Académique Documents
Professionnel Documents
Culture Documents
seguridad-en-
Guas prcticas wordpress_final_v4.doc
AdministrandoWP.Com Edicin: 1
Pgina: 0 of: 74
Publicado: 10-08-2014
Para: AdministrandoWP.com
Contenido Pg.
1 DEDICATORIA ................................................................................................................................ 2
2 INTRODUCCIN ............................................................................................................................. 2
2.1 QU TE PUEDE SUCEDER SI ALEGREMENTE DESCUIDAS LA SEGURIDAD DE TU WORDPRESS? .................... 2
3 10 O MS FORMAS DE ASEGURAR WORDPRESS. .................................................................. 5
3.1 CONTRATAR UN HOSTING PROFESIONAL Y DE CONFIANZA ..................................................................... 5
3.2 REALIZAR COPIAS DE SEGURIDAD Y AUTOMATIZARLAS ........................................................................... 8
3.2.1 Tienes un sistema de copias de seguridad automatizado?...................................................... 8
3.2.2 De qu tengo que hacer copias de seguridad? .......................................................................... 8
3.2.3 De acuerdo, ya s de qu tengo que hacer las copias, ahora cmo las hago y automatizo?
8
3.2.4 Quieres ver en detalle cmo se hace? ......................................................................................... 9
3.2.5 Se puede hacer de otro modo? .................................................................................................... 9
3.2.6 Qu pasa si tengo un problema y tengo que emplear mi copia de seguridad? Cmo
restauro mi blog o web? ............................................................................................................................ 10
4 MEDIDAS PRCTICAS DE SEGURIDAD PARA CONFIGURAR EN TU WORDPRESS .......... 11
4.1 CAMBIA EL USUARIO ADMINISTRADOR POR DEFECTO .......................................................................... 11
4.1.1 Cmo, cundo y dnde se hace esto? ....................................................................................... 11
4.1.2 Ejemplo prctico. Cuntos intentos de acceso sin xito se realizan en
www.administrandowp.com con el usuario admin? ............................................................................. 12
4.2 EMPLEA CONTRASEAS EN CONDICIONES .......................................................................................... 14
4.3 CAMBIA EL PREFIJO DE LAS TABLAS POR DEFECTO................................................................................ 16
4.3.1 Cundo, cmo y dnde cambio el prefijo?............................................................................... 18
4.3.2 Cmo cambio el prefijo de las tablas con Better WP Security o Ithemes Security?............. 19
4.4 EMPLEA LA CARACTERSTICA DE CLAVES NICAS DE AUTENTIFICACIN (CLAVES SECRETAS) ...................... 22
4.4.1 Entonces, cul de los dos archivos tengo que editar? wp-config o wp-config-sample.php 23
4.5 ACTUALIZA TU WORDPRESS ............................................................................................................. 24
4.6 ACTUALIZA TUS PLUGINS Y TEMAS ..................................................................................................... 27
4.7 EMPLEA UN PLUGIN DE SEGURIDAD ................................................................................................... 28
4.7.1 Better WP Security ahora iThemes Security. .............................................................................. 28
4.7.2 Security Ninja. ............................................................................................................................... 29
4.7.3 Wordfence ...................................................................................................................................... 29
4.7.4 AIO WP Security & Firewall Plugin ............................................................................................... 29
4.7.5 BulletProof Security ...................................................................................................................... 29
4.8 EVITA EL SPAM CON EL PLUGIN AKISMET .......................................................................................... 31
4.8.1 Cmo configuro Akismet para que me ayude con el SPAM?.................................................. 31
Pgina: 1 of: 74
9 FUENTES ...................................................................................................................................... 71
9.1 LISTA DE FUENTES............................................................................................................................ 71
10 AVISO ........................................................................................................................................ 72
Pgina: 2 of: 74
1 Dedicatoria
A las 2 mujeres de mi vida, Patricia & Sandra.
Y para ti, querido lector, por querer prevenir antes que curar, empezando a
Feliz lectura. Ah va
2 Introduccin
A da de hoy tengo la certeza de que la seguridad de tu blog (o sitio web) creado
con WordPress es una de tus preocupaciones por lo que, no me voy a ir por las
queramos llamarlo) que puedes aplicar desde hoy mismo en tu blog o web para
plugin.
