Seguridad WordPress. 10 mandamientos

Aprende a crear fantásticos sitios web
con nuestros Cursos de WordPress en Vídeo
Ver todos los cursos

Actualizado el

Uno de los aspectos que más debes cuidar es la Seguridad WordPress. Cualquier fallo o descuido puede dejar abierta la puerta a cualquier hacker que, de forma mal intencionada, acceda a tu página y pueda acabar con todo el trabajo que llevas realizando durante meses o incluso años.

La Seguridad en WordPress

Hay muchos usuarios que no dan ninguna importancia a mantener su sitio seguro, frente a hackers u otro tipo de ataques, o que no se encargan de revisar periódicamente que todo esté correcto.

Recuerda que, en primavera de 2016 se produjo una de las mayores filtraciones periodísticas de los últimos tiempos “Los Papeles de Panamá” debido, entre otras cosas,  al pluginPlugin Complemento que se añade a la instalación de WordPress para dotarla de más funciones. Existe un repositorio oficial con miles de completos disponibles para instalar. de WordPress “Revolution Slider” que no estaba actualizado a su última versión.

Este plugin se utilizaba únicamente para mostrar un carrusel de imágenes en la página web, contando con una versión antigua y vulnerable que permitió acceder al servidor y ejecutar todo clase de comandos, dejando al descubierto información comprometida y muy importante del bufete Mossack Fonseca.

Utiliza un hosting seguro

La base fundamental de la seguridad en WordPress debe encontrarse en un buen hosting. Como ya te expliqué en un post anterior, es imprescindible que elijas un Hosting Seguro para tu WordPress.

Si has tenido la precaución de elegir un proveedor de hosting que se encargue de proteja tu WordPress mediante cortafuegos, que realice copias de seguridad (al menos una vez al día) y que evite las vulnerabilidades de tu instalación, tendrás una gran parte del trabajo ya conseguido.

Actualiza el Software

Otro de los puntos fuertes para garantizar la Seguridad en WordPress, es contar con las últimas versiones tanto del propio WordPress como de los plugins que tengas instalados.

Cada vez que se actualiza la versión de WordPress, los desarrolladores deben hacer lo mismo con sus plugin, adaptándolos a la nueva versión de WordPress y garantizado su seguridad. Cualquier fallo o incompatibilidad puede dejar al descubierto tu blog.

Los proveedores de hosting más recomendados se encargan de actualizar, de forma automática, tanto la versión PHP de sus servidores como la versión de WordPress que tienes en los blogs que ellos alojen, avisándote previamente de ello.

También cabe la posibilidad de que tengas activada la opción de actualización automática de WordPress, en cuyo caso no deberás preocuparte por ello.

Acceso al Panel de Administrador

La principal puerta de entrada de hackers a tu WordPress, es el Panel de Administración. Por defecto, cuando realizas la instalación de WordPress, el sistema te asigna la siguiente dirección de acceso a él: http://www.tudominio.com/wp-admin (también se puede acceder por defecto desde /admin o /login)

Esta dirección, si no te tomas la molestia de modificarla, es la misma para cualquier usuario que realice una instalación en su servidor, por lo que los robots que intentan buscar un hueco o fallo para entrar en tu WordPress, será el primer sitio donde se dirijan.

Posteriormente empezarán a probar distintas combinaciones aleatorias de usurario y password hasta que consigan dar con la correcta para poder acceder. Es lo que se suele conocer como ataques de “fuerza bruta”

Te recomiendo que instales WPS Hide Login. Se trata de un plugin súper sencillo. Tras instalarlo, únicamente deberás ir a la opción Ajustes -> Generales de tu Panel de Administración y, debajo del todo, elegir la nueva dirección que quieras para acceder a tu BackEnd. Por ejemplo www.tudominio.com/panel o cualquier otra dirección que se te ocurra y que no sea ninguna de las palabras que hemos visto que se instalan por defecto.

Evita Opciones por Defecto

En la medida de la posible trata de evitar las opciones por defecto de WordPress y modifícalas por otras que sólo conozcas tú.

En este caso me estoy refiriendo a los prefijos de las tablas en la instalación de WordPress y el nombre de usuario de acceso al Panel de Administrador.

En el primer caso, por defecto, aparecerá como prefijo de la tabla el nombre que hayas puesto a tu sitio y en el segundo caso, el nombre de usuario que por defecto te propondrá WordPress para acceder a tu Panel, es el de “admin”.

Al igual que cuando instalas una conexión a internet en tu domicilio, lo lógico es que cambies la contraseña que trae por defecto tu router para evitar que ningún otro usuario pueda conectarse mediante Wifi a tu red, debes tomar la misma precaución al instalar WordPress, prestando especial atención a modificar estos datos.

Si tu proveedor de hosting te da la opción de instalar WordPress con un solo click, se supone que ellos van a encargarse de modificar en esta instalación el nombre por defecto de las tablas de WordPress, por lo que no debes preocuparte por ello.

Limita el número de intentos de acceso

También debes tomar la precaución de limitar el número máximo de intentos de acceso a tu Panel de Administración.

