Seguridad WordPress

El otro día me llamó la atención un artículo sobre una propuesta para incluir una funcionalidad del plugin Shiny Updates a partir de la versión 4.6 de WordPress.

Sobre todo me llamó la atención esta frase:

"Fewer clicks in the admin translate into less time spent on site management, making it easier to stay ahead of security issues and keep the software up to date."

- Sarah Gooding

Que viene a decir que cuanto más fácil nos pongan la gestión en el panel de WordPress, nos costará menos trabajo mantener WordPress actualizado, y así tendremos páginas web más seguras.

seguridad-wordpress-470-304

El mantra de mantener WordPress actualizado se ha repetido en prácticamente todos los Meetup de WordPress a los que he asistido, tanto en Collado Villalba como en Majadahonda.

En concreto que es muy importante mantener actualizados:

  • Plugins.
  • Themes.
  • WordPress CMS framework.

Pero si que es verdad que la famosa pantalla de actualización: Bleak screen of Sadness, hace el proceso bastante pesado.

Y por eso pienso que una mejora que nos hace la vida mas fácil es siempre bienvenida.

Pasa lo mismo que con ir al gimnasio, ponerte a dieta o estudiar.

Si quieres ir mas al gimnasio, procura dejar la mochila con la ropa de deporte preparada en la entrada de casa, estará ahí para recordarte que te tienes que poner en forma.

Para bajar de peso, deshazte de la comida basura, y procura tener a mano frutas y verduras.

¿Estudiar concentrado? vete a una biblioteca para evitar distraerte.

Pues con las actualizaciones pasa lo mismo.

Yo ya me lo he instalado y la verdad es que esta bien, si tienes curiosidad este es el enlace al plugin Shiny Updates.

Plugin Shiny Updates Repositorio Wordpress

Ya que estamos, este otro plugin es interesante WP Updates Notifier porque te avisa enviando un correo cuando hay actualizaciones disponibles, esto es genial porque tanto si es una web que no revisas a menudo, como una web que gestionas para un cliente, puedes evitarte tener que entrar para revisar frecuentemente y sólo entrar cuando hay actualizaciones.

Pero te puede pasar como a mucha gente, y no confiar en una nueva actualización ¿Qué pasa si me tira abajo mi página?

Pues bien hay una iniciativa muy interesante para todos los bolsillos, que te permite probar un plugin antes de instalarlo WP Safe Updates.

Plugin Wp Safe Updates

¿Que otras cosas se pueden hacer para mantener nuestro WordPress a salvo?

Elegir plugins y temas seguros

Aquí la clave está en recopilar toda la información posible, tanto del repositorio de WordPress, como de las páginas externas.

El repositorio de WordPress te da la posibilidad de buscar un plugin escribiendo una una palabra o frase.

También tienes búsquedas preestablecidas: Destacados, Populares, Recomendados y Favoritos.

De una manera o de otra, lo que te ofrecerá es una página de resultados que encajan con lo que has escrito, y aquí es donde empezaremos a descartar.

Resultado de búsqueda en el repositorio de WordPress

¿Qué características buscaremos en un Plugin?

  • Continúa siendo desarrollado activamente.
  • Los autores son de confianza o tienen cierta reputación.
  • Es compatible con tu versión de WordPress.
  • Cual es su nivel de popularidad en la actualidad.

Vamos pestaña a pestaña para ver lo más destacado.

Descripción

Aquí nos fijamos en si la descripción está bien escrita y es detallada, o si por ejemplo ofrece enlaces a otras páginas con información adicional.

Plugin Shiny Updates Descripción

Simplemente leyendo la descripción debemos ser capaces de saber si el plugin hace lo que necesitamos o no.

Instalación

La instalación de un plugin suele ser sencilla, forma parte del encanto.

Plugin Shiny Updates Instalación

Pero si hay restricciones o pasos adicionales que debemos dar antes o después de la instalación, es importante conocerlo y es mas importante aun que esté bien descrito en este apartado.

Capturas de Pantalla

Esta genial para hacerse una idea de lo que hace el plugin, y de si es fácil de manejar o no.

Sobre todo en los casos en los que el plugin puede cambiar el aspecto de nuestra web es importante revisar bien esta pestaña.

En el caso particular del plugin en cuestión Shiny Updates.

Aunque en la imagen no se puede apreciar, me parece innovador lo que han hecho, al incluir un gif, porque se puede ver el plugin en acción.

Plugin Shiny Updates Captura De Pantalla

En dos pantallas separadas mostrando el modo de actualizar con el plugin y sin el plugin activo (The Bleak Screen of Sadness).

Barra lateral

Aquí encontraremos información muy valiosa sobre el plugin:Plugin Shiny Updates Barra Lateral

  • Número de versión de WordPress que es necesario tener instalado para que funcione correctamente.
  • Compatibilidad hacia adelante, nos indica con que versiones futuras va a seguir funcionando.
  • Ultima actualización, fundamental para saber si el plugin se revisa con frecuencia.
  • Número de instalaciones activas, este indicador me encanta, un plugin activo es un plugin que se está utilizando.
  • Valoraciones, también muy importante, pero a la hora de comparar hay que tener en cuenta el número de valoraciones y compararlo con la valoración media.

Estadísticas

Podremos ver ampliada la información sobre descargas del plugin, cuantas están activas, y cual es la tendencia actual.

Plugin Shiny Updates Estadisticas

 

Estás muy bien para ver en que punto esta el plugin en cuanto a su ciclo de vida, si es un plugin que está en alza o en declive.

Soporte

Nos muestra el log de soporte, si tiene muchas incidencias, cuantas están sin resolver, con que rapidez responden a las incidencias.

Plugin Shiny Updates Soporte

Reseñas

Aquí veremos ampliado el apartado de reseñas o valoraciones del plugin, y el detalle de los comentarios y valoraciones, si tienes dudas está muy bien leerlo, bueno es recomendable leerlo siempre.

Plugin Shiny Updates Valoraciones

Yo por defecto elimino las muy muy buenas y las muy muy malas, pienso que la verdad estará en el punto medio.

Desarrolladores

Tanto en la barra lateral como en este apartado podremos encontrar información relacionada con los los autores del plugin, y ver su nivel de autoridad, esto es un factor extra de confianza.

Plugin Shiny Updates Autores

No olvides tu lado salvaje

Como es obvio y natural todos queremos lo mejor para nuestra página web, y queremos evitar riesgos.

Pero hasta el mas exitoso de los plugins del repositorio empezó de cero, puede que desarrollado por alguien nuevo en el mundo WordPress, y aun así ha hecho un buen trabajo resolviendo un problema importante.

Por eso, y siempre tomando precauciones y probando primero en un lugar seguro:

"Deja sitio para la intuición y atrévete a romper las reglas"

Mantener actualizados los temas

También tenemos la posibilidad de buscar en el repositorio de temas.

Aunque no hay tanta información sobre el tema como sobre los plugins, algo hay.

Theme Check WordPress Plugins

Utilizar el plugin Theme Check está genial para comprobar la calidad del tema, yo incluso lo he utilizado en el tema a medida que he desarrollado, para comprobar que el tema sigue estando vigente con las sucesivas actualizaciones.

El factor Ñ

Tanto para plugins como para temas, si está traducido al castellano es un aliciente mas.

El equipo de traducción no para de trabajar, pero si tienen que priorizar, está claro que prestará mas atención a los plugins mejor valorados.

Quitar los plugins, temas y ficheros que no utilizamos

Igual que quitamos las malas hierbas de las macetas.

Para eliminar plugins de la instalación busca aquellos que cumplan estas características:

  • No los utilizamos para nada aunque están activos.
  • Están desfasados o no son compatibles con la versión de WordPress instalada.
  • No están activos.

En cuanto a los temas, si no lo estás utilizando es mejor eliminarlos, lo ideal es tener sólo el tema que estas usando.

Por último, también es recomendable eliminar ficheros y carpetas que no se utilizan, como por ejemplo:

  • wp-config-sample.php
  • readme.html
  • license.txt

Contraseñas Fuertes

Cuando creas tu sitio por primera vez, la contraseña del Administrador debe ser fuerte.

Si no te sientes creativo siempre puedes utilizar generadores de contraseñas online.

No dejes el nombre de usuario Admin que viene por defecto, estás regalando el 50% de la información necesaria para acceder a tu web con privilegios de administrador.

Es necesario crear una password diferente para cada usuario.

Ponte recordatorios para actualizar las contraseñas frecuentemente, es un excelente medida de seguridad.

Usuarios y Roles

Asignar correctamente los roles a cada usuario evita que un usuario haga cosas incorrectas por error.

WordPress te ofrece 5 roles con diferentes privilegios cada uno:

  • Administrador
  • Editor
  • Autor
  • Colaborador
  • Suscriptor

De menos a mas, vamos desde el Suscriptor, que puede leer y poco mas, hasta el Administrador que tiene privilegios para cambiarlo todo.

Si lo necesitas puedes utilizar un plugin para añadir roles adicionales que necesitan una configuración de privilegios diferente a las que vienen por defecto.

Lo importante es que sólo la persona que se dedica a Gestionar la página Web tenga el rol de Administrador, y el resto tengan roles adecuados a tu actividad dentro de la página.

Conclusiones

Mantener segura nuestra instalación de WordPress es sencillo, aunque puede ser aburrido, por eso si nos lo ponen fácil mejor que mejor ¿Tu que opinas?

Bueno pues así sin quererlo me ha salido un post de seguridad básica con WordPress, espero que te resulte útil, y por supuesto:

Hasta Pronto!

 

0 Comments