Pgina: 3 of: 74
5. Que te cuelen un programa un programa malicioso (virus, etc) y cada vez que
8. Otros
No te puedo dar garantas de que realizando los pasos que te indico en la gua
mencionado.
En esta gua prctica te voy a mostrar al menos 10 pasos que estn a tu alcance
Pgina: 4 of: 74
Son pasos fciles de aplicar (te ayudar a implementarlos) para conseguir que
oscuras que quieren aprovecharse de tu sitio web o blog de algn modo u otro.
adquirido para que t tengas la certeza de que tu blog (o web) creado con
perders tu trabajo.
4. La estrategia SEO
5. La estrategia de networking
En resumen, lo que vas a ver son los pasos que yo mismo aplico en todos los
sitios web o blogs que construyo o en los que colaboro. Hasta la fecha, los
razonables.
Pgina: 5 of: 74
Nota. Para elaborar esta gua prctica he recopilado informacin por Internet en
A la hora de minimizar los riesgos de seguridad para tu blog o sitio web uno de
sobre cual es ms seguro o menos seguro, cual es mejor o cual es peor. Lo que
inseguro.
valorarlo.
Pgina: 6 of: 74
comisin. Entre otras cosas, me ayudars a pagar las facturas (luz, agua, gas,
Por favor, avsame si compras con uno de mis enlaces y en contrapartida cuenta
aclararte del todo con los pasos que aqu explico. Tienes la gua prctica y
adems cuentas con mi ayuda para ejecutar todos los pasos. 100% beneficio
para ti!!
Te digo esto porque a veces soy un poco difcil de entender cuando escribo, me
lo dice mi hija.
Pgina: 7 of: 74
de contacto y soporte.
Los planes StartUp, GrowBig y GoGeek tienen un precio especial del 50%
Pgina: 8 of: 74
Pgina: 9 of: 74
posibilidad de automatizarlas.
Tienes un tutorial sobre BackWPup en este enlace. Aqu tienes otro donde
puedes ver como hacerlas y adems guardarlas en DropBox. Tienes otro tutorial
En caso de que tengas un problema y no tengas tus propias copias, te puede ser
de mucha ayuda. Dependiendo del plan que contrates tienes este servicio
incluyen este servicio. Hostgator me consta que no. Pregunta de todos modos.
Pgina: 10 of: 74
Pues eso, que ya tienes algo de pericia, sabes hacer las copias de seguridad de
todos los artculos que tenas publicados, has cambiado la plantilla y la has liado
la cuenta de que tienes tus flamantes copias de seguridad. Ya sabes que soy un
seguridad?
tambin. Si tienes claro lo que tienes que hacer, adelante con ello. Si tienes
dudas, pregunta.
Dnde?
llegamos a un acuerdo.
Pgina: 11 of: 74
como estaba.
en tu WordPress
nombre del usuario que vas a emplear. Por defecto te propondr admin.
Pgina: 12 of: 74
admin. Si tienes una web o un blog con WordPress tambin te pasar a ti.
Pgina: 13 of: 74
En estos momentos mi web es una web con pocas visitas, no llega a las 4000
visitas al mes y por los registros que tengo, en un da, al menos 10 veces intentan
tenga tu web poco importa. Los intentos de acceso (ataques) los vas a recibir
igualmente.
Pgina: 14 of: 74
descuido dejo tambin la contrasea por defecto admin o una muy sencilla
contrasea as. No es tarea fcil pero seguro que alguien es capaz. No ser yo.
LastPass, una aplicacin muy buena tanto para crear todas tus contraseas
Pgina: 15 of: 74
1. Botn para generar contraseas aleatorias. Cada vez que hacer clic sobre
robustez mejora.
Pgina: 16 of: 74
condiciones!
WordPress que se instala en cualquier rincn del mundo tiene las mismas tablas
(10 tablas) que tiene el que t vas a instalar, el que ya has instalado o con el que
Y esto que tiene que ver con el prefijo de las tablas y con la seguridad?
Cmo sabe cada WordPress cules son las tablas con las que tiene que
son para una instalacin de WordPress y que tablas son para otra. Te lo muestro
Pgina: 17 of: 74
WordPress?
