A día de hoy wordpress es el CMS más utilizado a nivel mundial. Por desgracia esta situación hace que también sea un objetivo muy común para los hackers en internet por lo que es importante seguir algunas pautas básicas de seguridad con el fin de evitar problemas en nuestra web. Siguiendo estas recomendaciones de seguridad evitaremos en la medida de posible estos ataques y disfrutaremos de un wordpress más seguro.

1. Mantener wordpress y sus plugins actualizados.

Puede parecer una obviedad pero lo cierto es que muchas instalaciones wordpress no están actualizadas a la última versión estable. Desde la versión 3.7, wordpress ofrece la posibilidad de realizar actualizaciones automáticas de su core. Si hemos instalado wordpress desde installatron en el panel de control también podemos configurar las actualizaciones automáticas.

No menos importantes son los plugins y el theme que tengamos instalado. Recomendamos siempre instalar plugins y themes que tengan un buen historial de desarrollo y sean actualizados con frecuencia. Si en algún momento dejas de utilizar un plugin es recomendable eliminarlo por completo desde el gestor de plugins de wordpress.

2. Autenticación de doble factor Clef

Con la autenticación de doble factor de Clef será necesario utilizar nuestro teléfono móvil para acceder a nuestra instalación wordpress. Cuando hagamos una instalación wordpress en el panel de control podremos activar Clef directamente o en caso de ya tener wordpress instalado lo podremos instalar como cualquier otro plugin. Una vez configurado Clef en nuestro dispositivo móvil simplemente lo tendremos que acercar a la pantalla para realizar la validación y poder acceder a nuestra instalación.

3. Limitar el acceso admin por IP

Si disponemos de una IP fija, o nuestra IP pública se actualizada con poca frecuencia, podemos limitar el acceso a wp-admin a aquellas direcciones IP que nosotros queramos. Para ello debemos abrir crear un fichero .htaccess en el directorio wp-admin de nuestra instalación wordpress y añadir el siguiente contenido:

# Limitar el acceso a wp-admin.
order deny,allow
allow from x.x.x.x 
deny from all

Si deseamos autorizar varias direcciones IP lo podemos hacer añadiendo una línea por IP:

# Limitar el acceso a wp-admin.
order deny,allow
allow from x.x.x.x 
allow from y.y.y.y
allow from z.z.z.z
deny from all

En la siguiente dirección podemos conocer nuestra dirección IP pública: http://www.alojared.com/ip.php

[x_line]

[x_line]

4. Plugins de seguridad para un wordpress más seguro

Los plugins de seguridad nos pueden proteger de ataques aleatorios y garantizar un sitio wordpress más seguro. Además nos advertirán de posibles problemas de seguridad en nuestra instalación que quizás se nos hayan pasado por alto. Los plugins que nosotros recomendamos actualmente son los siguientes:

• All in one WP Security
• Sucuri Security
• Wordfence

Nuestra recomendación es probar estos plugins por separado y dejar únicamente instalado aquel que se adapte mejor a nuestra web.

5. Hosting wordpress con medidas de seguridad

Al igual que debemos ser proactivos en la seguridad de nuestra web, también lo debe ser el servicio de hosting donde se encuentre alojada la página. A continuación resumimos algunas de las medidas de seguridad con las que trabajamos a nivel de servidor en alojared para poder ofrecer un servicio de hosting wordpress más seguro:

• Firewall de aplicaciones web.
• Escaneo diario de malware.
• Análisis de malware en los ficheros subidos vía web y ftp.
• Sistema Operativo especializado Cloudlinux
• Monitorización 24x7x365 de los distintos servicios del servidor

Esperamos que estas sugerencias os ayuden a mejorar la seguridad de vuestra instalación wordpress. La prevención es siempre la mejor herramienta para evitar problemas en el futuro con nuestros sitios web. Si tienes alguna sugerencia o recomendación nos encantaría leerla en los comentarios más abajo 🙂

[x_share title=»¡Comparte este artículo!» facebook=»true» twitter=»true» google_plus=»true» linkedin=»true» pinterest=»true» reddit=»true» email=»true»]

PHP es uno de los lenguajes de programación más populares que existen en la actualidad y se calcula que 8 de cada 10 webs en internet utilizan PHP de algún modo u otro. En particular todo el ecosistema de WordPress está desarrollado sobre PHP por lo que es importante utilizar versiones PHP seguras, estables y rápidas para que nuestros proyectos sobre WordPress funcionen del mejor modo posible. En este artículo intentamos explicar en detalle los beneficios que supone configurar WordPress con PHP7 en lugar de versiones antiguas de PHP.

