Lo que yo hago para blindar un sitio web

Solo tenemos que repasar la hemeroteca más reciente para darnos cuenta de la necesidad de blindar un sitio web porque las amenazas de seguridad son un mal con el que tenemos que convivir y, por supuesto, estar preparados.

No se libra nadie. Ordenadores, tablets, smartphones, electrodomésticos inteligentes, máquinas. Todo es susceptible de ser hackeado, con los costes en tiempo, recursos y dinero que eso suele conllevar.

Y, claro, nuestra web no se libra y también es susceptible de recibir visitas indeseadas y con malas intenciones. Cada año crece exponencialmente la cantidad de ataques informáticos que se llevan a cabo a nivel mundial.

La seguridad online es un asunto que cada vez se oye más y más en los medios y es algo que yo te recomiendo que te tomes en serio.

Vale, José Ramón, me parece bien lo que dices pero creo que exageras un poco. ¿Para qué querrían unos hackers entrar en el sitio web de una humilde pequeña empresa de un humilde pequeño pueblecito? Yo creo que esos van a donde hay “chicha”, o sea, a las grandes corporaciones, webs gubernamentales, tiendas online y sitios así… ¿no?

Pues no. Esos señores roban donde pueden y roban de todo. Los hay especializados en romper sistemas muy robustos de grandes empresas, sí. Pero también los hay quienes diseñan “malware” especializado en encontrar agujeros de seguridad en cualquier sitio web.

Lo siento, pero los hackers también van a por ti.

 

Entendí la importancia de la seguridad

Hace varios años recibí en un plazo de muy pocos días, las llamadas de dos clientes diferentes. Ambos tenían un problema común: su web había dejado de funcionar.

Cuando intenté entrar en modo administrador en el panel de Joomla (en esa época yo trabajaba con ese gestor de contenidos) no hubo manera. Suelo arreglar todos los problemas que me llegan y aunque esta amenaza era diferente para mi, pensé que lo podría arreglar. No pude.

Devolver a su estado inicial las páginas web de mis clientes me costó: tiempo, dinero y la confianza de mis clientes, hasta entonces intacta.

Una experiencia tan negativa como esa supuso el principio de algo bueno: mi relación con la seguridad online.

Fue a partir de ese momento que vi la necesidad de implementar una serie de medidas en todas las webs que desarrollaba y gestionaba. Y así lo hice y lo sigo haciendo a día de hoy.

En pocas palabras: blindo mis webs.

Resultados: no me ha vuelto a pasar más. Clientes satisfechos. Bueno para mi negocio.

¿Qué acciones concretas implemento cuando creo una web? Te lo cuento ya.

 

Trabajo con WordPress

Esa fue mi primera gran y acertada decisión, pasarme a WordPress. Sin desmerecer a Joomla que es un excelente gestor de contenidos, investigando me di cuenta que trabajar con WordPress era más sencillo y amable.

Y sobretodo pensando en mis clientes, si querían autogestionar ellos mismos su web, hacerlo con WordPress era la opción más adecuada.

Enseguida me di cuenta de la cantidad de plugins y posibilidades que ofrecía WordPress. Aquellas dos primeras webs hackeadas fueron rediseñadas pero ahora bajo la plataforma WordPress.

De forma gradual, los clientes a los que les iba rediseñando la web ya lo hacía con WordPress y a los nuevos, claro, también.

Tomar esa decisión y hacer el cambio marcó las diferencias en materia de seguridad, gracias a sus características y funcionalidades.

Pero WordPress, por si solo, no es más seguro que otro gestor de contenidos. Había que tomar algunas medidas.

 

A tener en cuenta durante la instalación de WordPress

Ya solamente al instalar WordPress debemos tomar decisiones importantes relacionadas con la seguridad.

Las más importantes que yo llevo a cabo siempre son:

Modifico prefijo tablas por defecto

Modifico el prefijo de la tabla de la base de datos que por defecto en WordPress es “wp_”. Lo cambio por otro. Puede ser “bp_”, “fp_” u otro cualquiera. Dejar el que viene por defecto es ponerles las cosas muy fáciles a los hackers.

