto que son fundamentales y te harn falta
para integrar tu WordPress con Latch.
Haz clic en Mis aplicaciones (1) y aade una nueva aplicacin (4). En la imagen
inferior puedes ver que tengo 2 aplicaciones creadas (2) y (3).
Ponle un nombre y haz clic en Aadir la aplicacin

seguridad-en-
Pgina: 39 of: 74
A continuacin, vers que tienes acceso a estos datos.
(1) ID de aplicacin. Este cdigo lo vas a necesitar ms adelante.
(2) Token Secreto. Este cdigo lo vas a necesita ms adelante
(3) Imagen. Este es un detalle que puedes modificar a tu gusto pero
tampoco es estrictamente relevante. Yo he subido un logo representativo
de WordPress. A tu discrecin.
2 factor OTP. Lo dejamos deshabilitado.

seguridad-en-
Pgina: 40 of: 74
Suficiente hasta aqu, es decir, no es necesario modificar ni aadir nada ms.
En la parte inferior de la imagen anterior vers un botn que indica GUARDAR
CAMBIOS. Haz clic sobre el y a continuacion clic en Mis aplicaciones en el menu
lateral izquierdo.
En este punto has terminado el trabajo en el area de desarrollador de Latch.
Fjate que en la imagen inferior tienes la lista de aplicaciones que has creado.
Sobre cada una de ellas tienes la posibilidad de editarla, eliminarla o acceder al
panel de control.

seguridad-en-
Pgina: 41 of: 74
3. Descarga e instala el plugin Latch en tu WordPress.
Ahora toca descargarte el plugin de Latch para WordPress. Este proceso es
sencillo. Tan solo cae en la cuenta de que el archivo zip que te descargas se
llama latch-plugin-wordpress-master.zip y dentro de ese archivo hay otro
archivo llamado Latch.zip.
Este ltimo archivo es el plugin que tienes que instalar en tu WordPress.
Imagino que tarde o temprano lo subirn al repositorio de WordPress para
hacerlo ms sencillo si cabe.

seguridad-en-
Pgina: 42 of: 74
Plugin instalado y activo
Nota. Doy por hecho que sabes instalar un plugin y activarlo, en caso contrario,
contacta conmigo o si lo prefieres date una vuelta por este video. Se muestra
como instalar y activar un plugin.

seguridad-en-
Pgina: 43 of: 74
4. Configura el Plugin con el ID aplicacin y el Token Secreto.
Haz clic en el men Ajustes / Latch Settings. Ahora introduce los datos ID
aplicacin y Token Secreto que se han generado desde el rea de desarrollador
de WordPress en el paso 2. Guardar los cambios y listo.
En estos momentos ya tienes tu WordPress configurado para hacer uso de Latch.
T y los usuarios de tu blog o web- os podis empezar a beneficiar de esta
herramienta de seguridad, el pestillo digital.
Si tienes alguna duda con el proceso que hasta aqu te he comentado puedes
recurrir a la gua propia elaborada por ElevenPaths. Lo dejo a tu discrecin.
Tambin puedes contactar conmigo para valorar una posible colaboracin si lo
deseas.

seguridad-en-
Pgina: 44 of: 74
Bien, ya tienes la tecnologa desplegada en tu WordPress. Vamos a usarla pues
a qu esperas?
5. Activa el pestillo digital en tu usuario de WordPress
Acceder a Usuarios > Tu perfil. Localiza el epgrafe que indica Latch Setup.
Tendrs que completar el campo Latch token.
6. De dnde saco el dato que hay que poner en Latch token?
De la aplicacin Latch que tienes instalada en tu mvil (si no la tienes instalada
ya sabes, PlayStore u otros y a instalar).

seguridad-en-
Pgina: 45 of: 74
Latch disponible en Google Play Acceso directo a Latch en el mvil
Ve a por tu mvil y abre la aplicacin Latch. Fjate en la parte inferior de la
imagen 1 (ver pgina 46) donde dice Cdigo de pareado para nuevo servicio.
Presiona sobre esa opcin y vers (imagen 2) que se genera un cdigo de
pareado.
Dicho cdigo es el que tienes que poner en el campo Latch token de tu perfil
en WordPress. Por ltimo, actualiza. Si no lo haces, no se completa el proceso de
pareo.

seguridad-en-
Pgina: 46 of: 74
Imagen 1 Imagen 2
Al actualizar tu perfil en WordPress se muestra lo que ves en la imagen inferior:
Tu cuenta est protegida con Latch. Bien! Tambin tienes la posibilidad de
dejar de emplear el pestillo marcando la casilla de verificacin Stop using Latch
(esto es, desparear el servicio).

seguridad-en-
Pgina: 47 of: 74
Te habrs dado cuenta de que en tu mvil tienes un nuevo servicio. En este
ejemplo te muestro como he configurado el blog ApuntesWP.com.
Qu es lo que puedo hacer ahora? Todo esto para qu?
Ahora puedes, desde tu mvil, a tu voluntad y discrecin, bloquear tu identidad
(usuario y contrasea de tu WordPress) cuando no ests trabajando en tu blog,
es decir, echar el pestillo. Una vez hecho esto, aunque te robaran el usuario y
la contrasea no podran acceder nunca a tu blog con esos datos. Por qu?
Por qu tienes puesto el pestillo.

seguridad-en-
Pgina: 48 of: 74
Imagina que algn simptico te roba el usuario y la contrasea y decide
emplearlos en tu blog. Voila! la aplicacin Latch te muestra un aviso por cada
intento.
Est claro que si t ests de caas con tus amigos y solo le dedicas tiempo al
blog en un horario concreto, si te salta la alarma fuera de ese horario es que
tienes a un simptico intentando darte guerra (o un programa automatizado que
tiene tu blog como objetivo).
Activo el pestillo con mi mvil, qu pasa si alguien intenta entrar a mi

blog?
Si activas el pestillo (imagen 1) y alguien intenta acceder a tu blog (habindote
previamente robado los datos, es decir, conoce tu usuario y tu clave) lo que t
vers en tu mvil es (imagen 2)
Imagen 1 > Pestillo Activado Imagen 2 > Intento de acceso bloqueado

seguridad-en-
Pgina: 49 of: 74
Si intentan entrar 50 veces, vers en tu mvil la alarma 50 veces. Si eres t el que
intenta entrar y te has olvidado de quitar el pestillo, pues blanco y en botella, con
presionar sobre Desbloquear el servicio lo tienes resuelto. Desde ese instante
podrs entrar de nuevo en tu blog. En caso contrario, cuidado!
Cuando accedes a la administracin de tu WordPress e intentas acceder, si tienes
el pestillo echado, el mensaje de error que ves es el siguente. No te alarmes! y
quita el pestillo. Si has quitado el pestillo y sigues sin entrar, amigo, es que ests
poniendo ml la contrasea.

seguridad-en-
Pgina: 50 of: 74
Si tienes por ejemplo, un blog con 10 usuarios escribiendo publicaciones cada
da, cada semana, etc y, como administrador del blog decides implantar Latch,
cada uno de los usuarios de tu blog podr activarse el pestillo a su voluntad y
discrecin con tan solo instalarse la aplicacin Latch en su mvil y genera un
cdigo de pareado que luego podr introducir en el campo Latch token de su
perfil de usuario de WordPress.
De esta forma, aunque los usuarios sean descuidados con la fortaleza de sus
contraseas, si hacen uso de Latch y activan el pestillo por norma cuando no
estn dndole al teclado, siempre podrn avisarte en caso de que alguien
(programa malicioso o algo) les robe los datos de acceso e intenten emplearlos
para fines oscuros.
En este sentido, Latch acta como un mecanismo de alerta temprana antes de
que las cosas se pongan feas y tanto t como tu usuario colaborador estis ms
tranquilos ante amenazas de terceros.
Contacta conmigo si quieres que colabore contigo y te ayude a implantar Latch
en tu blog o web-.
5.2 Modifica el archivo .htaccess
El fichero htaccess es un fichero del Servidor Web Apache mediante el cual es
posible definir distintas directivas que permiten modificar el comportamiento del
servidor web posibilitndote argumentos para realizar configuraciones a medida
sin necesidad de cambiar el comportamiento general del servidor.