La primera versión de PHP 7.0 apareció el 3 de diciembre de 2015, y PHP 5.6 dejó de ser desarrollado de forma activa el 19 de enero de 2017. A pesar de ello, las estadísticas oficiales de WordPress muestran que únicamente el 30% de las instalaciones WordPress trabajan sobre PHP7. Y más de dos tercios de instalaciones WordPress siguen trabajando con PHP5, perdiendo un potencial de rendimiento importante y con posibles problemas de seguridad (en nuestros servidores de hosting compartido las versiones de PHP5 que ofrecemos se encuentran parcheados).

Versiones PHP WordPress Junio 2018

Rendimiento WordPress con PHP7 vs 5.6

Hemos realizado las pruebas sobre uno de nuestros VPS recién instalados, manteniendo siempre el mismo software durante las pruebas y cambiando únicamente la versión PHP.

• Hardware utilizado: VPS Entry con 2 cores Dual Xeon y 4GB de RAM
• S.O: CentOS 7.5
• Stack: Apache 2.4.33 / MariaDB 10.1.33 / Opcache
• WordPress: Versión 4.9.6

Para realizar las pruebas de rendimiento sobre WordPress con PHP7 y PHP5.6 hemos utilizado la plantilla que viene incluida por defecto Twenty Seventeen Theme. No se ha instalado ningún plugin de caché en WordPress para que todo el contenido sea generado siempre de forma dinámica por PHP. Hemos utilizado la herramienta ApacheBench para generar 100 peticiones por parte de 10 usuarios concurrentes.

A continuación os indicamos los resultados obtenidos:

Resultados obtenidos (más es mejor):

• Rendimiento PHP 5.6 sobre WordPress 4.9.6: 28.76 peticiones por segundo
• Rendimiento PHP 7.0 sobre WordPress 4.9.6: 68.24 peticiones por segundo
• Rendimiento PHP 7.1 sobre WordPress 4.9.6: 71.17 peticiones por segundo
• Rendimiento PHP 7.2 sobre WordPress 4.9.6: 72.65 peticiones por segundo

Los resultados nos muestran un rendimiento 250% superior en PHP7.2 sobre PHP5.6. Por otra parte las diferencias entre las distintas versiones de PHP7 ya son mucho más pequeñas.

A continuación indicamos también los resultados en cuanto al tiempo que tarda PHP en atender cada petición:

Resultados obtenidos (menos es mejor):

• Tiempo medio empleado por PHP 5.6 en procesar cada petición: 324.308 ms
• Tiempo medio empleado por PHP 7.0 en procesar cada petición: 146.539 ms
• Tiempo medio empleado por PHP 7.1 en procesar cada petición: 140.507 ms
• Tiempo medio empleado por PHP 7.1 en procesar cada petición: 137.642 ms

Nuevamente observamos un rendimiento muy superior en las versiones de PHP7 con respecto a PHP5.6. Este dato es igualmente importante, pues nos permite generar el código PHP en menos de la mitad de tiempo. Esto implica una mejor velocidad de acceso a nuestra web, mejorando la experiencia de usuario y ganando algunos puntos en la batalla por el SEO.

Conclusiones de nuestros tests

• Hemos podido certificar en nuestras pruebas de rendimiento que las mejoras de velocidad anunciadas por PHP7 también se trasladan al mundo real.
• WordPress es totalmente compatible con PHP7 por lo que no vemos motivo para no actualizar a esta versión de PHP.
• Además de la enorme mejoría en cuanto a rendimiento, PHP5.6 ya no recibe un desarrollo activo por lo que es importante trabajar con software que esté actualizado.
• Recuerda que todos nuestros servicios de hosting incluyen las últimas versiones de PHP para que puedas configurar tu instalación WordPress con PHP7 sin problemas.

Si has realizado el cambio de tu instalación WordPress con PHP7 nos gustaría escuchar tu opinión si has notado una mejoría en cuanto al rendimiento PHP de tu web.