Seguretat en WordPress: Mesures clau per a protegir el teu lloc web

En qualsevol lloc web desenvolupat amb WordPress, és crucial considerar la seguretat per a previndre atacs de ciberseguretat que podrien ser molt perjudicials per al teu negoci. Us expliquem els punts més importants a tindre en compte per a reforçar la seguretat del teu lloc:

Contrasenyes segures

Utilitza sempre contrasenyes segures, les que ens suggereix WordPress o crear-les amb un generador de contrasenyes.

• Forçar als usuaris a utilitzar contrasenyes segures
• Utilitza majúscules, minúscules, números i símbols (si pots inclou el caràcter “*ñ”, dificulta el desxifrat de la contrasenya als ciberdelinqüents)
• No gastar la mateixa contrasenya per a altres llocs web o aplicacions.
• Ús de 2FA(Doble factor d’autenticació)

2FA Doble factor d’autenticació

Amb aquest mètode, verifiquem l’accés mitjançant un codi addicional que s’envia per correu electrònic o amb una aplicació per a assegurar-nos que és l’usuari el que ha introduït la contrasenya i no una altra persona.

Per a això existeixen diversos plugins i opcions que ens permeten activar aquesta funcionalitat:

Plugins per a 2FA

Aquests utilitzen diversos sistemes com, per email, codis de suport, Google Authenticator o Authy. Normalment, nosaltres usem Google Authenticatator, encara que qualsevol altra aplicació compatible pot funcionar. Cal descarregar l’APP en el teu mòbil, i després d’instal·lar el plugin escanejar el QR Code que ens dona en accedir a la configuració d’aquests plugins. Algunes opcions de plugins per a implementar 2FA en la teua WordPress:

• WP 2FA
• Wordfence Login Security
• Two Factor Authentication

Configuració de htaccess

Bloquejar permisos de fitxers de l’arrel de WordPress

<files wp-config.php>
 deny from all
</files>
<files readme.html>
 deny from all
</files>
<files license.txt>
 deny from all
</files>

Desactivar PHP en la carpeta uploads. En aquesta carpeta no hauria d’executar-se cap arxiu PHP. Per a evitar-ho, podem afegir un arxiu .htaccess en la carpeta /wp-content/uploads/ amb el següent codi:

<Files *.php>
 deny from all
</Files>

Canviar o protegir el accès al directori wp-admin

Afegir contrasenya addicional a l’accés a WP-ADMIN. Primer hem de crear el fitxer .htpasswd amb l’usuari i contrasenya, podem utilitzar l’eina HTPassword Generator per a això, i pugem aquest fitxer, si pot ser en una carpeta no pública, depén del hosting, però normalment fora de la carpeta (public, www, https o similar). Després editem el fitxer .htaccess de la carpeta /wp-admin/ i afegim el següent codi:

<Files wp-login.php>
 AuthType Basic 
 AuthUserFile /RUTA DONDE SE HA SUBIDO EL FICHERO/.htpasswd
 AuthName "Acceso restringido"
 require require valid-user
</Files>

Hosting

El hosting on tenim allotjada la nostra web és una cosa fonamental per a la seguretat i rendiment del nostre lloc web, és important triar un bon proveïdor de hosting. Factors a tindre en compte per a seleccionar un bon proveïdor de hosting:

• Certificats SSL
• Firewall
• Backups automàtiques
• Actualizacions de sistema: panell de control, versions de PHP, MariaDB…
• Monitoratge de Malware
• Ubicació del servidor
• Caché a nivell de servidor
• CDN
• Recursos necessaris: CPU, RAM
• Suport PHP i MySQL
• Suport tècnic de qualitat i temps de resposta ràpid

Base de dades

Assegura’t que la connexió a la base de dades es realitze únicament des del mateix servidor, llevat que siga necessari permetre connexions externes.

Utilitzar un prefix distint a wp_ en crear las taules de la base de dades.

Permisos de fitxers

Normalment, això ja està correctament configurat pels proveïdors de hosting, però recomanem verificar que els permisos siguen 755 per a carpetes i 644 per a arxius.

Recomanem canviar el .htaccess i wp-config a 444, una vegada realitzat aquests fitxers no es podran modificar per cap plugin, serà necessari tornar a canviar els permisos si ho necessitem, però una vegada realitzada la modificació d’aquests millor deixar-los una altra vegada a 444.