seguridad-en-
Pgina: 51 of: 74
Dicho de otro modo, el archivo htaccess te abre las puertas a un amplio abanico
de posibilidades a tu alcance que te ayuda a proteger tu blog de mentes
malintencionadas.
Nota. Tu blog construido con WordPress, normalmente, funciona bajo la estela
de un servidor Web Apache. Tanto Hostgator, WebEmpresa como Siteground
trabajan con servidores Web Apache.
No voy a entrar aqu en detalle sobre todas las posibilidades que ofrece la
edicin de este archivo, dado que son numerosas y fcilmente da para otra gua
prctica. Lo que si voy a hacer es presentarte el trabajo de Jeff Starr, un
desarrollador de WordPress que durante varios aos ha estado creando y
perfeccionando unas directivas para el archivo htaccess enfocadas proteger
nuestro blog de la actividad maliciosa de terceros.
Lo que ha hecho es compartir con el resto del mundo su trabajo, trabajo que ha
probado en entornos reales, es decir, con sus clientes y sus proyectos
personales. Este trabajo lo publica abiertamente en su blog perishablepress.com
y nos lo deja disponible para descarga.
5.2.1 Las reglas para .htaccess preconfiguradas de perishablepress.com
Las reglas preconfiguradas de perishablepress son fruto del trabajo de varios
aos, por lo que a medida que se han ido realizando cambios en ellas se han
creado distintos nombres para el conjunto de las mismas. Las directivas ms
recientes hasta la fecha son las llamadas 5G Blacklist 2013.

seguridad-en-
Pgina: 52 of: 74
5.2.2 5G Blacklist 2013
Tal y como el mismo Jeff indica en su sitio web y cito literalmente:
The 5G Blacklist is a simple, flexible blacklist that checks all URI requests against a
series of carefully constructedHTAccess directives. This happens quietly behind the
scenes at the server level, saving resources for stuff likePHP and MySQL for all blocked
requests.
Te lo traduzco a mi manera:
La lista negra 5G es una simple y flexible que se encarga de filtrar las peticiones URI
mediante una serie muy cuidadosa de directivas definidas en el archivo htaccess.
Todo ello se produce silenciosamente en la trastienda, a nivel del servidor,
ahorrndonos los recursos de php y de mysql de todas las solicitudes bloqueadas.
Esto es, un cortafuegos para todo tipo de actividad maligna que se pone en
marcha en nuestro servidor web Apache.
Tenemos por tanto, unas reglas prefabricadas, fruto del trabajo de aos de
experiencia de un desarrollador web especializado en WordPress que las emplea
en blogs y pginas web protegindolos en modo silencioso sin dar problemas y
digo yo, qu hacemos que no las estamos empleando?
Pues eso, que te muestro a continuacin qu es lo que tienes que hacer y cmo
para que tu blog o web- tambin se pueda beneficiar de este trabajo.

seguridad-en-
Pgina: 53 of: 74
5.2.3 Localiza el archivo htaccess y edtalo
Una forma de acceder al archivo htaccess de tu blog o web es emplear el
administrador de archivos que viene por defecto en tu cpanel o emplear un
programa FTP como filezilla.
5.2.3.1 Localizar archivo htaccess mediante administrador de archivos

Accede a tu cpanel, localiza el epgrafe de archivos y haz clic en el administrador
de archivos. Localiza la carpeta public_html y navega por los archivos hasta
encontrar el archivo htaccess.

seguridad-en-
Pgina: 54 of: 74
Al presionar sobre el icono Code Editor accedes a la herramienta de edicin y
ves el contenido del archivo.
Nota. Doy por hecho que en tu WordPress, en el Menu Ajustes / Enlaces
permanentes tienes configurada una opcin distinta a la predeterminada, si
hacemos un guio al SEO, y a lo que he aprendido en Quondos, la estructura
personalizada o el nombre de la entrada es la mejor opcin. Te digo esto porque
a lo mejor es posible que no veas un archivo htaccess. Confo que no sea tu
caso. Si es as, tan solo, configura los enlaces permanentes con una opcin
distinta a la predeterminada en tu WordPress y vers que te aparece el archivo.

seguridad-en-
Pgina: 55 of: 74
5.2.3.2 Localizar archivo htaccess mediante FileZilla
En el caso de que optes por esta opcin, descrgate el archivo htaccess a tu
ordenador y a continuacin te recomiendo que lo trabajes y edites con el
programa Notepad++

seguridad-en-
Pgina: 56 of: 74
Una vez localizado el archivo lo que tienes que hacer es, y cito literalmente lo
que indica el autor en su web:
To use: include the entire 5G Blacklist in the root .htaccess file of your site.
Remember to backup your original .htaccess file before making any changes.
Test thoroughly while enjoying your favorite beverage. If you encounter any
issues, please read the troubleshooting tips and/or leave a comment to report a
bug.
Note: in some cases it may be necessary to place the QUERY STRING rules
before WP-permalink rules.
Dicho a mi manera:
Copia el contenido completo de las reglas preconfiguradas 5G Blacklist en el
archivo raz de tu sitio. Recuerda hacer una copia de tu archivo original antes de
realizar ningn cambio, por si las moscas. Haz pruebas a fondo mientras
disfrutas de tu bebida favorita. Si encuentras algn problema, echa un vistazo a
los consejos para solucionarlos y/o deja un comentario para informarme de un
error.
Nota. En algunos casos puede ser necesario colocar las reglas relativas a Query
String antes que las reglas WP-Permalink
Esto es, literalmente, copiar y pegar las reglas que tiene publicadas en su pgina
en el archivo. Guardar los cambios y listo.