Me queda claro lo del prefijo de las tablas pero, qu tiene que ver esto con
la seguridad?
mismo para todos los WordPress al igual que el nombre de sus tablas, las
Por qu? Porqu ms del 18% de las pginas web (cifra en constante
crecimiento) que hay por el mundo estn construidas con WordPress. Esta cifra
supone un pastel muy grande de sitios webs susceptibles de inters para mentes
tratar de comprometer un gran nmero de sitios web con fines maliciosos, fines
Pgina: 18 of: 74
Por tanto, est a tu alcance ponrselo un poco ms difcil a las mentes oscuras,
(A) Durante la instalacin de WordPress se piden unos datos bsicos (1), entre
tablas. Por defecto, si no tocas nada, el prefijo para todas tus tablas (2) es wp_.
Pgina: 19 of: 74
Vale, yo soy el protagonista pero qu prefijo tengo que poner? La idea en este
blog.
kmq69un_
ipbn5ig_
pvm6h34v_
hady9j6cn_
gm740vko_
xcal7d0c_
Nota. Todos los prefijos que has visto se han creado empleando una de las
Pgina: 20 of: 74
Seguridad > Prefijo > Cambiar prefijo de las tablas. Cada vez que presionas el botn, ste
Pgina: 21 of: 74
Existen otras formas de cambiar las tablas que no se contemplan en esta gua.
dejo a tu discrecin.
http://ayudawp.com/cambiar-el-prefijo-de-la-base-de-datos-de-wordpress/
http://forobeta.com/tutoriales-de-wordpress/56827-cambiar-prefijo-prefix-
de-tablas-base-de-datos-wordpress.html
Pgina: 22 of: 74
prestacin que viene de serie desde la versin 2.6 de WordPress que por lo que
para ti.
blog.
Pgina: 23 of: 74
4.4.1 Entonces, cul de los dos archivos tengo que editar? wp-config o wp-
config-sample.php
En cualquiera de los dos casos anteriores, los pasos para configurar estos
lneas.
Pgina: 24 of: 74
escenario y pegas todas las lneas que has copiado antes. Tienes que
52-.
posibilidad de que las mentes oscuras puedan tener acceso a las contraseas de
tus usuarios de la web o blog empleando malas artes. Tienes ms detalles sobre
Pgina: 25 of: 74
tienes que ser consciente de que estars expuesto a las posibles amenazas
Hasta aqu todo claro, ahora, la propia actualizacin tiene sus riesgos, por lo que,
tu sitio. Es una prctica que nunca hacemos y luego nos toca llorar.
Una vez tengas los deberes hechos y veas notificaciones para actualizar como las
instalarlas.
Pgina: 26 of: 74
experiencia, no te queda otra que tomar una decisin: espero a tener la certeza
de que todos mis plugins son compatibles con la nueva versin? o, asumo los
c me manda a m actualizar!
Puedes tambin optar por ser cauto, no ser el primero en actualizar y esperar las
corriente del trabajo que hacen los desarrolladores de los plugins que tienes
Pgina: 27 of: 74
El mismo argumento que te expongo para WordPress hay que tenerlo en cuenta
Mantn actualizados tus plugins y temas tan pronto como te sea posible. Huye
Al final, se trata de lo bien que te resuelve la vida tal plugin para tal propsito,
pero no solo de eso, sino tambin de las personas estn detrs del desarrollo,
soporte y continuidad del mismo. Dicho de otro modo, si el plugin hace algo
bueno por ti, pero las personas que estn detrs del mismo no invierten tiempo
ponerte a actualizar los plugins. Recuerda tambin que otra alternativa es tener
pruebas y si todo va bien, actualizas tu blog real (o web) con la certeza de que
todo ir bien.
Pgina: 28 of: 74
vida ms fcil.
instalrtelos todos, sino emplear uno. De los mencionados hay dos que destacan
cada uno.
WordPress.
blog.
te des una vuelta por esos artculos. Si quieres que colabore contigo en su
Pgina: 29 of: 74
econmico (10$).
4.7.3 Wordfence
el repositorio de WordPress.
Pgina: 30 of: 74
Mirando las cifras de descargas, entre los dos plugins, en estos momentos tienen
WordPress.
