seguridad en wordpress

Seguridad WordPress: Guía completa para principiantes

Cuando tenemos un sitio web en WordPress  debemos pensar en la seguridad, hay un montón de cosas que se puede hacer para proteger el mismo.

Esta guía presenta medidas de seguridad sencillas que puedes implementar para asegurar tu sitio de WordPress, prevenir ataques de hackers y mantener tu contenido a salvo. Incluiré las mejores soluciones y precauciones de seguridad de WordPress en este post. Si las sigues, dormirás seguro.

Lista de control de seguridad de WordPress

Hay muchas guías de seguridad de WordPress con 20-30 o incluso más pasos sobre cómo proteger tu sitio de WordPress. Muchos de esos pasos son completamente innecesarios para el usuario medio o novato.

Aquí hay pasos rápidos y sencillos que debes seguir para mantener tu sitio de WordPress seguro y protegido:

  1. Utiliza un nombre de usuario único con una contraseña sólida en todas las cuentas administrativas.
  2. Enciende y requiere una verificación de dos pasos en todas las cuentas administrativas.
  3. No instales temas y plugins de fuentes no confiables.
  4. Configura WordPress, temas y plugins para que se actualicen automáticamente.
  5. Configura WordPress para que haga una copia de seguridad automáticamente.

Estos cinco pasos te llevarán unos minutos para implementarlos y no tendrás que preocuparte por la seguridad de WordPress después de eso. Podrás concentrarte en construir un gran sitio web en su lugar.

¿Por qué WordPress es tan vulnerable e inseguro?

WordPress es muy serio en cuanto a su seguridad y es un software muy seguro. El equipo de seguridad de WordPress está formado por  expertos en seguridad y desarrolladores. Siendo un software de código abierto, hay muchos ojos en él y mantiene todo el sistema de gestión de contenidos seguro y protegido.

Entonces, ¿por qué escuchas que WordPress es vulnerable e inseguro? WordPress es el CMS y la plataforma de blogs más utilizada, con una cuota de mercado de más del 35% de toda la web.

La popularidad de los sitios web de WordPress los convierte en un objetivo regular de los ataques de inicio de sesión de fuerza bruta que intentan descubrir sitios que utilizan el nombre de usuario predeterminado y/o una contraseña débil. Esta es información sensible y la clave para mantener tu blog seguro.

La fuerza bruta es cuando un atacante se conecta con muchas contraseñas con la esperanza de adivinar correctamente. El atacante comprueba sistemáticamente todas las opciones posibles hasta encontrar la correcta.

Utiliza la autenticación de dos factores para el inicio de sesión del panel de administración de WordPress como una protección eficaz contra la fuerza bruta.

El segundo ataque más común es contra software de WordPress obsoleto, versiones obsoletas de PHP, temas y plugins obsoletos. Por eso es clave que siempre se actualice todo.

Ambos tipos de ataques están automatizados en todas las plataformas de hospedaje, por lo que no se dirigen específicamente solo a tu blog.

Si logran infectar un blog que no está adecuadamente protegido, pueden incluso contaminar todos los demás blogs alojados en el mismo servidor. No dejes que nada de esto te suceda.

Los mejores plugins de seguridad de WordPress:

Existen varios plugins de seguridad de WordPress y otras herramientas que puedes usar para averiguar si tu blog tiene una debilidad actual.

Escanean en busca de malware, códigos y scripts maliciosos, software obsoleto y otros problemas de seguridad conocidos.

Estos complementos de seguridad de WordPress pueden ayudarte a mantener tu blog seguro. A continuación, te presentamos algunas de las mejores opciones que incluyen versiones gratuitas:

Sucuri SiteCheck:

También hay un plugin de Sucuri, pero es una herramienta basada en el navegador para una rápida exploración y comprobación.

Enlace web: Sucuri SiteCheck

Google Search Console

Esta herramienta gratuita permite en la sección “Seguridad y acciones manuales” notificarte cuando Google detecta malware u otros problemas de seguridad en tu sitio web de WordPress. Ejemplo:

search-console-seguridad

Plugin Seguridad de Wordfence

El plugin de seguridad de WordPress más popular usado por más de 3 millones de sitios. Incluye seguridad de inicio de sesión, cortafuegos y un escáner de malware.

Enlace: Wordfence

Plugin de seguridad de iThemes

Este plugin se utiliza en más de 900.000 sitios de WordPress.

Enlace: Ithemes

Plugin Seguridad y cortafuegos All In One WP

Activado en más de 800.000 sitios de WordPress. Todas las características de este plugin son totalmente gratuitas.

