Uno de los aspectos que más debes cuidar es la Seguridad WordPress. Cualquier fallo o descuido puede dejar abierta la puerta a cualquier hacker que, de forma mal intencionada, acceda a tu página y pueda acabar con todo el trabajo que llevas realizando durante meses o incluso años.
La Seguridad en WordPress
Hay muchos usuarios que no dan ninguna importancia a mantener su sitio seguro, frente a hackers u otro tipo de ataques, o que no se encargan de revisar periódicamente que todo esté correcto.
Recuerda que, en primavera de 2016 se produjo una de las mayores filtraciones periodísticas de los últimos tiempos «Los Papeles de Panamá» debido, entre otras cosas, al plugin de WordPress «Revolution Slider» que no estaba actualizado a su última versión.
Este plugin se utilizaba únicamente para mostrar un carrusel de imágenes en la página web, contando con una versión antigua y vulnerable que permitió acceder al servidor y ejecutar todo clase de comandos, dejando al descubierto información comprometida y muy importante del bufete Mossack Fonseca.
Utiliza un hosting seguro
La base fundamental de la seguridad en WordPress debe encontrarse en un buen hosting. Como ya te expliqué en un post anterior, es imprescindible que elijas un Hosting Seguro para tu WordPress.
Si has tenido la precaución de elegir un proveedor de hosting que se encargue de proteja tu WordPress mediante cortafuegos, que realice copias de seguridad (al menos una vez al día) y que evite las vulnerabilidades de tu instalación, tendrás una gran parte del trabajo ya conseguido.
Actualiza el Software
Otro de los puntos fuertes para garantizar la Seguridad en WordPress, es contar con las últimas versiones tanto del propio WordPress como de los plugins que tengas instalados.
Cada vez que se actualiza la versión de WordPress, los desarrolladores deben hacer lo mismo con sus plugin, adaptándolos a la nueva versión de WordPress y garantizado su seguridad. Cualquier fallo o incompatibilidad puede dejar al descubierto tu blog.
Los proveedores de hosting más recomendados se encargan de actualizar, de forma automática, tanto la versión PHP de sus servidores como la versión de WordPress que tienes en los blogs que ellos alojen, avisándote previamente de ello.
También cabe la posibilidad de que tengas activada la opción de actualización automática de WordPress, en cuyo caso no deberás preocuparte por ello.
Acceso al Panel de Administrador
La principal puerta de entrada de hackers a tu WordPress, es el Panel de Administración. Por defecto, cuando realizas la instalación de WordPress, el sistema te asigna la siguiente dirección de acceso a él: http://www.tudominio.com/wp-admin (también se puede acceder por defecto desde /admin o /login)
Esta dirección, si no te tomas la molestia de modificarla, es la misma para cualquier usuario que realice una instalación en su servidor, por lo que los robots que intentan buscar un hueco o fallo para entrar en tu WordPress, será el primer sitio donde se dirijan.
Posteriormente empezarán a probar distintas combinaciones aleatorias de usurario y password hasta que consigan dar con la correcta para poder acceder. Es lo que se suele conocer como ataques de «fuerza bruta»
Te recomiendo que instales WPS Hide Login. Se trata de un plugin súper sencillo. Tras instalarlo, únicamente deberás ir a la opción Ajustes -> Generales de tu Panel de Administración y, debajo del todo, elegir la nueva dirección que quieras para acceder a tu BackEnd. Por ejemplo www.tudominio.com/panel o cualquier otra dirección que se te ocurra y que no sea ninguna de las palabras que hemos visto que se instalan por defecto.
Evita Opciones por Defecto
En la medida de la posible trata de evitar las opciones por defecto de WordPress y modifícalas por otras que sólo conozcas tú.
En este caso me estoy refiriendo a los prefijos de las tablas en la instalación de WordPress y el nombre de usuario de acceso al Panel de Administrador.
En el primer caso, por defecto, aparecerá como prefijo de la tabla el nombre que hayas puesto a tu sitio y en el segundo caso, el nombre de usuario que por defecto te propondrá WordPress para acceder a tu Panel, es el de «admin».
Al igual que cuando instalas una conexión a internet en tu domicilio, lo lógico es que cambies la contraseña que trae por defecto tu router para evitar que ningún otro usuario pueda conectarse mediante Wifi a tu red, debes tomar la misma precaución al instalar WordPress, prestando especial atención a modificar estos datos.
Si tu proveedor de hosting te da la opción de instalar WordPress con un solo click, se supone que ellos van a encargarse de modificar en esta instalación el nombre por defecto de las tablas de WordPress, por lo que no debes preocuparte por ello.