Si me encuentro con una web ya hecha en wordpress y con el prefijo “wp_”, lo modifico. Se puede. (aquí lo explican paso a paso)

No uso “admin” como nombre de usuario

Al crear el nombre de usuario de WordPress nunca dejo el que viene por defecto, a saber, “admin”. Esto supone de nuevo ponerles las cosas fáciles a los hackers.

Contraseña potente

Genero una contraseña dificil de averiguar. Eso implica que sea larga y que contenga letras, números, mayúsculas, minúsculas y que no tenga ningún significado. Si tiene símbolos “raros”, mejor.

En resumen: trato de empezar con buen pie.

 

Plugins: los necesarios y de fuentes confiables

En WordPress cualquier funcionalidad que necesitemos implementar en nuestra web puede conseguirse gracias a los plugins.

Hay plugins de todo tipo: para facilitar la escritura, para social media, para SEO, para métricas, para implemetar un ecommerce, para seguridad…

Una máxima que me aplico es utilizar los plugins mínimos, solo los necesarios.

Esto es bueno por varios motivos. Primero es que mantengo rápida la carga de las páginas.

Cada plugin consigue incrementar un poco más el tiempo que tarda una web en cargar. Teniendo en cuenta la importancia que tiene para el SEO mantener rápidas nuestras web, mejor hacerlo así.

Y otro motivo es la seguridad. A más plugins, más posibilidades de que alguno de ellos presente alguna vulnerabilidad y termine siendo puerta de entrada a los hackers.

Y el otro principio que aplico es la calidad. Es decir, los pocos plugins que instalo me aseguro que el desarrollador sea de confianza probada.

Eso es fácil verlo en la base de datos de plugins de WordPress, pues cada vendedor tiene unos datos que podemos comprobar: número de instalaciones, nivel de satisfacción por parte de los usuarios (reseñas por estrellas) y fecha de la última actualización del plugin.

Si un plugin no ha sido actualizado en varios meses y ya no te digo años, no lo uses. Es un peligro para la seguridad de tu sitio web.

Y por último. No seas tacaño. Si necesitas un plugin o un tema premium para WordPress, cómpralo. No lo descargues de cualquier torrent. Hacerlo sería como si tú mismo invitaras al enemigo a tu propia casa. Hay muchas posibilidades de que ese plugin o tema esté “contaminado”.

Además, ¿estás montando un negocio y no puedes invertir los 25, 50, 100 euros que te cuesta ese elemento de tu sitio web? ¿En serio?

Resumiendo: poquito y bueno.

 

Mantengo actualizado WordPress, el tema y los plugins

Y ya que estamos con los plugins, algo que hago siempre es estar al día con todas las actualizaciones tanto de WordPress, como del tema y los plugins.

Los desarrolladores de plugins y de temas, van descubriendo vulnerabilidades que van solucionando a través de las diferentes actualizaciones disponibles.

Actualizar un plugin en WordPress es tan sencillo como apretar un botón que dice “actualizar”. Nada más.

Actualizar un tema de WordPress es igual de sencillo. Lo mismo.

Ser dejado en este sentido y no mantener actualizados estos elementos de WordPress, yo te digo, que solo te traerá problemas.

Y por último están las actualzaciones periódicas de WordPress. Cada cierto tiempo (meses) WordPress presenta una actualización a una versión superior. Al escribir este artículo estamos por la versión 4.7.1.

Un día entraré en la administración de mi WordPress y veré un clara notificación de que ya está disponible la versión 4.7.2 ¿Que haré? Siguiendo las recomendaciones del propio WordPress, tras hacer una copia de seguridad de la base de datos, actualizaré.

En tres palabras: actualizar, actualizar, actualizar.

 

Utilizo plugins específicos de seguridad

Y ya que hablamos tanto de plugins, decir que hay algunos que no solo no presentarán una amenaza para la seguridad, sino que están diseñados para implementarla.

