¿Quieres mejorar la seguridad de tu WordPress? Si has llegado hasta aquí es porque tienes un WordPress y quieres saber cómo mejorar su seguridad para evitar tener un sitio NO seguro WordPress, perdiendo posicionamiento SEO y por consiguiente tráfico a tu sitio web.
WordPress se ha convertido en el CMS más utilizado en todo el mundo para crear y gestionar páginas web (web corporativa, blog, tienda online..) esto tiene sus cosas positivas pero también negativas… siendo la seguridad una de ellas, tal y como vamos a analizar.
Cosas positivas de que WordPress sea el CMS más utilizado en todo el mundo:
- Si es el más utilizado, tiene que ser bueno. La realidad es que WordPress nos facilita mucho tanto la creación como luego la gestión de sitios webs (web corporativa, ecommerce o blog).
- Existe una gran comunidad WordPress detrás del gestor de contenidos, por lo que seguramente puedas buscar y encontrar ayuda en alguno de los problemas con los que te encuentres (entre los que aparece este blog también).
- Hay una gran variedad de contenido y recursos de los que te puedes aprovechar, como en plantillas, themes, temas, constructores de páginas o editor de bloques.
Cosas negativas de que WordPress sea el CMS más utilizado en todo el mundo:
- Al ser el más utilizado es más difícil que nuestro sitio web destaque y sea “único”.
- Contra más sitios web sean creados con WordPress, más atractivo va a ser para los hackers ya que aumentan tanto sus posibilidades de hackeo como sus probabilidades de éxito. Esto nos lleva a encontramos con que WordPress es el CMS más atacado en el mundo.
Como ves, en este artículo estamos ante, para mí, una de las grandes desventajas de utilizar WordPress, la seguridad. De aquí la importancia de mejorar la seguridad WordPress.
La mayoría de los ataques hacia el gestor de contenidos son de manera automática, buscando errores de seguridad genéricos y estándarizados en WP para acceder a los sitios web y allí hackear los sitios web. ¿Ves la importancia de tener un WordPress seguro?
Te vamos a dar una serie de recomendaciones, que si las sigues, incrementarás considerablemente la seguridad de tu página web, tienda online o blog.
Los primeros consejos que te vamos a dar son básicos de seguridad WordPress e iremos añadiendo consejos más avanzados.
Ten en cuenta que lo recomendable es seguir estos consejos de seguridad WordPress desde que inicies tu proyecto, pero se pueden aplicar todos ellos aunque tu proyecto este en marcha.
Y recuerda, evita correr riesgos con la seguridad de tu WordPress, tanto para tus usuarios como para ti.
Nombre de tu usuario WordPress
Por defecto, tu nombre de usuario en WordPress va a ser admin. Este nombre lo tienen todos los sitios nuevos de WordPress que se crean y todos los sitios que no lo hayan modificado a posteriori.
Pues bien, aquí viene el primer consejo, modifica ese nombre ahora mismo, pero evita poner administrador u otros nombres que puedan ser demasiado genéricos.
¿Por qué? Piensa que si utilizas un nombre tan genérico ya le estás haciendo un favor al hacker y ya tiene tu nombre de usuario para realizar un ataque de acceso masivo. Contra más “dificultades” pongamos mucho mejor, así que utiliza un nombre personalizado.
Número de usuarios WordPress
Este apartado muchas veces es uno de los mas descuidados, pero no por ello es menos importante.
Lo recomendable es tener dos usuarios:
- Usuario administrador, su labor principal será la de realizar el mantenimiento del WordPress realizando las actualziaciones pertinentes como la versión, plantilla o plugins. La idea es que este usuario no sea público, es decir, que no haga publicaciones de contenido dentro del WordPress.
- Usuario editor, su labor principal será publicar y modificar contenido. Este usuario si será público, pero no tendrá condiciones de administrador total del WordPress.
¿Por qué tienes que ocultar y limitar el número de usuarios en WordPress? Si publicamos con el usuario de administrador ya damos más pistas e información a los posibles hackers.
Recuerda lo recomendable es que el nombre del administrador no sea público y sea privado.