Limita el número de intentos de acceso
También debes tomar la precaución de limitar el número máximo de intentos de acceso a tu Panel de Administración.
Mediante la instalación y activación del plugin Login LockDown, limitarás por defecto a tres intentos el acceso al Back End. Si en 5 minutos, alguien (o algo) intenta acceder fallidamente durante 3 veces, el sistema bloqueará su IP durante una hora.
Si necesitas cambiar esta configuración, puedes acceder al menú Ajustes -> Login LockDown Options y modificarlo a tu gusto.
Controla el Spam en todos los formularios
Como ya te expliqué en el artículo que hablaba sobre los Formularios, es conveniente evitar que robots con distintas intenciones accedan a los formularios para enviarnos publicidad.
Para evitar el spam en un blog te recomiendo instales alguno de los plugins que te explico en el artículo y lo pongas en práctica para cualquier formulario que instales en tu blog, tanto de contacto como de comentarios.
También puedes instalar el plugin Clean Talk. Además de ser muy fácil de usar, controlará el SPAM en comentarios, formularios de contacto, en el registro, etc.
Registro de Usuarios
Otro punto a tener en cuenta para mejorar la seguridad en WordPress es el control de los usuarios que se registran en tu blog.
Si tu blog es de libre acceso y no requiere identificación de usuarios para el acceso al contenido, lo recomendable es que tengas desactivada la opción que posibilita el acceso de usuarios. Para ello puedes acceder a Ajustes -> Miembros y desmarcar la casilla de «Cualquiera puede registrarse». De esta forma estarás evitando que, por error, algún usuario pueda obtener permisos para acceder a determinadas opciones del Panel de Administrador.
Haz copias de seguridad periódicas
Si, por desgracia, alguien consigue tener acceso a tu blog o página web de tal forma que pueda borrar o modificar maliciosamente cualquier contenido que encuentre en ella, o incluso cambiar la página de acceso a tu Panel de Control, es conveniente que realices copias de seguridad periódicas de tu página web.
Los proveedores de hosting recomendados para WordPress, suelen realizar, al menos diariamente, copias de seguridad de todo el contenido de tu página, pero si tu proveedor no te ofrece este servicio, deberás encargarte de realizarlas mediante un plugin.
Habrá ocasiones en que si te han bloqueado el acceso a tu Panel de Control, necesitarás tener la copia de Seguridad alojada en un servidor externo, para poder recuperarla fácilmente. En este caso te recomiendo que lo hagas en Dropbox.
Para ello puedes utilizar el plugin WordPress Backup to Dropbox, que se encargará de realizar las copias de forma programada (periódicamente en los días y horas elegidos) y guardarlas dentro de este disco duro virtual.
Plugins de Seguridad WordPress
Existen distintos plugins que integran diversas funciones de seguridad para WordPress que son capaces de controlar distintos aspectos a mejorar para evitar fallos de Seguridad. Los más utilizados son estos. La dificultad de configuración varía en cada uno. Mientras más variables necesites configurar, más aspectos deberás configurar.
- Sucuri
- iThemes security
- WordFence -> Te recomiendo que le eches un vistazo al Gran Manual de WordFence que ha publicado Gerardo García, en su blog SensacionWeb
- All In One WP Security & Firewall
Conclusión
Blindar tu blog desde el principio ante posibles ataques y mantener siempre actualizado tu theme, versión de wordpress y plugins que tengas instalados en primordial si quieres ahorrar dolores de cabeza y mantener tu blog siempre online con total seguridad.
La utilización de un software de calidad, que impida la vulnerabilidad de tu blog y que realice backups con cierta periodicidad (al menos diariamente) también es una garantía de seguridad.
Puedes configurar la seguridad de los puntos que necesites de forma manual o bien utilizar un plugin «todo en uno» de los que te he comentado en el punto número 10.
En las próximas semanas iré hablando y haciendo videotutoriales sobre la configuración de estos plugin, así que permanece atento al Canal WordPress Para Novatos en Youtube.
Muy buen aporte. Gracias 🙂
Enhorabuena por el post. Me ha parecido muy útil y muy bien explicado. Yo también tengo instalado la verificación en dos pasos con Google Authenticator. Un saludo
Un gran invento, sin duda, la autentificación en dos pasos.
Gracias por tus comentarios, Alberto.
Un saludo!
muchas gracias por los tips, me ha servido de mucho para mejorar mi blog
Hola!
Gracias por la mención y por compartir el vídeo de Dropbox 🙂
Feliz año!
Gracias a vosotros Gerard por la gran labor de ayuda a la comunidad WordPress que hacéis desde Webempresa y por pasarte por mi blog!
Un saludo y Feliz Año para vosotros también 😉