Firewall i CDN

Encara que tinguem firewall a nivell de servidor, en alguns projectes pot ser que necessitem major seguretat i implementar un firewall més avançat amb una CDN. Per a això recomanem Cloudflare, la versió gratuïta és bastant completa i després té els plans de pagament si volem més opcions.

Fitxer wp-config

El fitxer wp-config té definits paràmetres necessaris per al funcionament de la nostra web, addicionalment podem afegir o modificar alguns per a reforçar la seguretat.

Evitar canvis de la URL del lloc

Ací forcem que no es puga canviar la URL del lloc, això ens evita problemes si algun usuari amb accés el modifica per error i deixa sense funcionar el lloc web:

define('WP_SITEURL', 'https://www.misitio.com');
define('WP_HOME', 'https://www.misitio.com');

Security Keys

Utilitza les Security Keys de WordPress, pots generar-les amb l’eina WordPress Salt Generator. Exemple de resultat:

define('AUTH_KEY',         'JNi2Dv_t%_W+gV{nK4Vv`uK*M*6[OtlJ#rP$(f9DG0z?P0^y09XL4o(S9L^~1zX<');
define('SECURE_AUTH_KEY',  'WE`D@muXcUptpCLiwe+|th)-R+)Q,l]mCh2dADLV6-u;acFH6HTvKB>x{9CYW#Ri');
define('LOGGED_IN_KEY',    'yF&TWBe~q<6kJv`[XYrkH>j0U.[;:vZNpXE`G~(Z5-1@-&0 %JuQdp+HhZiYCV$1');
define('NONCE_KEY',        'h!Q$4RH68xQm8kUa^Qp wpSm<+K5K-wy1FiID~|Has$D1@KK^7+E+4H9#4r7ynEl');
define('AUTH_SALT',        'D*=w-_k&X^HHeE+0Oi.hpuf*Dh#qXr28+J1C-D6}zZhG[L(|1B+Z6}8yrU!>8sJP');
define('SECURE_AUTH_SALT', 'sXUpJg(7U1?^]kgg|`(%H.RFmxNb|[#F^|i&yTz^s|[C _Y=o#I SHamv;@K@AV0');
define('LOGGED_IN_SALT',   'q>|}s{PB/|/z|[7)sqDY[X#E%)5NldUqsgga;w>K@akygw%eTD^$7_Gke28fgv>d');
define('NONCE_SALT',       'oCv_Z^v*QkS+s)t7q>np?Bv`2n7l`pRidTQbD8CV[-gBeFgBPrch?ZD3`|*jvEG3');

Forçar l’ús de SSL

És necessari instal·lar un certificat SSL perquè els usuaris naveguen de manera segura, això ens ho hauria de proporcionar nostre hosting on tenim la web. Si volem forçar-ho en el nostre WordPress, perquè sempre es navegue amb https per la nostra web, ho podem fer afegint aquestes línies en el fitxer wp-config:

define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);

Plugins de seguretat

Els plugins de seguretat faciliten molt la implementació d’algunes i altres mesures de seguretat de les anomenades. Encara que només recomane el seu ús en algun cas puntual i tindre’ls sempre actualitzats a l’última versió (activar actualitzacions automàtiques). A continuació alguns dels més populars:

• Wordfence
• SolidSecurity
• All In One WP Security Firewall
• iThemes Security
• Sucuri Security

Aquests plugins poden ser bastant pesats i sovint dupliquen funcionalitats que podem implementar fàcilment amb algunes línies de codi o que potser ja són presents en el nostre hosting.

Manteniment web

El més important per a tindre un lloc segur és que aquest porte un bon manteniment web:

• Actualitzar WordPress i plugins periòdicament
• Actualitzar la versió de PHP i de la base de dades quan siga recomanable per WordPress
• Revisar que es realitzen còpies de seguretat
• Tindre monitorat el lloc per a detectar caigudes
• Avisos de quan algun plugin tinga vulnerabilitats per a actualitzar com més prompte millor
• Realitzar escàner de malware periòdicament
• Comprovar que el lloc web envia correus electrònics

Conclusions

Encara que es poden prendre moltes més mesures per a augmentar la seguretat, us hem comentat algunes de les quals considerem importants. No és necessari implementar totes aquestes i dependrà de cada projecte i les seues particularitats, quins són millor implementar i altres que necessiten alguna configuració més avançada.

Si els teus coneixements són limitats per a implementar aquestes tasques, recomanem contractar un professional expert per a assessorar-te i aplicar aquestes configuracions. Pots contactar amb nosaltres per a ajudar-te a configurar el teu lloc més segur.