Cómo proteger WordPress: medidas de seguridad

Cómo proteger WordPress: medidas de seguridad

Si estás buscando la forma de hacer tu página web más segura, entonces te interesará este artículo porque te hablaremos de las medidas que puedes poner en práctica para proteger WordPress y blindar tu sitio ante ataques maliciosos.

Pero, ¿por qué es necesario proteger una web hecha en WordPress? ¿Acaso este CMS es inseguro? La verdad es que WordPress cuenta con las medidas básicas de seguridad de cualquier gestor de contenidos y con las actualizaciones se van agregando más medidas. Con todo, sigue siendo necesario implementar acciones secundarias de seguridad que complementen las ya existentes.

Al hacerlo, se logra un alto nivel de seguridad en todos los aspectos del gestor de contenidos. De manera que más que decir que WordPress es “seguro”, es más exacto decir que WordPress es “asegurable”.

14 medidas de seguridad para proteger WordPress

Se estima que más del 30% de las páginas web que hoy están en Internet, han sido desarrolladas con WordPress. Esta cifra nos hace ver que se trata de un CMS seguro, porque en caso contrario, no sería tan popular.

No obstante, también es cierto que, de todos los gestores de contenidos, WordPress es el que está en la mira de los piratas informáticos, por eso, es recomendable aplicar una serie de medidas para proteger WordPress, entre ellas las siguientes:

1. Cambia wp-admin

Wp-admin es el sufijo que se agrega por defecto a la URL de una página que se crea con WordPress y que sirve para entrar al panel de administración del sitio.

Por supuesto, los hackers conocen muy bien este detalle, de manera que irán directo a “tocar” la puerta de acceso a tu administrador. ¿Cómo evitar que esto ocurra? Cambiándolo por uno menos obvio.

2. No uses admin como usuario

Acceso al administrador de WordPress

Al instalar WordPress, el nombre de usuario por defecto es “Admin”, conservar éste nombre es una vulnerabilidad en la seguridad porque todos los hackers saben esto y ese será el primer nombre con el que intentarán acceder a la administración del CMS.

Lo lógico es que recién se instale el gestor de contenidos, se cambie el nombre de usuario, se cierre sesión y se vuelva a iniciar con el nuevo nombre de usuario. Aunque ya esto complica un poco más las cosas para los intrusos, se debe procurar usar un nombre de usuario complejo, pero fácil de recordar para el propietario, así, la probabilidad de coincidir con el nuevo nombre será más lejana.

3. Usa una contraseña difícil de descifrar

Debes saber que los hackers conocen las contraseñas más usadas, como, por ejemplo, 12345 o qwerty, así que emplear estás no protegerá a nadie.

Por lo general, una contraseña larga es más segura que una más corta, aun así, lo realmente importante es crear una combinación compleja de caracteres que incluya letras mayúsculas y minúsculas, números y signos especiales.

Es probable que el navegador te ofrezca guardar tu contraseña para “facilitarte” el acceso en el futuro, pero, esto es una vulnerabilidad porque no se trata de un perfil en una red social, sino que se trata de toda una web. Por lo tanto, lo mejor es hacer el esfuerzo de memorizarla.

4. Mantén WordPress actualizado

Actualizar WordPress por seguridad

Esta medida es una de las más sencillas de ejecutar y una de las más importantes. Por lo general, la instalación de WordPress cuenta con un sistema de actualización automática, por lo tanto, cada vez que salga una nueva versión del CMS esta se descargará por sí sola.

Si en tu caso no están activadas de forma automática, actualizar tu versión es muy fácil. Cuando haya una nueva versión disponible, verás un aviso en el panel de administración y solo deberás hacer clic en Actualizar.

Tener WordPress actualizado no sólo permite tener nuevas funciones, sino también recibir mejoras en la seguridad, pues muchas veces, se agregan nuevas medidas de protección o se corrigen algunas vulnerabilidades.

Un detalle: antes de actualizar WordPress, asegúrate de hacer una copia de seguridad por si algo sale mal.

5. Actualiza el tema y los plugins que usas

Actualiza el tema y los plugins que usas

Igual que ocurre con todo el sistema de WordPress, los plugins y temas también requieren actualizaciones por las mismas razones: mejora de vulnerabilidades y nuevas medidas de seguridad.

Es común que las actualizaciones se hagan en automático, sin embargo, vale la pena que tú mismo estés pendiente de este asunto.

6. No instales temas ni plugins que no han sido actualizados hace mucho

 No instales temas ni plugins que no han sido actualizados hace mucho

Un plugin o tema que no ha sido actualizado en más de 6 meses o 1 año puede tener muchas vulnerabilidades, aunque sean pequeñas, que pondrán en riesgo la web. Si la última actualización se realizó hace mucho, eso significa que el equipo de desarrolladores no está trabajando en él o no le interesa seguir mejorándolo.