Contraseña segura login WordPress
De poca vale que sigas todos los consejos de seguridad que vamos a exponer en este artículo, si luego pones como contraseña del estilo «1234». Utiliza un password seguro de al menos 8 caracteres con mayúsculas, minúsculas, números y símbolos.
Evita utilizar códigos numéricos, fechas, palabras del abecedario o nombres, ¿por qué? Existen listas masivas que los hackers utilizan para hacer ataques de forma masiva, por esto tienes que incluir diferentes caracteres (contra menos sentido tenga mejor).
Cuida tu ruta acceso a WordPress
Nuevamente volvemos a los valores por defecto que delimita WordPress, la ruta de acceso a tu WordPress va a ser genérica por lo que facilitamos enormemente el intento de acceso por fuerza bruta.
Evita rutas de este estilo «dominio/wp-admin/».
Lo recomendable es modificar la ruta de acceso a WordPress, de esta manera ponemos otra piedra en el camino de los posibles atacantes.
Cambiar prefijo tablas
En la base da datos se almacena toda la información de nuestra web, esto le hace ser uno de los elementos más importantes y por tanto dónde más atención tenemos que prestar.
Como ya hemos visto en el caso del nombre de usuario, WordPress por defecto también delimita las tablas por defecto como wp_, lo recomendable es modificar esta numeración de las tablas.
En caso de no hacerlo podemos recibir ataques a través de inyección de código SQL, con lo que podrían crearse un usuario en tu WordPress.
Limita el número de acceso
Como hemos comentado arriba, uno de los ataques más habituales son los de fuerza bruta, probando con el nombre de usuario genérico de WordPress diferentes posibles contraseñas una y otra vez hasta dar con la tecla.
Pues bien, en el caso de limitar el número de accesos estos ataques no podrán producirse ya que el propio servidor bloqueará ese acceso.
El problema está en que si te equivocas en el acceso en X ocasiones, el propio servidor te bloqueará a ti. En este caso tendrás que contactar con tu proveedor hosting para que añada tu IP a una lista blanca.
Versión WordPress
Cómo ocurre con todas las herramientas, programas, sistemas operativos o apps, se lanzan nuevas actualizaciones. Un motivo por el que se lanzan son para introducir mejoras, solucionar bugs o problemas de seguridad.
Pues bien, WordPress no iba a ser menos y es habitual que lance nuevas actualizaciones cada poco tiempo. Por ello, es importante que estés atento y actualizar la versión.
En este punto es aconsejable analizar la compatibilidad de la actualización con tu sitio WordPress y con otros elementos como pueden ser la plantilla, versión PHP de tu hosting. ¿Por qué? Es posible que nos carguemos la web si algún elemento es incompatible.
¿Cómo hacer la actualización de la versión de WordPress? Es muy sencillo, cuando accedes a la interfaz en la pantalla inicial te aparecerá una notificación en el caso que haya alguna actualización, bien sea de la versión o de plugins (veremos más adelante).
Existe la opción de poner actualizaciones automáticas o de manera manual, lo recomendable es hacerlo de manera manual por lo que hemos comentado arriba de posibles incompatibilidades.
Versión PHP
PHP es la base de tu sitio web, existen varias versiones ya que cada X tiempo salen nuevas, esto es importante ya que las más antiguas se van quedando sin soporte y obsoletas, por lo que si aparece algún tipo de bug o error en esas versiones no serán arregladas, y es aquí dónde tendrás un problema de seguridad en tu sitio WordPress.
Por esto, es importante que tu WordPress cuente con las últimas versiones de PHP. Sin embargo, el modificar de versión puede implicar que nuestro sitio deje de funcionar, esto es debido a posibles incompatibilidades que pueda darse en el código, con nuestro plantilla o cualquier otro elemento que interfiera.
Además, la utilización de versiones antiguas de PHP influye en el rendimiento de los sitios web.
En caso de que estés trabajando en tu primer WordPress tienes que instalar la última versión disponible de PHP, esta te la tiene que ofrecer el proveedor de hosting, ya que sus servidores tienen que poder soportar y permitir estas versiones.
En el caso que sea un WordPress más antiguo y cuente con algún código u otro elemento personalizado, lo aconsejable es que el cambio lo realice un profesional, para asegurarnos estar protegidos y que nuestro sitio web siga en funcionamiento.
Oculta la versión de tu WordPress
WordPress también se actualiza con nuevas versiones, mejorando problemas, bugs o la propia seguridad. Por defecto la versión de tu WordPress es pública y cualquiera la puede saber. ¿Que ocurre si se ha producido un problema de seguridad en WordPress y tu no has podido actualizar a la nueva versión segura?
Un hacker podría saberlo sin problema y aprovecharse atacando tu página web, por ello, aconsejamos ocultar siempre la versión de WordPress.
Los plugins
Los plugins son piezas fundamentales en WordPress, y me atrevería a decir que sin ellos el CMS no sería lo mismo.
Son aplicaciones que se pueden instalar en WordPress para diferentes funcionalidades. Hay una gran variedad de plugins que puedes instalar, pero es recomendable que siempre sigas estos consejos de seguridad antes de instalar uno:
- Antes de descargar un plugin comprueba el desarrollador que lo ha creado, su reputación y otros plugins que ofrece.
- Evita los plugins con malas puntuaciones y mala reputación. ¿Vas a instalar un plugin con una baja puntuación y opiniones malas? Evidentemente no.
- Huye de los plugins que llevan disponibles mucho tiempo y aún estén en la versión 1.0, esto indica que no se ha seguido trabajando en el desarrollo del plugin.
Pues bien, es importante que actualices siempre los plugins que tengas instalados en WordPress.
¿Cómo saber cuándo y cómo actualizar plugins? En la pantalla inicial de la interfaz de WordPress te aparece si tienes alguna actualización de algún plugin pendiente, para realizarla tienes que ir a plugins dentro del menú y actualizar el plugin pendiente.
Muchas de estas actualizaciones incluyen mejoras o correcciones de errores, entre estos pueden encontrarse problemas de seguridad, por ello, es importante actualizar plugins cuando este disponible la nueva versión.
En alguna ocasión, puede darse alguna problemática con la web, por ello, es recomendable que se encargue un profesional en el caso que no tengas conocimientos de programación.
A su vez, hay plugins que van dirigidos a la mejora de la seguridad de WordPress. El mejor plugin en este aspecto es Wordfence, si quieres saber que hace y cómo funciona, accede a este tutorial sobre Wordfence.
Utiliza Protección Captcha
Un captcha es una verificación adicional de que el usuario no es un bot y es alguien real. Esta opción es necesaria a la hora de recibir comentarios o formularios, de esta manera se evita todo el spam que pueda entrar a tu WordPress.
La plantilla o theme
La plantilla va a ser el diseño que tenga tu sitio web, la elección del tema es algo fundamental a la hora de crear un website.
Al igual que ocurre con los plugins, como ya hemos hablado tienes que ser cuidadoso la elección y descarga de una plantilla. WordPress ofrece plantillas predeterminadas, pero en caso de que ninguna te convenza puedes descargarlas en otras plataformas o comprarlas.
Descarga o compra solamente de plataformas confiables y que ofrezcan soporte técnico, ya que en caso de ocurrir algún problema los desarrolladores trabajarán para solucionarlo.
De aquí la importancia también de actualizar siempre la plantilla a la última versión. Como pasa en las actualizaciones hay que tener cuidado por si algún elemento interfiere en el WordPress y se da alguna problemática.
Si quieres descubrir cuáles son las plantillas mas fiables y seguras, accede a este post.
Alojamiento web o hosting
Para poder trabajar con WordPress necesitas un alojamiento web, hay muchos proveedores de hosting tanto nacionales como internacionales y es habitual que la mayoría de ellos ofrezcan planes hosting para WordPress. Esta decisión es importante ya que el alojamiento va a afectar tanto al rendimiento como a la seguridad de tu sitio web.