La interpretacin de estas cifras es que estamos ante dos plugins que son
un tema al alza que genera mucho inters y relevancia. Cuento con que sta gua
Cul es mejor?
haber probado los otros tres que tambin te comento, me atrevo a decir que
Pgina: 31 of: 74
podras tener algn problema dado que son herramientas pensadas para lo
Dado que hay gente para todo, en este hilo del foro de WordPress.org se plantea
Una de los problemas a los que te enfrentas cuando creas tu blog es el SPAM.
activarlo.
1. Activa el plugin
Pgina: 32 of: 74
En este punto tienes que conseguir tu clave API (2). Una vez obtenida, tienes que
pegarla en el campo (3) y hacer clic en Usar esta clave. Desde ese momento
Akismet se pone en modo trabajo y se encarga del SPAM por ti. Listo!
Pgina: 33 of: 74
Pgina: 34 of: 74
tienes a tu alcance
5.1.1 Qu es Latch?
seguridad digital.
como un usuario y una contrasea, es decir, una entidad es la suma del usuario
digital.
Pgina: 35 of: 74
Latch tiene diferentes usos pero en esta gua prctica nos vamos a centrar en
Latch?
Pgina: 36 of: 74
da?
a) Android
b) Iphone
a) Por ejemplo, puedes darte de alta como cliente en el banco virtual Nevele
tiene configurado Latch en sus sistemas tienes todos los argumentos para
de Internet. Es lo ltimo que tienes que hacer para darle vida al asunto.
Vamos a lo prctico. Parto de la base de que tienes tu blog -o web- creado con
Pgina: 37 of: 74
Si te habas creado una cuenta de usuario, esa misma te sirve para registrarte en
estilo. Pasos:
Pgina: 38 of: 74
Haz clic en Mis aplicaciones (1) y aade una nueva aplicacin (4). En la imagen
Pgina: 39 of: 74
de WordPress. A tu discrecin.
Pgina: 40 of: 74
lateral izquierdo.
Fjate que en la imagen inferior tienes la lista de aplicaciones que has creado.
panel de control.
Pgina: 41 of: 74
sencillo. Tan solo cae en la cuenta de que el archivo zip que te descargas se
Pgina: 42 of: 74
Nota. Doy por hecho que sabes instalar un plugin y activarlo, en caso contrario,
contacta conmigo o si lo prefieres date una vuelta por este video. Se muestra
Pgina: 43 of: 74
Haz clic en el men Ajustes / Latch Settings. Ahora introduce los datos ID
Si tienes alguna duda con el proceso que hasta aqu te he comentado puedes
deseas.
Pgina: 44 of: 74
a qu esperas?
Acceder a Usuarios > Tu perfil. Localiza el epgrafe que indica Latch Setup.
Pgina: 45 of: 74
imagen 1 (ver pgina 46) donde dice Cdigo de pareado para nuevo servicio.
pareado.
Dicho cdigo es el que tienes que poner en el campo Latch token de tu perfil
pareo.
Pgina: 46 of: 74
Imagen 1 Imagen 2
Pgina: 47 of: 74
es decir, echar el pestillo. Una vez hecho esto, aunque te robaran el usuario y
la contrasea no podran acceder nunca a tu blog con esos datos. Por qu?
Pgina: 48 of: 74
intento.
Est claro que si t ests de caas con tus amigos y solo le dedicas tiempo al
Pgina: 49 of: 74
intenta entrar y te has olvidado de quitar el pestillo, pues blanco y en botella, con
quita el pestillo. Si has quitado el pestillo y sigues sin entrar, amigo, es que ests
poniendo ml la contrasea.
Pgina: 50 of: 74
da, cada semana, etc y, como administrador del blog decides implantar Latch,
De esta forma, aunque los usuarios sean descuidados con la fortaleza de sus
(programa malicioso o algo) les robe los datos de acceso e intenten emplearlos
que las cosas se pongan feas y tanto t como tu usuario colaborador estis ms
en tu blog o web-.
Pgina: 51 of: 74
Dicho de otro modo, el archivo htaccess te abre las puertas a un amplio abanico
malintencionadas.
