Siento decirte esto, pero tu WordPress no es ni será nunca 100% seguro. No importa lo que hagas, siempre aparecerá una vulnerabilidad que le permitirá a los atacantes entrar en nuestro sitio web. Pero, aunque nunca consigamos un sitio 100% seguro, sí que podemos hacer que sea lo mas seguro posible, haciendo así que sea más difícil entrar para un atacante.
A continuación, os daremos algunas medidas de seguridad para que vuestro sitio esté lo mas seguro posible.
Existen varios factores principales que nos servirán como base para brindar a nuestro sitio web de seguridad, los cuales son:
Un error común, y que puede suponer una vulneravilidad para nuestro sitio, es el uso del nombre admin para acceder a nuestro panel de administración de WordPress. Un atacante siempre usará en primer lugar este nombre y otros comunes (como root) para acceder a nuestro sitio.
Aunque, en ocaciones, es nuestro proveedor de hosting el que nos facilitará el nombre, usuario y contraseña de nuestra base de datos, a la hora de realizar la instalación de WordPress, seremos nosotros quienes podremos elegir el prefijo de las tablas de la base de datos.
Por defecto, WordPress utilizará el prefijo wp_, y esto es un dato que todos conocemos, por lo que, si un atacante quiere realizar un ataque a nuestra Base de Datos, le estaremos facilitando el trabajo si no cambiamos el prefijo.
De nada sirve tener la mejor tecnología del mundo en cuanto a seguridad si nuestra contraseña no cumple el mínimo de seguridad recomendado.Te recomendamos que tu contraseña tenga al menos 16 caracteres y que incluya, al menos una mayúscula, una minúscula, un número y un carácter especial. Si no sabes que contraseña elegir, puedes obtener una mediante el generador de contraseñas que incluye WordPress en su instalación.
Mantén siempre todo tu sitio actualizado. Esto incluye WordPress, plugins y temas. Ciertas actualizaciones podremos saltarlas, siempre y cuando sean menores, claro está. Y recuerda que, de nada sirve mantener software obsoleto, pues, en la gran mayoría de las veces, supone un agujero de seguridad en WordPress y un gran riesgo.
El fichero wp.config.php incluye información muy sensible, y es que, en el, se almacenan los datos de acceso a nuestra base de datos. Por ello, recomendamos que lo protejas de modificaciones y miradas ajenas
Algunas medidas que puedes tomar para proteger este fichero son las siguientes:
La mayoría de los ataques son mediante un intento masivo de acceso a través de la pantalla de inicio de sesión. Por ello, es fundamental proteger el acceso interno a nuestro WordPress. Podéis realizar lo siguiente:
Entre la mayoría de las medidas de seguridad, la reina sin duda es la de realizar copias de seguridad. Nadie está libre de sufrir un día un desastre en su sitio web. Así que, sin lugar a dudas, una de las medidas de seguridad que debes tomar será la de relizar un backup de forma programada.
Para esta labor, existen un sin fin de herramientas. Nosotros aconsejamos usar el plugin UpdraftPlus por su eficacia, su cantidad de opciones y facilidad de uso. Con este plugin podrás realizar copias de tus temas, plugins, WordPress en sí y, por supuesto, de tu base de datos y podrás almacenarlo, si quieres, en la nube.
Quizás piensas que tu hosting es muy seguro y que no pasará nada en cuanto a infecciones se refiere. Pero, como decíamos al comienzo del artículo, la seguridad en WordPress absoluta no existe. Puede que para un atacante sea muy difícil burlar la seguridad de tu hosting, pero si, por ejemplo, descargas un fichero de internet que está infectado y lo instalas, por mucha seguridad que tenga tu hosting, no podrá hacer nada si eres tu la misma persona que llevas a cabo la infección.
Por ello, recomendamos que siempre instaléis un antivirus para proteger nuestro sitio de peligros de este tipo. Para hacer frente a este problema, os recomendamos el plugin WordFence, el cual, no solo actúa como un antivirus, si no que, además, también funciona como un cortafuegos.
Por defecto, WordPress ya examinará los comentarios en busca de spam. Sin embargo, en ocaciones puede que falle, y debemos evitar que esto pase incluyendo nosotros algún sistema que haga a este sistema mas robusto.
Para evitar que un atacante inyecte código malicioso en nuestros formularios y que nuestra sección de comentarios se llene de contenido no deseado, podemos utilizar los siguientes métodos:
Un splogger es aquel que se registra masivamente en páginas webs para:
La solución definitiva para evitar que esto ocurra es desactivar el registro de usuarios, aunque, si tu sitio requiere tener esta opción activada si o si, siempre podremos instalar algún plugin.
Ya hablamos en una ocasión sobre que son los pingbacks y como nos podrían afectar. De primeras, os recomendaríamos no dejar inactivo este protocolo, pero lo malo es que a través de este los atacantes podrán inyectarnos código malicioso.
En ocasiones, la gente suele relacionar el hecho de tener un certificado SSL con tener «el candadito verde». El protocolo HTTPS es fundamental para aumentar la seguridad de nuestro sitio, ya que, gracias a el, los datos irán cifrados y protegidos ante atacantes.
Así como tener una contraseña lo bastante difícil de adivinar es necesario, también lo será cambiarla a menudo. No nos referimos a que cambies la contraseña una vez al día o a la semana, pero si que te recomendamos cambiarla al menos 1 vez al mes.
Esperamos que estas medidas de seguridad en WordPress te hayan sido útiles y que, si en algún momento sufres un acceso no autorizado, puedas combatirlo a tiempo y no pierdas tu sitio al completo.
En el caso de que no quieras complicarte mucho, instala al menos los plugins de WordFence y UpdraftPlus, te aseguramos que, con estos plugins, te ahorrarás muchos problemas.
Una vez leído el artículo, y conociendo algunas de las medidas que puedes llevar a cabo para proteger tu sitio, ¿estás dispuesto a ponérselo un poco más complicado a los malos? 🙂
