Aumenta tu seguridad en WordPress

WordPress es una de las plataformas de gestión de contenidos más populares del mundo. Con su popularidad, también se convierte en un objetivo atractivo para los ciberdelincuentes.

Para aumentar la seguridad y mantener tu sitio wordpress seguro, es importante estar al tanto de las amenazas comunes y saber cómo protegerlo.

En este artículo, hablaremos sobre dos peligros específicos: el archivo xmlrpc y la forma de inicio de sesión predeterminada, y cómo puedes solucionar estos problemas. También, abordaremos los archivos predeterminados de WordPress: license.txt, readme.html y .htaccess. y sus posibles riesgos y cómo puedes solucionarlos para garantizar la seguridad de tu sitio.

El peligro de xmlrpc.php

El archivo xmlrpc.php en WordPress es una característica que permite a las aplicaciones externas, como aplicaciones móviles y servicios web, comunicarse con tu sitio.

Sin embargo, también es una puerta de entrada potencial para ataques de fuerza bruta y amplificación de tráfico DDoS. Para proteger tu sitio, considera deshabilitar xmlrpc.php si no lo necesitas.

Para ver si tu XML-RPC está activo puedes ejecutar la url de tu dominio seguido de /xmlrpc.php.
Si está activo te aparecerá en pantalla un mensaje que dice ‘XML-RPC SERVER ACCEPTS POST RESQUESTS ONLY’

Cómo deshabilitar xmlrpc.php

  1. Utiliza un plugin de seguridad: Instala un plugin de seguridad como Wordfence o Sucuri Security. Estos plugins ofrecen opciones para desactivar xmlrpc.php.
  2. Código en el archivo .htaccess: Si te sientes cómodo con la edición de archivos, puedes agregar el siguiente código a tu archivo .htaccess para desactivar xmlrpc.php:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all </Files>

Para comprobar que está desactivado puedes ejecutar la url de tu dominio seguido de /xmlrpc.php. Si está desactivo te aparecerá en pantalla un mensaje que te menciona la imposibilidad de proceder con tu petición. Un ejemplo es:


La URL de inicio de sesión

Todo usuario que quiere acceder a su sitio web de WordPress lo hace mediante una de las dos URL de inicio de sesión predeterminadas que son:

  • https://dominio.com/wp-admin
  • https://dominio.com/wp-login.php

Los atacantes saben esto y pueden intentar ataques de fuerza bruta en esa dirección. Cambiar la URL de inicio de sesión añade una capa adicional de seguridad a tu sitio.

Adicionalmente, cualquier persona puede saber cuál es el nombre de usuario que usas para inciar sesión poniendo en el navegador:

https://dominio.com/?author=1

Lo que facilita a los atacantes realizarte un ataque.

Cómo cambiar la URL de inicio de sesión

Podemos hacerlos de diferentes formas, la más fácil es usando plugins, la otra alternativa un poco más compleja es manualmente:

  1. Utiliza un plugin de seguridad: Algunos plugins, como «WPS Hide Login» o «WP Cerber» te permiten cambiar la URL de inicio de sesión de forma sencilla.
  2. El método consiste en editar el fichero wp-login.php

License.txt

El archivo license.txt se incluye en la raíz de la instalación de WordPress y contiene información sobre la licencia de software de WordPress.
No presenta un riesgo directo de seguridad, pero puede proporcionar información valiosa a posibles atacantes sobre la versión de WordPress que estás utilizando.

Los atacantes pueden aprovechar esta información para identificar vulnerabilidades conocidas en versiones anteriores de WordPress.

Cómo solucionar el problema

La solución más sencilla es mantener actualizado WordPress en la última versión. Cada nueva versión generalmente corrige vulnerabilidades conocidas. Además, puedes considerar eliminar o renombrar el archivo license.txt. Esto no solucionará completamente el problema de seguridad, pero dificultará la identificación de la versión de WordPress.

Readme.html

El archivo readme.html se encuentra en la raíz de la instalación de WordPress y proporciona información sobre la versión de WordPress y las novedades de esa versión. Al igual que con license.txt, este archivo puede dar pistas a los atacantes sobre la versión de WordPress que estás utilizando, lo que podría ser utilizado para identificar vulnerabilidades específicas.

Cómo solucionar el problema

La mejor manera de abordar este problema es eliminar o renombrar el archivo readme.html. No es necesario para el funcionamiento de tu sitio y dificulta la identificación de la versión de WordPress que estás utilizando.

.htaccess

El archivo .htaccess es una parte fundamental de la configuración de tu servidor web y controla cómo se manejan las solicitudes en tu sitio. Si está configurado incorrectamente o se modifica de manera inapropiada, podría exponer tu sitio a riesgos de seguridad. Los ataques que manipulan el archivo .htaccess pueden redirigir el tráfico a sitios maliciosos o comprometer la seguridad de tu sitio.

Cómo solucionar el problema

Para proteger el archivo .htaccess, asegúrate de que tenga permisos de lectura (generalmente 644) y evita que otros usuarios puedan modificarlo. Además, verifica periódicamente si el archivo .htaccess está intacto y no ha sido modificado sin tu conocimiento. Mantén un respaldo seguro del archivo en caso de que necesites restaurarlo.

Conclusión

Mantener tu sitio WordPress seguro es una parte fundamental de su administración. Con medidas como deshabilitar xmlrpc.php y modificar la URL de inicio de sesión, puedes reducir significativamente el riesgo de ataques.
Además, asegúrate de mantener tu software y plugins actualizados, utilizar contraseñas fuertes y considerar la posibilidad de utilizar un servicio de seguridad o firewall para una protección adicional. La seguridad es una inversión que garantiza la integridad de tu sitio web.

Si bien los archivos license.txt y readme.html no son intrínsecamente peligrosos, exponen información sobre tu versión de WordPress que los atacantes podrían utilizar con fines maliciosos.

Eliminar o renombrar estos archivos es una medida de seguridad sensata. Por otro lado, el archivo .htaccess es crítico para la configuración de tu servidor web y debe protegerse contra cambios no autorizados.