seguridad-en-
Pgina: 57 of: 74
En mi experiencia, te puedo decir que tengo el archivo htaccess editado con
estas reglas desde Noviembre de 2013 y hasta la fecha todo ha ido como la seda.
No tengo en la chistera ningn episodio oscuro. Toco madera!

seguridad-en-
Pgina: 58 of: 74
Te dejo una copia exacta a la que hay publicada en la web de perishablepress
en esta gua. Comienza y termina con texto sobreado en amarillo.
# 5G BLACKLIST/FIREWALL (2013)
# @ http://perishablepress.com/5g-blacklist-2013/
# 5G:[QUERY STRINGS]
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (\"|%22).*(<|>|%3) [NC,OR]
RewriteCond %{QUERY_STRING} (javascript:).*(\;) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3) [NC,OR]
RewriteCond %{QUERY_STRING} (\\|\.\./|`|=\'$|=%27$) [NC,OR]
RewriteCond %{QUERY_STRING}
(\;|\'|\"|%22).*(union|select|insert|drop|update|md5|benchmark|or|and|if)
[NC,OR]
RewriteCond %{QUERY_STRING} (base64_encode|localhost|mosconfig) [NC,OR]
RewriteCond %{QUERY_STRING} (boot\.ini|echo.*kae|etc/passwd) [NC,OR]
RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC]
RewriteRule .* - [F]
</IfModule>
# 5G:[USER AGENTS]
<IfModule mod_setenvif.c>

seguridad-en-
Pgina: 59 of: 74
# SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent
(binlar|casper|cmsworldmap|comodo|diavol|dotbot|feedfinder|flicky|ia_archi
ver|jakarta|kmccrew|nutch|planetwork|purebot|pycurl|skygrid|sucker|turnit
|vikspider|zmeu) keep_out
<limit GET POST PUT>
Order Allow,Deny
Allow from all
Deny from env=keep_out
</limit>
</IfModule>
# 5G:[REQUEST STRINGS]
<IfModule mod_alias.c>
RedirectMatch 403 (https?|ftp|php)\://
RedirectMatch 403 /(https?|ima|ucp)/
RedirectMatch 403 /(Permanent|Better)$
RedirectMatch 403 (\=\\\'|\=\\%27|/\\\'/?|\)\.css$)$
RedirectMatch 403 (\,|$\+|/\,/|\{0\}|$/\(|\.\.\.|\+\+\+|\||\\\"\\\")
RedirectMatch 403 \.(cgi|asp|aspx|cfg|dll|exe|jsp|mdb|sql|ini|rar)$
RedirectMatch 403 /(contac|fpw|install|pingserver|register)\.php$
RedirectMatch 403 (base64|crossdomain|localhost|wwwroot|e107\_)
RedirectMatch 403 (eval\(|\_vti\_|\(null$|echo.*kae|config\.xml)
RedirectMatch 403 \.well\-known/host\-meta
RedirectMatch 403 /function\.array\-rand
RedirectMatch 403 \)\;\$$this$\.html$

seguridad-en-
Pgina: 60 of: 74
RedirectMatch 403 proc/self/environ
RedirectMatch 403 msnbot\.htm$\.\_
RedirectMatch 403 /ref\.outcontrol
RedirectMatch 403 com\_cropimage
RedirectMatch 403 indonesia\.htm
RedirectMatch 403 \{\$itemURL\}
RedirectMatch 403 function
RedirectMatch 403 labels\.rdf
RedirectMatch 403 /playing.php
RedirectMatch 403 muieblackcat
</IfModule>
# 5G:[REQUEST METHOD]
<ifModule mod_rewrite.c>
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
</IfModule>
# 5G:[BAD IPS]
<limit GET POST PUT>
Order Allow,Deny
Allow from all
# uncomment/edit/repeat next line to block IPs
# Deny from 123.456.789
</limit>

