Las 10 medidas de seguridad imprescindibles en WordPress

Medidas de seguridad imprescindibles en WordPress: en este artículo se explica cómo aumentar la seguridad de tu blog con 10 trucos que no debes dejar de aplicar.

La seguridad es lo primero, dentro de tu blog de WordPress, que debes cuidar. En este post encontrarás 10 medidas de seguridad imprescindibles. Si los aplicas, conseguirás la mejor protección y podrás estar más tranquilo.

Medidas de seguridad imprescindibles en WordPress: ¿cuáles son?

Existen tres factores principales, que son la base para blindar tu blog hacia posibles problemas de seguridad (hackers, errores, etc.)

  • Nivel de seguridad de tu servidor. Esto es muy importante y debería determinar tu elección a la hora de escoger un proveedor de alojamiento web. Esas medidas de seguridad no dependen de ti, aunque puedes reforzarlas haciendo uso de un proxy gratuito (también posee versión de pago) del estilo de CloudFlare. Esta herramienta no solo actúa como filtro de seguridad sino que también posee funciones para optimizar el rendimiento de tu blog. Lectura recomendada: 10 consejos para optimizar el rendimiento de tu blog. Consigue una guía de iniciación rápida a CloudFlare en: Las mejores herramientas para tu blog. El hosting que te recomiendo es Siteground por su seguridad, entre otras muchas razones. Lee más sobre este servicio de hosting en SiteGround: el mejor Hosting para WordPress y qué hacer después de abrir una cuenta.
  • Nivel de seguridad de tu instalación de WordPress. Este apartado sí que es de tu responsabilidad absolutamente. Para optimizar la seguridad de WordPress existen una serie de medidas básicas y las principales son las que vienen a continuación y que son objeto de este artículo.
  • Tus hábitos en el uso de tus herramientas informáticas. Pero también son muy importantes tus hábitos en el manejo de las herramientas informáticas. Uno de ellos, quizás esencial, es realizar con regularidad copias de seguridad, tanto de la base de datos como de los archivos importantes. Poseer un backup es vital, y probablemente la mejor forma de prevenir un desastre provocado por una violación de acceso a tu blog. Poseer un buen antivirus (en caso de usar Windows), no abrir ficheros adjuntos de procedencia desconocida, no seguir cadenas de mensajes, etc., son algunas de las recomendaciones para evitar problemas de seguridad.
Truco PRO: mantén ocultos tus backups de los sitios web. Si, por ejemplo, haces backups de tu blog de WordPress con Updraft Plus, no los guardes nunca en el servidor ni en tu ordenador.

1. Pon una password difícil de averiguar. 

Entre las medidas de seguridad imprescindibles en WordPress, la primera medida a adoptar es utilizar una password que no sea fácil de averiguar. Por ejemplo, la peor de todas es “1234” porque, aunque es muy fácil de recordar, será la primera que pruebe cualquier intruso. Se denomina contraseña “fuerte” a aquella que posee un número alto de caracteres (más de 8) con letras, números y signos de puntuación. El escritorio  de WordPress te indica si la password elegida es fuerte o no, pero existen también plugins como Enforce Strong Password que te obligan  a configurar una contraseña fuerte.

Para la gestión de tus contraseñas es recomendable utilizar una herramienta como LastPass. Esta aplicación online, que te permite sincronizar tus passwords en cualquier dispositivo conectado a Internet, posee una función para generar contraseñas seguras.

2. No utilices el nombre de usuario Admin.

Otra de las medidas de seguridad imprescindibles en WordPress obligaoria es eliminar el usuario “Admin” que es el que asigna WordPress por defecto. Ten en cuenta que para lograr un acceso no autorizado, el intruso (quizás un programa informático) lo primero que pruebe es el usuario “Admin”. Esto se puede llevar a cabo creando un nuevo usuario haciendo uso del panel de administración de WordPress y borrando el “Admin”. Al nuevo usuario no se le debe denominar con el nombre del dominio del blog porque eso será lo segundo que pruebe un hacker.

3. Limita los intentos de login fallidos.

La tercera medida imprescindible que debes adoptar es evitar que los intentos fallidos de acceso a tu cuenta sean más de tres. Debes dejar uno o dos intentos por si tú mismo te equivocas al intentar entrar al panel de administración de WordPress pero no más. Cualquier hacker que emplee la fuerza bruta para acceder a tu cuenta debe ser bloqueado si prueba más de dos o tres combinaciones de usuario y contraseña erróneas. Existen plugins para controlarlo, como Loginizer.