Por lo tanto, antes de descargar un tema o plugin, verifica en su ficha cuándo se realizó la última actualización del mismo.

7. Elimina los temas y plugins inactivos

Tener guardados los temas y plugins que no se usan pone en riesgo la seguridad de la web porque pueden ser la entrada de los hackers. Por consiguiente, no basta con tenerlos solamente inactivos, sino que la mejor forma de proteger WordPress es eliminarlos para suprimir cualquier posibilidad de ingreso de intrusos, para no entorpecer con el resto de plugins y para que no ocupen un espacio innecesario que puede ralentizar la web

8. Descarga temas y plugins solo de páginas seguras

Descargar temas y plugins de páginas seguras

Esto es especialmente importante para los que buscan ahorrarse algo de dinero buscando plugins o temas en sitios no oficiales, pues lo barato no compensa las bajas defensas.

El repositorio oficial de WordPress es la mejor opción porque cada software publicado en él tiene que cumplir estándares de seguridad para poder figurar como opción.

Por supuesto, hay otros repositorios seguros para descargar temas y plugins, con todo, la segunda mejor alternativa es hacerlo desde la página oficial del mismo, pero también en este punto es importante asegurarse de que se trata de la página real y no una imitación.

9. Protege la carpeta de archivos subidos

La carpeta de archivos subidos, o uploads, es donde se guardarán los archivos que se publicarán en la página y, por desgracia, este es un blanco muy apuntado por los malwares. Es cierto que WordPress no permite la subida de archivos en formatos para ejecutar, pero, hay algunas trampas que burlan esta norma.

Para proteger WordPress, lo mejor es determinar a nivel de código los tipos de formatos admisibles en esta carpeta para que no se puedan cargar ni ejecutar los formatos dañinos o maliciosos.

10. Haz copias de seguridad periódicas

La importancia de las copias de seguridad no se debe subestimar. Tener una copia de los datos de tu web siempre es útil, por lo que deben hacerse periódicamente, es decir, diarias, semanales, mensuales y anuales. Incluso, algunas páginas web que manejan datos delicados las hacen por intervalos de horas.

Los proveedores de hosting ofrecen los backups entre sus características básicas, sin embargo, no es bueno que le dejes todo el trabajo, sino que es recomendable que hagas las copias también por ti mismo.

11. Instala plugins de seguridad

Tener un plugin de seguridad permite limitar o encriptar el acceso a carpetas y archivos e identificar vulnerabilidades como configuraciones inapropiadas o alguna acción sin configurar, así como también encontrar códigos maliciosos.

A pesar de estas ventajas, no hay que entusiasmarse e instalar muchos plugins de seguridad, más bien, ten presente que las acciones de uno pueden anular las de otro haciendo que pierdas el control de la seguridad y también inciden en la velocidad de carga de tu web.

Como ejemplos de este tipo de plugins están Sucuri Security, iThemes Security, Wordfence Security, All In One WP Security & Firewall, JetPack, SecuPress, entre otros.

12. Instala un plugin antispam

Este es otro de los tipos de plugins que no pueden faltar en una instalación de WordPress ya que el spam en los comentarios y los formularios de contacto es algo muy habitual.

Si bien existen medidas que se pueden tomar directamente en la administración del WordPress, como aceptar los comentarios manualmente y establecer normas de filtrado, los plugins especializados en antispam agregan medidas más específicas para inhabilitar el spam y administrarlos para ser eliminados.

De esta categoría, el plugin más popular es Akismet, pero no es el único, sino que también hay otros como Spam Destroyer, Cerber y WordPress Zero Spam.

13. Limita los intentos de acceso fallidos

Los ataques de fuerza bruta intentan acceder a la administración probando una infinidad de posibles nombres de usuario y claves, así que establecer un número limitado de intentos de acceso por dirección IP neutraliza estos ataques.

Otra buena medida es desactivar el registro de nuevos usuarios, así no será posible que otros tengan acceso, ni siquiera a los archivos más elementales.

14. Usa un hosting seguro

El proveedor de hosting es la base de la seguridad en los proyectos web, así que elegir un hosting apropiado para WordPress requiere que dediques tiempo a conocer las medidas de seguridad que implementa a nivel de servidor y de software.

Algunas medidas que no pueden faltar son los backups, las actualizaciones automáticas, los certificados SSL y medidas de seguridad en los datacenter del hosting.

Si te esfuerzas por poner en práctica las sugerencias para proteger WordPress que te hemos dejado en este artículo, te ayudará a tener una web completamente segura y a no correr riesgos innecesarios.