seguridad-en-
Pgina: 61 of: 74
5.2.4 6G Beta / 6G Firewall

Como te deca con anterioridad, la seguridad como la vida misma evoluciona
constantemente, en este sentido, la continuacin de las reglas prefabricadas 5G
blacklist 2013 tienen su continuidad en el proyecto 6G beta, es decir, en fase de
construccin an pero ms cerca.
En esta web tienes todos los detalles. Estaremos pendientes del resultado del
trabajo.
6 Mi web est infectada con malware, qu puedo
hacer?
Todos los puntos anteriores que te he mencionado van encaminados a prevenir
el hecho de tener un problema pero, qu pasa ti ya tengo el problema
encima de la mesa? qu pasa si tengo mi web infectada por algn virus o
malware? Qu pasa si me han hackeado la web? En ese caso, qu puedo
hacer?
Si tu web est infectada es probable que -si no te has dado cuenta tu antes- tus
visitantes o seguidores te alerten (va twitter, mail, etc) del problema, en
ocasiones, el antivirus del ordenador puede hacer saltar la alarma y en otros
casos es ms evidente y Google puede mostrar a tus visitantes un cartel
maravilloso como este:

seguridad-en-
Pgina: 62 of: 74
Si en los resultados de bsqueda Google muestra este cartel, la broma puede ser
bastante agravante porque puedes empezar a perder visitas, muchas visitas.
Cuando ms tiempo tardes en resolverlo ms perdida de trfico tendrs.
Cunto cuesta tener tu sitio bloqueado? Cunto cuesta el dao a tu imagen?
Seguro que puedes hacerte una idea del coste que tiene una situacin como
esta.
6.1 Qu pasa si tengo mi web infectada por algn virus,

malware o me la han hackeado?
Evitando en la medida de lo posible entrar en modo pnico, en el caso de que tu
blog -o web- este infectado con malware u otro tipo de herramienta maliciosa o
te lo hayan hackeado, lo ms sensato que puedes hacer es:

seguridad-en-
Pgina: 63 of: 74
1. Cambia todas las contraseas de inmediato. La contrasea de acceso
FTP (recuerda emplear siempre FTP en modo cifrado), email,
administracin de tu blog... Es posible que tu ordenador tenga algn
bichito? Pasa el antivirus y asegrate de que tu PC no es el problema.
2. Tratar de determinar cundo te han infectado la web. En el caso de que
tengas un cartel como el que te he mostrado antes es muy aconsejable
que ests dado de alta en las herramientas de Google para Webmasters.
Esta herramienta es de ayuda dado que te notifica, aproximadamente, de
la fecha de la infeccin. Adems, con esta herramienta puedes avisar a
Google cuando el problema est resuelto para que lo revise y retire el
cartel maravilloso. As no alarmas a tus visitantes.
3. A continuacin, trata de restaurar una copia de seguridad de tu blog
de tu blog anterior a la infeccin. Si tienes automatizadas tus copias y las
haces de forma recurrente este paso debera ser fcil. Ojo, verifica que la
copia no est infectada. Aunque te pueda parecer raro, esto pasa.
4. Si no tienes copias de seguridad de tu blog, contacta con tu proveedor de
hosting. Es posible que ellos tengan copias de seguridad y te ayuden a
restaurarla.
5. Tras restaurar la copia, verifica si sta est comprometida. En caso de
que sea as, lo mejor es pasar al punto 6.
6. Contrata un servicio especializado.

seguridad-en-
Pgina: 64 of: 74
6.2 Cmo puedes saber si la copia de blog o web est

infectada?
Haciendo un escner en cualquiera de estos sitios:
1. http://www.virustotal.com
2. http://sitecheck.sucuri.net
3. http://www.avgthreatlabs.com/website-safety-reports/
4. http://safeweb.norton.com
Si no sabes ni cmo ni cundo te han infectado la web, si no tienes copias de
seguridad o, en caso de tenerlas no sabes restaurarlas, ni tampoco sabes
verificar si estn infectadas, entonces amigo, tendrs que rascarte el bolsillo y
contratar un servicio especializado.
6.3 Qu proveedores existen que te ayudan a limpiar tu
blog o web?
6.3.1 Sucuri.net
Se trata de una empresa especializada en limpiar tu web de virus y/o malware
(programas maliciosos) y de sacarte de sacarte de las listas negras.
Si Google muestra el cartel maravillo cuando la gente visita tu blog o web-,
entonces, ests en la lista negra de sitios web y blogs peligrosos. Una vez lo
limpies, tendrs que decirle a Google: ea! Que ya he limpiado mi sitio, revsalo,
seguridad-en-
Pgina: 65 of: 74
scame de la lista negra y qutame el cartel maravilloso majo! Si contratas el
servicio de sucuri.net, este trabajo lo hacen por ti.
Adicionalmente, al contratar el servicio, se encargan de monitorizar tu blog o
web para tratar de evitar que se vea comprometido una vez ms, es decir, acto
seguido de tener el problema se meten de lleno en prevenir que te vuelva a
suceder. Prevenir siempre es mejor que curar pero, como no siempre actuamos
conforme a las buenas prcticas lo normal es que tengamos que curar.
6.3.2 Qu ofrece sucuri.net?
Eliminar de tu sitio malware y virus
Eliminar tu sitio web de las listas negras (Google, Norton, Websense,
McAffe)

seguridad-en-
Pgina: 66 of: 74
Monitorizacin de tu sitio web durante 1 ao (el ao de suscripcin al
contratar el servicio)
1 ao de garanta
Soporte en espaol
El precio de este servicio se desglosa en tres niveles dependiendo del nmero de
sitios afectados, a mayor nmero de sitios mejor precio. Dispones de los planes:
Business, Power o Premium.
Hasta la fecha no he tenido la necesidad de hacer uso de los servicios de Sucuri
pero llegado el caso, si los planes de accin o contingencia no resultan, no
dudara en contratarlos.
6.3.3 HackRepair.com
HackRepair.com es una alternativa a sucuri.net ofrecida por Jim Walker, un
experto en seguridad web afincado en California.

seguridad-en-
Pgina: 67 of: 74
Ofrece un servicio de limpieza de tu sitio web con resultados visibles en cuestin
de horas. Tambin hace el ejercicio de sacarte de las listas negras en hasta 24
horas.
Hasta la fecha, no he tenido ocasin de emplear los servicios de Jim aunque te
adelanto que me inspira ms confianza trabajar con sucuri.net. Es una
percepcin personal, nada ms.

seguridad-en-
Pgina: 68 of: 74
7 Quin soy yo?

En primer lugar, muchas gracias por suscribirte a la mi lista de correo y por
descargarte esta gua prctica sobre seguridad en WordPress. Mi intencin es
hacerte la vida un poco ms fcil mostrndote cmo aplicar medidas de
seguridad prcticas y tiles para tu blog o web- construido con WordPress y as
evitar que sea hackeado a las primeras de cambio.
Mi nombre es Paul Bentez, vivo en Madrid con
mi mujer y mi hija de 9 aos y, a fecha de Mayo
de 2014 llevo ms ms de 15 aos ayudando a
las personas con la tecnologa en general, con
Windows y sus ordenadores en particular y
otros tantos aos a diversas empresas con sus
servidores, bien por cuenta ajena bien por
cuenta propia.
A finales de Diciembre de 2012 tras muchas
vueltas con Joomla y gracias a los consejos de
Franck Scipion, decid empezar a aprender todo lo que estuviese a mi alcance
sobre WordPress con la sana intencin de compartirlo contigo, darme a conocer
y comenzar a generar ingresos pasivos ofreciendo valor alrededor de esta
herramienta.
Con esos objetivos en mente, le di un giro de 180 grados a la temtica de m
entonces blog www.tecnofilos.net, hoy www.admistrandowp.com, y comenc a
escribir artculos prcticos, guas y tutoriales con el propsito de ensearte a ti a

seguridad-en-
Pgina: 69 of: 74
construir, administrar, mantener, acelerar y con esta gua, a proteger tu blog -o
web- construido con WordPress.
Desde Agosto de 2013 escribo para ayudar:
a las personas que se inician en WordPress, por ejemplo, estn en la fase
de que quieren aprender a crearse un blog -o una web-.
a las personas que ya cuentan con un blog -o web- con WordPress, por
ejemplo, publicando artculos sobre plugins, temas, migraciones de
hosting, mejorar la seguridad, acelerar el blog
a las personas que carecen de un perfil tcnico, es decir, sienten que no
tienen destreza suficiente, la tecnologa les bloquea, sienten que no tienen
el control de su blog y piensan que estn faltos de la pericia necesaria
para mantener y administrar un sitio con WordPress.
Mi intencin es aportar luz para que logres superar la barrera tecnolgica,
pierdas el miedo y consigas tener el control suficiente de tu blog o web en todo
momento ahorrandote tiempo y dinero. Por lo pronto, si aplicas lo que explico
en esta gua tendrs un blog mucho ms seguro.
Al fin y al cabo WordPress es una herramienta tecnolgica, una aplicacin web
que te ayuda y mucho en el propsito de construir tu blog o web solo que, en
determinados momentos exige una pericia tcnica que quizs no tengas, no
hayas adquirido an o sencillamente no te apetezca adquirir y prefieras delegar
ese trabajo en otra persona. Si es tu caso, contacta conmigo y valoramos como
podemos colaborar juntos. Quedas invitado a visitar mi blog con frecuencia.