Una vez que tu blog esté en producción, es recomendable sustituir Loginizer por un plugin más completo como Wordfence.

4. Controla el spam. 

En un blog, el sistema de comentarios es una fuente continua de mensajes spam y ahí puedes tener una puerta abierta a troyanos, virus y demás programas fraudulentos. En WordPress existe el plugin Akismet que mantiene a raya el spam. No te recomiendo que uses sistemas externos del estilo de Disqus o los comentarios de Facebook porque crearás otro tipo de problemas.

Existen otras alternativas al sistema nativo de comentarios de WordPress pero yo no te lo recomiendo.

Si permites el registro de usuarios en tu blog de WordPress, entonces tienes que instalar uno de los plugins que controlan los registros spam. Echa un vistazo a los que vienen en este artículo.

Si usas comentarios en tu blog, ten en cuenta que debes cumplir el RGPD. Lee este artículo: Cómo adaptar los formularios al RGPD y cumplir la ley.

5. No instales muchos plugins.

Seguimos con las medidas de seguridad imprescindibles en WordPress. Cada plugin que instalas en WordPress es un paso más hacia la posibilidad de que tengas un problema en tu instalación. Antes de instalar un plugin debes probarlo en un entorno distinto al de producción. Esto es debido a que no todos los desarrolladores emplean código seguro. Mi consejo es que solo instales los plugins imprescindibles.

6. Busca código malicioso en los archivos de tu theme.

Una buena forma de averiguar si el daño ya está hecho es escanear los archivos de tu theme con el fin de encontrar agujeros de seguridad. Lee este artículo para conocer plugins que realizan esa labor. Pero los cambios fraudulentos no tienen por qué haberse hecho solo en el theme. También puedes rastrear cualquier archivo de tu instalación con estos plugins.

Si instalas plugins de seguridad de amplio espectro, tales como iThemes Security o WordFence, obtendrás esta y otras funciones particulares integradas.

De todas formas, la mejor manera de intentar evitar al máximo la infección por malware es contratar un servicio como Sucuri. El plan básico incluye escaneo de malware periódico y un firewall muy eficaz. Absolutamente recomendable.

7. Añade un Firewall o un proxy inverso.

Otra de las medidas de seguridad imprescindibles en WordPress que añade un nivel de dificultad más a los intrusos es el Firewall. Eso se puede hacer también con plugins. Mira los que se recomiendan en este artículo. Una alternativa al Firewall es implementar un sistema de proxy inverso. Te recomiendo, como decía al principio CloudFlare. Gratuito y muy fácil de configurar. El proxy inverso te garantiza no solo funciones de protección sino también de caché con lo que se mejoran mucho los tiempos de carga de las páginas y el consumo de recursos.

8. Haz un backup de tu instalación periódicamente.

Entre las medidas de seguridad imprescindibles en WordPress la reina es la copia de respaldo. Nadie está libre de sufrir un desastre en su blog. Así que, indudablemente, una medida de seguridad que puede evitar que te quedes sin tu blog es el backup. Existen muchas herramientas pero yo aconsejo simplemente realizar un backup regularmente con el plugin Updraft Plus y, por supuesto, una copia de los archivos modificados de la instalación, tales como los del theme, wp-config.php, la carpeta wp-content, etc. Un backup completo de tu blog (base de datos y archivos de la instalación) te permitirá restaurarlo todo tanto en el mismo servidor como en otro nuevo. Es aconsejable llevar tus copias de seguridad a la nube, lo que se puede hacer muy fácilmente con UpDraftPlus.

9. Mantén actualizados themes, plugins y software de WordPress.

Una forma de evitar problemas es actualizar a la última versión tanto los plugins como los themes y, claro está, el software de la aplicación. Los desarrolladores de WordPress se esfuerzan en corregir cualquier problema de seguridad por pequeño que sea, así que ésta es una práctica necesaria, aunque a veces pueda resultar tediosa. Actualiza siempre que veas el indicativo en tu escritorio de WordPress.