¿Cómo elijo un buen hosting para mi WordPress? Normalmente con un hosting compartido es suficiente para que tu WordPress funcione correctamente, aunque esto depende de los recursos que consuma y del tráfico que tengas. Contra más recursos consumas y más tráfico web tengas necesitarás un hosting más potente.
Por esto, es recomendable elegir un buen proveedor de hosting que cumple estos requisitos:
- Que tenga flexibilidad en la hipotética situación de modificar el plan
- Que ofrezca un soporte 24×7 en nuestro caso en español
- Que incluya la última tecnología para mejorar el rendimiento y medidas adicionales de seguridad
- Disponga de las últimas versiones de PHP
- Política de backup (incluida)
Busca un hosting fiable, confiable y que responda siempre en la mayor brevedad posible. Si quieres saber cómo elegir un buen proveedor hosing y el alojamiento web que mejor se adapte a tus necesidades, accede a este artículo.
Utiliza herramientas externas para auditar tu WordPress
Existen varias herramientas online externas y gratuitas que te pueden ayudar a mantener seguro tu WordPress.
Dos de ellas con search console o wpdoctor, que auditan nuestro sitio web y nos dicen los posibles problemas que tienen para que le demos solución lo antes posible.
Backup o copias de seguridad
El backup de nuestro WordPress va a ser nuestro salva vidas, nuestra solución en caso de desastre, ya que si ocurre alguna contingencia bien sea por hackeo de la web, algún error en la actualización de versión o eliminación de un fichero etc el backup nos dará la seguridad de que todo tu trabajo está ahí, y podremos recuperar esa copia de seguridad, tanto los datos como las configuraciones que teníamos.
Pocas veces se valora dispones de copias de seguridad, ya que es el típico elemento que no se valora hasta que no lo necesitas, pero créeme, son una parte súper importante en nuestro plan de seguridad.
Realiza backup diarias siempre y guarda las copias realizadas en el último mes, esperemos que no te veas en la situación, ya que eso significaría que algo malo le ha pasado a tu proyecto, pero más vale prevenir
¿Por qué? A pesar de seguir todas las recomendaciones a raja tabla, no existe el riesgo 0 (en realidad en ningún otro aspecto).
¿Cómo hacer backup o copias de seguridad?
Tenemos varias formas de realizar copias de seguridad de nuestro WordPress:
- Empresa hosting: Cada vez se ha estandarizado más que los proveedores de hosting incluyan copias de seguridad en sus planes. Sin embargo, léete la letra pequeña ya que en la mayoría de los casos no es oro todo lo que reluce. Además, piensa que ya dependes de un tercero, así que es mejor gestionar y disponer de backup nosotros mismos, si luego tu hosting te hace sus propias backup, pues mucho mejor. Pero normalmente ellos nos e responsabilizan de disponer los backup aunque te lo hagan (experiencia propia).
- Plugins backup: Existen plugins para prácticamente todo en WordPress. El uso de muchos plugins no es aconsejable ya que lastra el rendimiento del sitio web, pero es otra opción disponible. De normal estos plugins te dan la opción de elegir dónde quieres alojar tus copias de seguridad. Hay varios como duplicator, backupbuddy o backwpup.
- Empresa especializada: dentro de nuestro servicio, las copias y restauración de backup está incluido en nuestros planes. Gestionamos tus copias de seguridad en la nube y en caso de ocurrir alguna contingencia nos encargamos de restaurar su sitio web.
Resumen seguridad WordPress
Como estás viendo muchos de los consejos principales es eliminar o cambiar elementos que WordPress ya delimita como prestablecidos. Esto es porque WordPress es el gestor de contenidos más utilizado en el mundo y también es el que más ataques sufre, de aquí la importancia de la ciberseguridad de tu WordPress.
Conseguir la seguridad al 100% es imposible, ya que siempre existe un riesgo, pero si es posible asegurarla al 99,99% y cumpliendo los consejos que hemos comentado es posible.
Lo ideal es contar con un equipo profesional que te ayude en mejorar la seguridad de tu proyecto WordPress, si necesitas más información sobre nuestros servicios contacta con nosotros.