seguridad-en-
Pgina: 70 of: 74
Si quieres saber ms de m
Perfil en linkedin
Perfil en Google+
8 Lmite de responsabilidad
Esta gua se proporciona tal cual, con la sana intencin de ayudar a los usuarios
responsables y administradores de sus blogs o sitios web creados con
WordPress a protegerlos contra actividades maliciosas. Mediante el uso de esta
gua, asumes todo el riesgo y responsabilidad de lo que pueda suceder, sea
bueno o malo.
He hecho todo lo posible para escribir todos los contenidos de esta gua de
forma precisa, transparente y honesta pensando en ayudarte a mejorar la
seguridad de tu sitio. Si lo que lees en la gua no te resulta de fcil aplicacin,
tienes dudas, o no te ves seguro, por favor, aplica el sentido comn y no intentes
hacer algo que pueda mermar el funcionamiento de tu blog o sitio web.
Si tienes dudas al aplicar algn punto o directamente no sabes cmo aplicarlo,
contacta conmigo para tratar de ver cmo podemos colaborar juntos.
Nota. Si observas algn error en la gua, dato incorrecto y crees que debera ser
corregido, por favor, hzmelo saber para modificarlo. Muchas gracias!

seguridad-en-
Pgina: 71 of: 74
9 Fuentes
Esta gua la he podido elaborar, entre otras cosa, gracias a la recopilacin de
informacin desde diferentes fuentes, pginas y blogs de Internet. Sin duda, sin
ellas esta gua no habra sido posible. Desde aqu mi agradecimiento a todos
ellos por compartir tanta y tan buena informacin.
9.1 Lista de fuentes
http://www.cws-tech.com/es/la-seguridad-de-wordpress/
http://www.securitybydefault.com/2013/04/moddynip-como-proteger-
wordpress-de.html
http://isocialweb.com/como-instalar-wordpress-correctamente-para-seo-y-
seguridad/
http://wordpress.org/support/topic/set-up-a-secret-key-in-wordpress-25
http://www.forosdelweb.com/f118/para-que-sirve-auth_key-secure_auth_key-
logged_in_key-etc-673355/
http://forobeta.com/tutoriales-de-wordpress/131973-seguridad-wordpress.html
http://www.webempresa.com/blog/item/1390-protege-y-bloquea-el-dashboard-
de-wordpress-con-Latch-de-eleven-paths.html
https://github.com/ElevenPaths/Latch-plugin-wordpress
http://www.decidetunube.com/ponle-un-pestillo-tu-blog/
http://www.haciaelautoempleo.com/backwpup-copias-de-seguridad-wordpress/
http://ayudawp.com/ataque-masivo-de-fuerza-bruta-contra-wordpress-estas-
preparado/
http://sinlios.com/blog/2014/01/16/cuando-y-como-actualizar-wordpress/
http://perishablepress.com/5g-blacklist-2013/
http://blog.elevenpaths.com/2014/02/guias-detalladas-de-instalacion-de.html
seguridad-en-
Pgina: 72 of: 74
http://www.webempresa.com/blog/item/1390-protege-y-bloquea-el-dashboard-
de-wordpress-con-Latch-de-eleven-paths.html
http://wordpress.org/plugins/bulletproof-security/
https://wordpress.org/plugins/better-wp-security/
https://wordpress.org/plugins/wordfence/
https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
http://codecanyon.net/item/security-ninja/577696
http://www.uncommunitymanager.es/identidad-digital/
http://www.mamatambiensabe.com/2013/02/madres-blogueras-cuidado-nos-
atacan.html
http://dulciaolivari.com/nuestro-blog-libre-de-riesgo/
http://javiergomez.eu/sucuri-cinco-consejos-evitar-google-blacklist-malware-
bloqueo/
http://ayudawp.com/claves-secretas-wordpress/
http://codex.wordpress.org/Editing_wp-config.php#Security_Keys
10 Aviso
Esta gua prctica ha sido producida con pasin y sudor por Paul Bentez, as
que, por favor:
No copies partes de este la gua y las publiques en tu blog o web, con o sin
atribucin/crditos.
No publiques esta gua prctica, eBook, en plataformas gratuitas.
Gracias por tu comprensin y colaboracin.

