Desde nuestra experiencia, cuando dejamos de supervisar una web, surgen muchos problemas que a veces, no tienen fácil solución.
Esto, lo repetimos hasta la saciedad.
Dejar una instalación de WordPress desatendida es uno de los problemas fundamentales que nos encontramos a diario, ademas, el software desactualizado es unos de los platos favoritos de los cibermalos.
Nosotros hemos visto de todo. WordPress 4.6 o 5.0 en producción en 2020. WordPress montados en versiones de Cpanel desactualizadas. Versiones de PHP de cuando Cristo perdió la zapatilla. Versiones de mysql de Maricastaña etc…
Todas estas cosas pueden ser un autentico dolor de cabeza y algunas empresas de hosting, si no pasas por caja, no te actualizan lo que está por debajo del WordPress.
Esto es lógico desde su punto de vista y muy poco sensato desde el punto de vista de la seguridad.
Nosotros decimos esto porque:
- Dejar a tus clientes vendidos ante la adversidad es una política nefasta.
- Si una carpeta de un cliente está afectada por una vulnerabilidad y es atacada con éxito, el delincuente en cuestión no parará ahí. Es muy probable que se haga con la raíz entera.
- Que desde tu infraestructura se estén cometiendo acciones de dudosa legalidad, no es bueno para tu marca.
Te vamos a recomendar una pequeña guía de buenas prácticas a la hora de hacer el mantenimiento web a tu WordPress de forma correcta.
Cómo mantener correctamente tu WordPress.
Desde la versión 5.2 de WordPress se introdujo un sistema de auto-comprobación de salud llamado Salud del Sitio. Este sistema, hace una serie de chequeos en unos determinados puntos de la instalación y asigna una puntuación para determinar el estado de salud de tu sitio web.
Es muy útil dado que, con anterioridad, no eras consciente de si tu WordPress estaba instalado con una versión antigua de una base de datos o con una versión obsoleta de PHP.
Figura 1. Imagen de Salud del Sitio con todas las opciones correctamente configuradas
Encontrarás esta pantalla en Herramientas > Salud del Sitio.
Para llegar a alcanzar a tener un 100% en esta pantalla, tan solo hay que seguir los pasos que se indican en la lista y solventar lo que WordPress considera un problema. Las más importantes son:
Actualizaciones del core, plugins, temas y módulos.
En este apartado se incluye mantener actualizados el core de WordPress, los temas y los plugins, así cómo, módulos necesarios de PHP que usa WordPress para funcionar correctamente.
Algunos proveedores de hosting no te darán acceso a cambiar o actualizar los módulos PHP. Es por esto que, tendrás que ponerte en contacto con el administrador o el soporte de tu hosting.
Nosotros te recomendamos que las actualizaciones de plugins, tema y core, las pongas en «piloto automático» y que dejes que se actualicen solas. Evitarás problemas de seguridad.
🎖#ProTip: Siempre ten un respaldo a mano por si alguna actualización provoca fallos o algo te deja de funcionar.
El servidor.
Como ya sabes, WordPress funciona gracias a la combinación de un servidor web, con un lenguaje de programación y una base de datos. Si alguno de estos componentes falla o está desactualizado, tu WordPress podría ser susceptible de tener un problema o peor, ser atacado con éxito.
Revisar y mantener actualizado el servidor es fundamental.
Para ver lo que hay por detrás de tu WordPress tienes dos opciones:
1- En la pestaña de Salud del Sitio > Información.
Aquí encontrarás información de todos los componentes relativos al lado del servidor. Puede ser un punto de partida en el caso de analizar un fallo o pedir ayuda en un foro.
2 – Subiendo a la raíz de tu servidor un archivo .php con esta linea pegada dentro. Este es un código que te mostrará toda la información sobre la configuración de PHP. Es muy útil para determinar módulos faltantes, configuraciones, directorios de instalación, saber si cURL está activo, permisos para cron, …
Para llamar a ese archivo, por ejemplo llamándolo info.php, solo tendrás que poner en el explorador https://nombre_de_tu_dominio/info.php
<?php phpinfo(); ?>
Figura 2. Imagen de phpinfo. Se oculta la información por seguridad.
Normalmente, todos los paneles ofrecen opciones para elegir la versión adecuada de PHP, sin embargo, no todos ofrecen la posibilidad de actualizar las versiones de la base de datos.
Si usas un servidor dedicado, seguramente tengas accesos y configuraciones avanzadas y puedas, en el hipotético caso que el panel de salud te solicite actualizar tu base de datos, hacerlo de una forma relativamente sencilla.
👁Ojo: Actualizar la versión de la base de datos es un vinagre y a no ser que tengas experiencia, no te recomendamos hacerlo. Ten respaldos preparados.
Si usas un hosting compartido, seguramente tengas que solicitarlo a través del soporte.
Configuraciones misceláneas a tener en cuenta.
Tienes que asegurarte que hay una comunicación correcta con el servidor de actualizaciones de WordPress.org. Esto es fundamental debido a que, si tu servidor web, tiene algún tipo de limitación contra esta URL, no podrás actualizar correctamente tu web.
Otro punto a tener en cuenta son las Cabeceras de seguridad. De manera muy resumida, las cabeceras de seguridad son el conjunto de «reglas de juego» en la que una petición web entre un cliente y un servidor se entienden. Se establecen mediante la edición del archivo .htaccess. Puedes leer más sobre las cabeceras de seguridad en la guía OWASP aquí.
Sobre la API REST ya hemos hablado aquí. Si algún plugin necesita la API para funcionar, actívala. Si por el contrario, tus plugins no la usan, desactívala.
Permisos de archivos y carpetas. La configuración de salud determinará si los directorios necesarios para funcionar están correctamente configurados. Si hay alguna discrepancia o algún error, se marcará en la lista de acciones de tener en cuenta. Sobre la configuración de archivos y carpetas, tienes este artículo.
Tener la opción de depurar fallos. Se activa o desactiva en el wp-config de tu WordPress mediante cambio de true o false en esta linea. wp-config.php es el archivo de configuración de tu WordPress. Lo encontrarás en la raíz principal de tu instalación.
define('WP_DEBUG', true);Conclusiones
- La mayoría de los proveedores de hosting decentes te informarán sobre problemas o fallos de seguridad en tu panel. No tomes en vano los correos que te manden.
- Actualizar desde versiones muy antiguas suele ser un problema difícil de arreglar y caro. No dejes pasar las actualizaciones.
- Mantén actualizados tus temas, plugins y core. Evitarás problemas. Ten a mano respaldos, nunca se sabe.
- Si quieres probar cosas, hay proveedores que ofrecen staging. O lo que es lo mismo, un entorno de pruebas seguro para hacer cambios en producción. Siteground lo tiene desde su paquete Grow Big.
Si te pierdes o necesitas ayuda para tu actividad profesional, no dudes en contactarnos. Te ayudaremos encantados.
Y tu, ¿Tienes algún consejo para aumentar la productividad manteniendo instalaciones de WordPress? ¿Conoces alguna solución más efectiva para conseguir el 100%?