Enlace: All In One WP

 

Limitar el número de plugins y temas instalados

Mantenga los puntos de entrada de los ataques al mínimo. Instala solo los temas y plugins que utilices activamente y que sean necesarios para ejecutar tu blog. Elimina todo lo que no se utilice.

No descargues temas y plugins de fuentes desconocidas. Utiliza solo los temas y plugins oficiales y los sitios web oficiales de fuentes de confianza, como los temas y plugins premium.

Estos son los signos de calidad que hay que buscar en un plugin o un tema:

  1. Un alto número de descargas y usuarios activos de WordPress.
  2. Actualizaciones regulares y una última actualización reciente.
  3. Buenas críticas y calificación.

Crear una nueva cuenta de usuario y limitar el acceso no autorizado

Es más difícil para un hacker irrumpir en tu cuenta de WordPress cuando tanto el nombre de usuario como la contraseña tienen que ser crackeados.

El nombre de usuario “admin” es el objetivo más frecuente de los ataques de fuerza bruta. Es un objetivo fácil y debería ser eliminado y no usado.

Reduce al mínimo el número de personas que tienen acceso de administrador a tu blog. Cualquiera que no necesite acceso de administrador no debería tenerlo.

A continuación te explico cómo crear un nuevo usuario y eliminar el usuario “admin” por defecto:

  1. Creas un usuario dirigiendote a “Usuarios” y luego a “Añadir nuevo” en el menú de WordPress.
  2. Al crear el nuevo usuario, asegúrese de darle el rol de “Administrador”. Eso asegurará que usted tiene la autoridad total sobre la seguridad de su sitio web de WordPress.
  3. Ahora cierra la sesión de tu cuenta predeterminada de “administrador” e inicia la sesión con los detalles del nuevo usuario.
  4. En “Usuarios” elimine el nombre de usuario de administrador predeterminado.
  5. Asegúrate de elegir la opción de transferir tus mensajes antiguos a tu nuevo nombre de usuario cuando elimines la cuenta “admin”.

Utilice contraseñas fuertes y seguras

No uses contraseñas simples en tu cuenta de WordPress. Las contraseñas simples pueden hacer que te resulte fácil recordarlas, pero también son más accesibles para que un hacker las descifre.

Utiliza en su lugar contraseñas fuertes y seguras. Tus contraseñas deberían contener:

  1. Al menos doce caracteres de longitud.
  2. Incluye números, caracteres especiales y letras mayúsculas y minúsculas.

Establecer un nuevo apodo

No quieres que tu nuevo nombre de usuario sea el nombre del autor que aparece en todos los mensajes. De esta manera, los hackers tendrán una forma fácil de encontrar tu nuevo nombre de usuario.

Configura el nombre de tu cuenta a algo diferente de tu nombre de usuario. A continuación te explico cómo:

  1. Ve a “Usuarios” en “Tu perfil”.
  2. Elige un nuevo apodo en el campo Apodo.
  3. Establece “Mostrar nombre públicamente como” en tu nuevo nombre de usuario.

No permitir pings

WordPress con la opción de pingback activada puede utilizarse en los ataques de DDOS contra otros sitios. Esta opción está activada de forma predeterminada, por lo que es importante desactivarla.

En “Configuración” vaya a “Discusión” y en “Configuración del artículo por defecto” marque “Permitir notificaciones de enlaces (pingbacks y trackbacks)”.

Realiza copias de seguridad automáticas con regularidad

Es esencial hacer copias de seguridad automáticas diarias o semanales de su contenido y base de datos. Los buenos proveedores de hospedaje ejecutan las copias de seguridad de sus sistemas por su parte.

Si deseas hacer copias de seguridad regulares por ti mismo. WordPress consta de dos partes:

Base de datos: un lugar donde se almacenan todos los ajustes, páginas, posts y comentarios.
Archivos: que incluyen medios, archivos adjuntos, temas y plugins.
Se recomienda hacer una copia de seguridad completa y regular de todo el sitio. Hay una gran cantidad de opciones. El mejor plugin gratuito es UpdraftPlus, que se utiliza en más de 2 millones de blogs.

En caso de que su sitio sea hackeado o infectado por un virus o malware, podrá restaurar una copia de seguridad completamente funcional.

Estos sencillos pasos pueden ejecutarse con relativa rapidez para mejorar la seguridad de WordPress y harán que sea mucho más difícil entrar en su sitio. Es probable que no tengas un problema de piratería, te sentirás más seguro y así podrás concentrar tu tiempo en escribir contenido o en construir una audiencia.

Si tienes problemas de seguridad en tu web y requieres una asesoría puedes contactarme.

Todas las Imágenes de este post son cortesía de Pexels

2 comentarios en “Seguridad WordPress: Guía completa para principiantes”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *