Volver

WordPress: archivos que lo conforman y cómo protegerlos

Blog-ArchivosWP-Portada.jpg

¿Te has preguntado alguna vez cómo funciona WordPress? La respuesta está en los archivos ocultos que componen WordPress. Desde wp-config.php hasta .htaccess, estos archivos son esenciales para que este funcione correctamente y de forma segura.

Pero no se trata solo de saber cuáles son, sino también de entender cómo protegerlos. Saber cómo proteger estos archivos es fundamental para mantener tu sitio web seguro, ya que contienen información confidencial.

En este artículo, profundizaremos en los archivos ocultos que componen WordPress y en las medidas que puede tomar para protegerlos. Tanto si eres un principiante en WordPress como un webmaster experimentado, no querrás perderte esta información.

WordPress es, con diferencia, el gestor de contenidos más popular y utilizado del mundo, con más de 60 millones de sitios web creados con WordPress y una cuota de mercado global de más del 30%.

Pero que sea popular no significa que todos sus usuarios sepan cómo funciona o los archivos que lo componen o incluso las mejores medidas de seguridad

WordPress se compone de dos partes: la aplicación de WordPress y los archivos del núcleo de WordPress. La aplicación WordPress es la parte del sitio web que ves y con la que interactúas (por ejemplo, tu panel de control, contenido, widgets, etc.) mientras que los archivos del núcleo de WordPress incluyen los archivos ocultos que conforman la funcionalidad básica de tu sitio web.

Si accedes a través de FTP a ver los archivos que conforman tu instalación de WordPress, verás 3 carpetas:

wp-admin

wp-content

wp-includes

Estas, junto a otros archivos que se encuentran en la raíz de tu página web como wp-config.php o incluso el .htaccess, son los archivos centrales que hacen funcionar tu página web.

Estos archivos son importantes, puesto que son la base de tu página web, sin ellos, tu página web simplemente no funcionaría. Es por eso por lo que resulta imprescindible protegerlos de posibles atacantes.

Existen varias prácticas recomendadas para mantener seguros los archivos de WordPress. Lo primero y más fundamental es mantener la privacidad de los archivos principales de WordPress. Para ello, puedes gestionar correctamente los permisos de estos archivos para que ningún atacante pueda acceder a ellos, pero que no sean tan restrictivos que tu WordPress no pueda funcionar.

Para eso, WordPress recomienda que los archivos tengan los permisos 644 o 640 a excepción del archivo wp-config.php, el cual recomiendan configurar como 440 o 400.

Si no entiendes qué significa esto o cómo hacer esta configuración, aquí tienes una guía detallada de qué significan estos permisos y cómo puedes configurarlos para tu Hosting:

Gestiona los permisos de tu Hosting 

Otro punto relevante es el login de WordPress. La carpeta wp-admin contiene el archivo wp-login (un archivo php), un archivo dinámico que permite a cualquier usuario registrado acceder a una instalación de WordPress. Se trata, por lo tanto, de uno de los objetivos principales de los atacantes, por lo que es importante prestarle especial atención y añadir una capa de seguridad extra al acceso de tu WordPress.

Todas las instalaciones de WordPress son iguales, por lo que es posible visualizar el acceso de cualquier instalación añadiendo /wp-admin o /wp-login.php detrás del dominio en la barra del navegador. Por ese motivo, existen plugins que te permiten ocultar o modificar la URL de acceso a WordPress, haciendo más difícil que los atacantes tengan acceso al formulario de acceso de tu página web.

Otra protección para tener en cuenta es la autentificación de 2 factores o 2FA, lo que añade una capa de seguridad extra al necesitar un paso extra a la hora de acceder, como puede ser un código enviado a tu correo electrónico o tu dispositivo móvil. WordPress no dispone de esta opción, pero existen plugins que pueden añadir esta función a tu página.

Un tipo de ataque muy común a este formulario de acceso son los ataques de fuerza bruta, en la que un atacante utiliza un bot para probar contraseñas aleatorias y así forzar el acceso a tu sitio. Si tu contraseña o la de algunos de los usuarios acreditados para acceder a tu página web tiene una contraseña débil (recordemos que entre las contraseñas más usadas aún encontramos 1234), es fácil que consigan acceso a tu página, además de sobrecargar los recursos del servidor al generar esta cantidad tan elevada de peticiones. 

Por un lado, la primera recomendación sería emplear contraseñas seguras para evitar que estas puedan ser adivinadas fácilmente.

Por otro lado, es importante bloquear las IP que introducen datos de acceso erróneos, tal como tenemos configurado desde cdmon para evitar este tipo de ataques. Si no trabajas con uno de nuestros Hostings, existen plugins que puedes instalar para añadir reglas de bloqueo de intentos erróneos en tu página web.

La seguridad de tu página web es crucial, y a veces un pequeño cambio puede proteger tu página web de posibles ataques. Aún y así, si quieres mejorar la seguridad de tu página web, pero tienes problemas para hacerlo, recuerda que tienes a tu disposición nuestro servicio de consultoría WordPress que te ayudará a actualizar tu página web e incrementar su seguridad.