10. Usa un plugin como Wordfence.

Lo nombré antes y es un gran recurso. Por último, te recomiendo el uso de un plugin específico de seguridad integral como puede ser Worfence. Con este tipo de plugins te ahorrarás dolores de cabeza, ya que de una forma sencilla y eficaz cubre, de una sola vez, muchos aspectos de los que hemos enumerado anteriormente.

Aprende a configurarlo en: Cómo configurar Wordfence, el plugin de seguridad de WordPress.

iThemes Security es otra posibilidad muy interesante.

¿Quieres aprender a crear un blog profesional con WordPress?

En Blogpocket desarrollamos y publicamos tutoriales y cursos relacionados con WordPress. Si deseas profundizar en la plataforma de blogging más utilizada en el mundo, accede al curso La guía definitiva para crear un blog profesional, haciendo clic en el botón siguiente:

¡Quiero hacer el curso ahora!

Medidas adicionales

Esas 10 medidas de seguridad imprescindibles en WordPress pueden ser suficientes, pero también es fundamental que realices lo que se indica a continuación.

Protocolo HTTPS

Esto es esencial. Si eres usuario de un hosting como SiteGround no tendrás ningún problema. El paso a HTTPS es con un clic y sin necesidad de que te dediques a configurar las redirecciones ni nada de eso. Todo está preparado para despreocuparte después de activar el certificado SSL desde cPanel y switchear a HTTPS desde el panel de ajustes de «SG Optimizer». Este plugin se instala automáticamente con cada instalación en un clic de WordPress.

¿Necesitas migrar a HTTPS y no eres usuario de SiteGround? Aquí tienes todas las instrucciones: Cómo convertir tu WordPress a HTTPS – La guía definitiva.

Cambia las passwords a menudo y genera claves de encriptación única para las cookies

Hablamos al principio de este post sobre medidas de seguridad imprescindibles en WordPress de las passwords. Pero no dijimos lo importante que es cambiarlas con frecuencia. Recuerda aquello de que las contraseñas son como la ropa interior ;).

Entra en el archivo wp-config.php (haz previamente una copia de seguridad de este archivo) y busca todas las sentencias «define» que van detrás de la «define(‘AUTH_KEY’…». Genera unas nuevas yendo a https://api.wordpress.org/secret-key/1.1/salt/ y sustitúyelas por las anteriores.

Cambia a menudo también todas las passwords (login al panel de administración de WordPress, FTP, Cpanel, Bases de datos, etc.)

Blogs de prueba

Y por si todas esas medidas de seguridad imprescindibles en WordPress anteriors no fuesen suficientes. Tenemos una más.

No descuides las medidas de seguridad de tus blogs de prueba. La contaminación cruzada es la forma más sencilla de que seas contaminado. Es decir, el ataque puede venir muy fácilmente a partir de un blog sin asegurar e infectarse el resto de blogs.

Lo mejor para probar un blog de WordPress es emplear sistemas online del estilo de Pilvia.com.

Mira a continuación un fragmento de un vídeo que envié a los suscriptores de mi lista de correo. Se trata de un tutorial para aprender a instalar un blog de pruebas optimizado totalmente con Pilvia.com. Mis suscriptores reciben vídeos como este. Suscríbete y, además de poder descargar libremente a mis ebooks, accederás a información de manera exclusiva.

Conclusiones

Espero que estas medidas de seguridad imprescindibles en WordPress te sean útiles y provechosas. Y, con ellas, no tengas accesos no autorizados ni ningún otro problemas.

La seguridad en WordPress no es un elemento a no tener en cuenta. De hecho, es el motivo por el cual se abandonan muchos blogs.

No arriesgues tu trabajo e implementa los trucos de seguridad que te he indicado en este artículo.

Si no quieres complicarte la vida, empieza instalando Wordfence. Te será suficiente para proteger tu blog de intrusos. Implementa contraseñas fuertes y cambia el nombre de usuario (nunca «admin»).

Y lo segundo, instala el plugin Updraft Plus y planifica un backup diario de la base de datos, junto con uno semanal (o mensual) del resto de ficheros.

Espero tus ideas, dudas o sugerencias sobre este tema. Escríbelo en los comentarios y, por favor, si te ha gustado este post compártelo en tu blog, o en tus redes sociales.

¡Nos vemos en Blogpocket!

Un artículo escrito por Antonio Cambronero

You May Also Like

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.