No voy a entrar aqu en detalle sobre todas las posibilidades que ofrece la
edicin de este archivo, dado que son numerosas y fcilmente da para otra gua
Lo que ha hecho es compartir con el resto del mundo su trabajo, trabajo que ha
aos, por lo que a medida que se han ido realizando cambios en ellas se han
Pgina: 52 of: 74
The 5G Blacklist is a simple, flexible blacklist that checks all URI requests against a
scenes at the server level, saving resources for stuff likePHP and MySQL for all blocked
requests.
Te lo traduzco a mi manera:
La lista negra 5G es una simple y flexible que se encarga de filtrar las peticiones URI
Esto es, un cortafuegos para todo tipo de actividad maligna que se pone en
Tenemos por tanto, unas reglas prefabricadas, fruto del trabajo de aos de
Pues eso, que te muestro a continuacin qu es lo que tienes que hacer y cmo
Pgina: 53 of: 74
Pgina: 54 of: 74
caso. Si es as, tan solo, configura los enlaces permanentes con una opcin
Pgina: 55 of: 74
programa Notepad++
Pgina: 56 of: 74
Una vez localizado el archivo lo que tienes que hacer es, y cito literalmente lo
To use: include the entire 5G Blacklist in the root .htaccess file of your site.
Remember to backup your original .htaccess file before making any changes.
Test thoroughly while enjoying your favorite beverage. If you encounter any
issues, please read the troubleshooting tips and/or leave a comment to report a
bug.
Note: in some cases it may be necessary to place the QUERY STRING rules
Dicho a mi manera:
archivo raz de tu sitio. Recuerda hacer una copia de tu archivo original antes de
realizar ningn cambio, por si las moscas. Haz pruebas a fondo mientras
error.
Nota. En algunos casos puede ser necesario colocar las reglas relativas a Query
Esto es, literalmente, copiar y pegar las reglas que tiene publicadas en su pgina
Pgina: 57 of: 74
estas reglas desde Noviembre de 2013 y hasta la fecha todo ha ido como la seda.
Pgina: 58 of: 74
# 5G BLACKLIST/FIREWALL (2013)
# @ http://perishablepress.com/5g-blacklist-2013/
# 5G:[QUERY STRINGS]
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING}
(\;|\'|\"|%22).*(union|select|insert|drop|update|md5|benchmark|or|and|if)
[NC,OR]
RewriteRule .* - [F]
</IfModule>
# 5G:[USER AGENTS]
<IfModule mod_setenvif.c>
Pgina: 59 of: 74
SetEnvIfNoCase User-Agent
(binlar|casper|cmsworldmap|comodo|diavol|dotbot|feedfinder|flicky|ia_archi
ver|jakarta|kmccrew|nutch|planetwork|purebot|pycurl|skygrid|sucker|turnit
|vikspider|zmeu) keep_out
Order Allow,Deny
</limit>
</IfModule>
# 5G:[REQUEST STRINGS]
<IfModule mod_alias.c>
Pgina: 60 of: 74
</IfModule>
# 5G:[REQUEST METHOD]
<ifModule mod_rewrite.c>
RewriteRule .* - [F]
</IfModule>
# 5G:[BAD IPS]
Order Allow,Deny
</limit>
Pgina: 61 of: 74
En esta web tienes todos los detalles. Estaremos pendientes del resultado del
trabajo.
hacer?
hacer?
Si tu web est infectada es probable que -si no te has dado cuenta tu antes- tus
Pgina: 62 of: 74
Si en los resultados de bsqueda Google muestra este cartel, la broma puede ser
Seguro que puedes hacerte una idea del coste que tiene una situacin como
esta.
blog -o web- este infectado con malware u otro tipo de herramienta maliciosa o
Pgina: 63 of: 74
haces de forma recurrente este paso debera ser fcil. Ojo, verifica que la
restaurarla.
Pgina: 64 of: 74
1. http://www.virustotal.com
2. http://sitecheck.sucuri.net
3. http://www.avgthreatlabs.com/website-safety-reports/
4. http://safeweb.norton.com
blog o web?