Los plugins de seguridad trabajan como escudos protectores de nuestra web. Controlan todo lo que entra y sale de ella y también controla ciertos movimientos, digamos, sospechosos.

Plugins de seguridad hay uno cuantos. Los mejores que yo conozco son: Wordfence y iThemes Security.

Estos plugins son muy efectivos a la hora de detectar intrusiones porque ofrecen soluciones integrales de seguridad. Es decir, protegen nuestra web de diferentes formas.

Estos plugins de seguridad son, además, gratuitos. Luego puedes añadir funcionalidades más potentes si las necesitas utilizando una versión premium. Pero para una web normal, con el plugin gratuito es suficiente.

 

Limito los intentos de login fallidos

Limitar los intentos de login fallidos evita entradas no deseadas. WordPress por defecto no implementa esta función, pero plugins de seguridad como Wordfence o iThemes Security, sí.

Yo hablo de Wordfence que es lo que conozco y utilizo. En la sección opciones puedes configurar una gran cantidad de parámetros, incluido la cantidad de intentos de login fallidos.

Tres es una cifra razonable. Da margen a algún error por nuestra parte y muy poco a los hackers.

 

Controlo el spam

WordPress permite “de serie” que quienes lean los artículos que hemos publicado puedan interactuar con nosotros y dejar sus comentarios.

Esto está muy bien (sobretodo quien tiene la suerte de que le dejen comentarios en su blog) pero es una fuente de comentarios spam.

Y el spam puede ser fuente de troyanos y otras amenazas para la seguridad. Parece increíble, ¿verdad? Pero es así.

Evitarlo es de lo más fácil. Yo no soy muy original que digamos. Utilizo Akismet, el plugin más conocido y no sé si el más utilizado en el mundo.

Viene instalado por defecto en WordPress, hay que activarlo antes para que funcione y ya está. El solito mantiene a raya a todo el spam que desee aterrizar en tu web.

En resumen: activo Akismet.

 

Hago backups automáticos regularmente

Y esto último es lo que me deja dormir como un bebé por las noches. Las copias de seguridad. Las malditas copias de seguridad.

Andar por la vida sin copias de seguridad es como conducir un coche sin seguro. Sabes que tarde o temprano algo pasará, y no bueno.

Las copias de seguridad me han salvado el culo en más de una y dos veces. Si cuando tenía aquellas dos webs en Joomla (las que te comentaba al principio del artículo) hubiera tomado la simple decisión de hacer copias de seguridad, hubiera tardado en solucionar el marrón menos de una hora.

En WordPress hacer copias de seguridad enteras de una web (textos, imágenes, multimedia, temas, plugins, etiquetas… todo) es muy sencillo. Nuevamente aparecen los plugins.

En este caso yo utilizo el que, en mi opinión, es uno de los mejores gestores de backups para WordPress: UpdraftPlus.

¿Qué me asegura la copia de seguridad regular y automatizada que me proporciona este plugin (u otro similar)? La tranquilidad de saber que mis datos están a salvo. Pase lo que pase, la web estará funcionando en menos de una hora. En cuestión de minutos.

Pueden fallar todas las medidas de seguridad mencionadas en este artículo. Difícil pero no imposible. Pero no problem, los datos siempre estarán a salvo.

 

Y creo que ya está. Seguro que me habré dejado alguna cosa en el tintero, pero lo importante y que marca la diferencia a la hora de blindar una web, lo he dicho en este artículo.

Si tienes una web en WordPress o estás pensando en crearla, hazte un favor y toma buena nota de lo dicho aquí. Aprende de mis errores pasados y tómate en serio el tema de la seguridad.

Y si eres desarrollador web y gestionas las webs de tus clientes, cuídalos e implementa de forma metódica estas medidas (y otras más que igual conoces) ya sea en WordPress como en cualquier otro gestor de contenidos.

Lo que es saber, ya lo sabes. Ahora ves, y blinda tu web.