Ebook Guia Practica Seguridad en Wordpress Final v4

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Ebook Guia Practica Seguridad en Wordpress Final v4

Transféré par

Droits d'auteur :

Formats disponibles

Documento: Gua-prctica-

Seguridad en WordPress Gua prctica Creado por: Paul Bentez

Gua-prctica-seguridad-en-wordpress_final_v4.doc www.administrandowp.com pg. 0 de 74

Gua prctica Edicin: 1

4.8.2 Ejemplo del trabajo que hace Akismet ....................................................................................... 33

8 LMITE DE RESPONSABILIDAD ................................................................................................. 70

Gua-prctica-seguridad-en-wordpress_final_v4.doc www.administrandowp.com pg. 1 de 74

Gua prctica Edicin: 1

valorar la seguridad de tu WordPress.

ramas y te voy a ensear al menos 10 formas, buenas prcticas, pasos (como

reducir de forma notable la probabilidad de que tengas un compromiso.

A lo que t me puedes preguntar, a qu compromisos de refieres? A cualquiera

de estos que te menciono a continuacin entre otros.

2.1 Qu te puede suceder si alegremente descuidas la

Entre otras cosas:

1. Que te introduzcan en tu blog o web la web de un banco para hacer phising

o que te intenten engaar mediante phising para que te instales en tu blog un

Gua-prctica-seguridad-en-wordpress_final_v4.doc www.administrandowp.com pg. 2 de 74

Gua prctica Edicin: 1

2. Que te borren el blog o la web.

3. Que empleen tu blog para ejecutar ataques DDOS

4. Que hagan SPAM desde tu blog o web.

alguien visita tu web o blog dicho programa se instalaba en el ordenador de

tu lector o visitante. El caso Javier EN.

6. Que te suceda lo que a David o a Javier.

7. Que te suceda lo que ha Catalina Echeverry (empleando blogger). La

prevencin es cosa nuestra independientemente de la herramienta.

evites al 100% que te veas inmerso en alguno de estos problemas.

Garantizrtelo sera temerario e imprudente por mi parte ya que la seguridad en

la web, como en la vida misma, es un captulo vivo y en constante evolucin.

En cambio, si decides seguir adelante y aplicar lo que te explico en este

documento, te puedo asegurar de que reducirs considerablemente la

probabilidad de ser el protagonista de cualquiera de las historias que antes te he

y que puedes implementar desde hoy mismo para mejorar la seguridad de tu

blog o web notablemente.

Gua-prctica-seguridad-en-wordpress_final_v4.doc www.administrandowp.com pg. 3 de 74

Gua prctica Edicin: 1

tu sitio web sea ms seguro y menos propenso a caer en manos de mentes

Mi intencin es transmitirte los conocimientos prcticos que yo mismo he

WordPress no se ver comprometido a las primeras de cambio.

Adems, si incurres en un compromiso, tendrs la tranquilidad de que no

Te adelanto que cuando termines de leer y de aplicar los consejos prcticos de

esta gua podrs enfocarte en otros asuntos, como:

1. La creacin de contenido relevante en tu nicho

2. La creacin y estrategia de tu lista de correo

3. La estrategia en redes sociales

6. Otros asuntos que consideres relevantes para el futuro de tu web o blog

compromisos que he experimentado los he podido solventar en tiempos

Gua-prctica-seguridad-en-wordpress_final_v4.doc www.administrandowp.com pg. 4 de 74

Gua prctica Edicin: 1

distintas fuentes, he tomado consejos recibidos, he consultado en redes sociales

y he plasmado mi propia experiencia. Todas las fuentes recopiladas se

mencionan al final, en el epgrafe de fuentes. Vamos all!

3 10 o ms formas de asegurar WordPress.

3.1 Contratar un hosting profesional y de confianza

los aspectos a tener en cuenta es el hosting, dicho de otro modo

Qu empresa de hosting me ofrece seguridad y confianza para alojar mi

sitio web o blog?

Te cuento. Existen multitud de servicios de hosting y no voy a entrar en el debate

voy a hacer es proponerte los que en mi experiencia -y en experiencia de

personas cercanas- son proveedores de confianza, se preocupan por la

seguridad y te puedo recomendar, lo que no significa que, dado el caso, el

hosting donde ests actualmente alojado sea inapropiado, de poca confianza o