En días pasados como te pudiste haber enterado nuestro blog dosensocial fue infectado por un Malware, su objetivo principal era infectar el mayor numero de visitantes posibles a través de un redireccionamiento a otro sitio donde automáticamente se descargaba un archivo .exe e infectaba la maquina del que lo ejecutaba.

Afortunadamente nuestro equipo de monitoreo se dio cuenta de la anomalía y después de confirmar la infección se decidió poner el blog en cuarentena, para la protección de nuestros visitantes, el análisis de vulnerabilidades, la depuración del blog y el aumento de la seguridad.

Después de esta experiencia y analizando el ultimo punto de aumento recordamos algunas medidas obligadas para todo aquel que administra un sitio web o un blog y así reducir considerablemente las probabilidades de ataques.

Aquí te las compartimos:

1.- Siempre Actualiza

Ningún sistema es inmune a bugs o vulnerabilidades, de las cuales delincuentes se pueden aprovechar para atacar tu sitio. Para evitar esto debes mantener la versión de tu sistema WordPress actualizado, los desarrollos de nuevas versiones aparte de liberar nuevas funcionalidades también liberan parches de seguridad, donde se corrigen tanto bugs como vulnerabilidades del sistema.

Es por eso muy recomendable tener al día las versiones de tu sistema tanto la versión general de WordPress como las versiones de los plugins instalados. Afortunadamente el proceso de actualización de WordPress es muy sencillo y automático a partir de la versión 2.7.

2.- Usa Contraseñas realmente seguras

Siempre usa contraseñas seguras, por ejemplo una frase que sea compleja y única, de preferencia que solo el administrador la recuerde, muy recomendable que contenga letras mayúsculas, minúsculas y números. Además procura cambiar dicha contraseña al menos cada 6 meses. Aquí un post de nuestro amigo @rreyes65 que explica este tema.

Para la administración de passwords puedes usar programas como 1Password para Windows, Mac, Ipad, iPhone o para los amantes del Open Source puedes usar KeePassX para Windows, Linux y Mac.

3.- Usa las Llaves secretas del archivo wp-config

En WordPress el archivo de configuración wp-config.php contempla una serie de llaves secretas de seguridad, las cuales es necesario generar para poder agregar más protección a tu sitio. Las llaves las puedes generar en este link https://api.wordpress.org/secret-key/1.1/

Cabe mencionar que el archivo wp-config.php es el archivo donde se guarda el usuario y password de administración así como los accesos a la base de datos, entre otras más configuraciones importantes.

4.- Administra correctamente tu archivo .htaccess

Utilizando el archivo .htaccess te apoya a delimitar los permisos de acceso a archivos y directorios de tu sitio. Por ejemplo puedes configurar el acceso únicamente a IPs que tu definas en el .htaccess.

Te recomendamos leer la documentación de apache para que puedas configurar tu archivo .htaccess correctamente y aqui un post más especifico.

5.- Revisa los Permisos de los Archivos y Directorios

Muchas veces los delincuentes cibernéticos logran accesar a tu sitio gracias a que los archivos y directorios tienen erróneamente asignados los permisos. Dependiendo la forma en que instalaste wordpress o la administración por default por parte de tu proveedor de hospedaje web quizá la configuracion de los permisos de archivos o directorios no sea la más segura.

Aquí documentación acerca de los permisos en los archivos de WordPress y como asignarlos.

6.- Usa herramientas de monitoreo

Una estrategia preventiva es utilizar herramientas de monitoreo, las cuales pueden ser internas como plugins o externas como http://sucuri.net/ para la revisión cada cierto tiempo de tu sitio/blog. También puedes verificar que tu proveedor de hosting tenga herramientas de monitoreo de logs y Sistemas de Detección de Intrusos (IDS).

Por ultimo cabe mencionar que nadie esta exento de ataques y vulnerabilidades de software, dado que no existe un software que brinde el 100% de seguridad, por lo que es muy importante las siguiente recomendación.

Siempre Respalda

Es prioritario que respaldes cada cierto tiempo todo tu proyecto, tanto archivos como base de datos.
Existen plugins que automatizan la generación de respaldos de la base de datos e incluso te la envían al correo que le definas.

También dependiendo tu proveedor de hospedaje web, en el panel de control existen opciones de respaldo automáticos de todo el directorio web o si eres el responsable del servidor puedes configurar un script para automatizar el proceso de respaldo de los archivos de tu sitio/blog cada cierto tiempo.

En conclusión

La seguridad depende de diversos factores de configuración y de la popularidad de tu sitio web, sin duda estos puntos te apoyaran para reducir considerablente los posibles ataques a tu sitio, sin embargo no se reduce por completo, existe la posibilidad de que aun con estos consejos logren afectar tu sitio, es por esto que el ultimo punto es el más importante para estar preparado en el peor de los escenarios.

¿ Y tu qué consejos de seguridad tienes ?
¿ Te han atacado alguna vez tu sitio o blog ?
¿ Qué medidas has tomado ?

Bienvenidos tus comentarios.
Gracias por leer.
Sigueme en twitter @xbaez

Entradas Relacionadas

1. 5 Razones de por qué las Empresas usan WordPress para su Sitio Web
   
2. Los 5 Plugins Sociales de WordPress
   
3. 8 Consejos para hacer crecer tu nuevo Blog!