Mediante la instalación y activación del plugin Login LockDown, limitarás por defecto a tres intentos el acceso al Back EndBack end Panel de administración de WordPress desde donde se gestiona toda la instalación. Esta parte sólo es visible para los usuarios con rol de Administrador.. Si en 5 minutos, alguien (o algo) intenta acceder fallidamente durante 3 veces, el sistema bloqueará su IP durante una hora.

Si necesitas cambiar esta configuración, puedes acceder al menú Ajustes -> Login LockDown Options y modificarlo a tu gusto.

Controla el Spam en todos los formularios

Como ya te expliqué en el artículo que hablaba sobre los Formularios, es conveniente evitar que robots con distintas intenciones accedan a los formularios para enviarnos publicidad.

Para evitar el spam en un blog te recomiendo instales alguno de los plugins que te explico en el artículo y lo pongas en práctica para cualquier formulario que instales en tu blog, tanto de contacto como de comentarios.

También puedes instalar el plugin Clean Talk. Además de ser muy fácil de usar, controlará el SPAM en comentarios, formularios de contacto, en el registro, etc.

Registro de Usuarios

Otro punto a tener en cuenta para mejorar la seguridad en WordPress es el control de los usuarios que se registran en tu blog.

Si tu blog es de libre acceso y no requiere identificación de usuarios para el acceso al contenido, lo recomendable es que tengas desactivada la opción que posibilita el acceso de usuarios. Para ello puedes acceder a Ajustes -> Miembros y desmarcar la casilla de “Cualquiera puede registrarse”. De esta forma estarás evitando que, por error, algún usuario pueda obtener permisos para acceder a determinadas opciones del Panel de Administrador.

Haz copias de seguridad periódicas

Si, por desgracia, alguien consigue tener acceso a tu blog o página web de tal forma que pueda borrar o modificar maliciosamente cualquier contenido que encuentre en ella, o incluso cambiar la página de acceso a tu Panel de Control, es conveniente que realices copias de seguridad periódicas de tu página web.

Los proveedores de hosting recomendados para WordPress, suelen realizar, al menos diariamente, copias de seguridad de todo el contenido de tu página, pero si tu proveedor no te ofrece este servicio, deberás encargarte de realizarlas mediante un plugin.

Habrá ocasiones en que si te han bloqueado el acceso a tu Panel de Control, necesitarás tener la copia de Seguridad alojada en un servidor externo, para poder recuperarla fácilmente. En este caso te recomiendo que lo hagas en Dropbox.

Para ello puedes utilizar el plugin WordPress Backup to Dropbox, que se encargará de realizar las copias de forma programada (periódicamente en los días y horas elegidos) y guardarlas dentro de este disco duro virtual.

Plugins de Seguridad WordPress

Existen distintos plugins que integran diversas funciones de seguridad para WordPress que son capaces de controlar distintos aspectos a mejorar para evitar fallos de Seguridad. Los más utilizados son estos. La dificultad de configuración varía en cada uno. Mientras más variables necesites configurar, más aspectos deberás configurar.

Conclusión

Blindar tu blog desde el principio ante posibles ataques y mantener siempre actualizado tu theme, versión de wordpress y plugins que tengas instalados en primordial si quieres ahorrar dolores de cabeza y mantener tu blog siempre online con total seguridad.

La utilización de un software de calidad, que impida la vulnerabilidad de tu blog y que realice backups con cierta periodicidad (al menos diariamente) también es una garantía de seguridad.

Puedes configurar la seguridad de los puntos que necesites de forma manual o bien utilizar un plugin “todo en uno” de los que te he comentado en el punto número 10.

En las próximas semanas iré hablando y haciendo videotutoriales sobre la configuración de estos plugin, así que permanece atento al Canal WordPress Para Novatos en Youtube.

Juanma

Implementador y Formador especializado en WordPress, Coorganizador del grupo de Meetup WordPress Madrid. Colaborador en el equipo de traducción de WordPress España. Podcaster, YouTuber y fundador del blog WPnovatos.com

6 comentarios

  • Enhorabuena por el post. Me ha parecido muy útil y muy bien explicado. Yo también tengo instalado la verificación en dos pasos con Google Authenticator. Un saludo

    Responder
    • Un gran invento, sin duda, la autentificación en dos pasos.

      Gracias por tus comentarios, Alberto.

      Un saludo!

      Responder
    • Gracias a vosotros Gerard por la gran labor de ayuda a la comunidad WordPress que hacéis desde Webempresa y por pasarte por mi blog!
      Un saludo y Feliz Año para vosotros también 😉

      Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información básica sobre protección de datos

El responsable del proceso es Juanma Aranda | Tus datos serán tratados para gestionar y moderar tus comentarios | La legitimación del tratamiento es por consentimiento del interesado | No se transferirá ningún dato a terceros, salvo obligación legal | Tienes derecho a acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la política de privacidad.

 

eleifend commodo at neque. risus. ante. risus Vuelve al inicio

WordPress en Directo

wplive-logo

Actualidad, entrevistas, comunidad, eventos…

Cada semana emitimos un nuevo programa en abierto a través de nuestro Canal de YouTube.