6.3.1 Sucuri.net
entonces, ests en la lista negra de sitios web y blogs peligrosos. Una vez lo
limpies, tendrs que decirle a Google: ea! Que ya he limpiado mi sitio, revsalo,
Gua-prctica-seguridad-en-wordpress_final_v4.doc www.administrandowp.com pg. 64 de 74
Documento: Gua-prctica-
seguridad-en-
Seguridad en WordPress wordpress_final_v4.doc
Pgina: 65 of: 74
web para tratar de evitar que se vea comprometido una vez ms, es decir, acto
suceder. Prevenir siempre es mejor que curar pero, como no siempre actuamos
McAffe)
Pgina: 66 of: 74
contratar el servicio)
1 ao de garanta
Soporte en espaol
sitios afectados, a mayor nmero de sitios mejor precio. Dispones de los planes:
dudara en contratarlos.
6.3.3 HackRepair.com
Pgina: 67 of: 74
horas.
Pgina: 68 of: 74
cuenta propia.
herramienta.
Pgina: 69 of: 74
a las personas que ya cuentan con un blog -o web- con WordPress, por
Pgina: 70 of: 74
Si quieres saber ms de m
Perfil en linkedin
Perfil en Google+
8 Lmite de responsabilidad
Esta gua se proporciona tal cual, con la sana intencin de ayudar a los usuarios
bueno o malo.
He hecho todo lo posible para escribir todos los contenidos de esta gua de
tienes dudas, o no te ves seguro, por favor, aplica el sentido comn y no intentes
Nota. Si observas algn error en la gua, dato incorrecto y crees que debera ser
Pgina: 71 of: 74
9 Fuentes
informacin desde diferentes fuentes, pginas y blogs de Internet. Sin duda, sin
ellas esta gua no habra sido posible. Desde aqu mi agradecimiento a todos
http://www.cws-tech.com/es/la-seguridad-de-wordpress/
http://www.securitybydefault.com/2013/04/moddynip-como-proteger-
wordpress-de.html
http://isocialweb.com/como-instalar-wordpress-correctamente-para-seo-y-
seguridad/
http://wordpress.org/support/topic/set-up-a-secret-key-in-wordpress-25
http://www.forosdelweb.com/f118/para-que-sirve-auth_key-secure_auth_key-
logged_in_key-etc-673355/
http://forobeta.com/tutoriales-de-wordpress/131973-seguridad-wordpress.html
http://www.webempresa.com/blog/item/1390-protege-y-bloquea-el-dashboard-
de-wordpress-con-Latch-de-eleven-paths.html
https://github.com/ElevenPaths/Latch-plugin-wordpress
http://www.decidetunube.com/ponle-un-pestillo-tu-blog/
http://www.haciaelautoempleo.com/backwpup-copias-de-seguridad-wordpress/
http://ayudawp.com/ataque-masivo-de-fuerza-bruta-contra-wordpress-estas-
preparado/
http://sinlios.com/blog/2014/01/16/cuando-y-como-actualizar-wordpress/
http://perishablepress.com/5g-blacklist-2013/
http://blog.elevenpaths.com/2014/02/guias-detalladas-de-instalacion-de.html
Gua-prctica-seguridad-en-wordpress_final_v4.doc www.administrandowp.com pg. 71 de 74
Documento: Gua-prctica-
seguridad-en-
Seguridad en WordPress wordpress_final_v4.doc
Pgina: 72 of: 74
http://www.webempresa.com/blog/item/1390-protege-y-bloquea-el-dashboard-
de-wordpress-con-Latch-de-eleven-paths.html
http://wordpress.org/plugins/bulletproof-security/
https://wordpress.org/plugins/better-wp-security/
https://wordpress.org/plugins/wordfence/
https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
http://codecanyon.net/item/security-ninja/577696
http://www.uncommunitymanager.es/identidad-digital/
http://www.mamatambiensabe.com/2013/02/madres-blogueras-cuidado-nos-
atacan.html
http://dulciaolivari.com/nuestro-blog-libre-de-riesgo/
http://javiergomez.eu/sucuri-cinco-consejos-evitar-google-blacklist-malware-
bloqueo/
http://ayudawp.com/claves-secretas-wordpress/
http://codex.wordpress.org/Editing_wp-config.php#Security_Keys
10 Aviso
Esta gua prctica ha sido producida con pasin y sudor por Paul Bentez, as
No copies partes de este la gua y las publiques en tu blog o web, con o sin
atribucin/crditos.