WordPress es el gestor de contenidos (CMS) más utilizado actualmente y cada día hay más instalaciones. La seguridad de WordPress se ha vuelto algo imprescindible si quieres dormir tranquilo. Piensa que con la cantidad de instalaciones cualquier vulnerabilidad puede afectar a millones de páginas web o blogs.
WordPress hace tiempo que ha dejado de utilizarse solo para montar un blog. Hoy día podemos hacer todo lo que queramos de una manera profesional con la infinidad de temas, plugins etc..
A continuación vamos a ver como asegurar WordPress de tal manera que bajemos ese porcentaje de riesgo de que tengamos problemas con nuestra web o blog.
Índice de contenidos
6 formas de aumentar la seguridad de WordPress
1.- Seguridad en tu ordenador de trabajo
Es algo que normalmente descuidamos pensando que proteger WordPress solo depende de servidores, vulnerabilidades, etc.. la primera vulnerabilidad parte de nuestros sistemas, si eso no lo tenemos mínimamente protegido lo demás valdrá de poco.
Imagina que tienes una contraseña muy fuerte para el panel de administración de tu WordPress pero dentro de tu ordenador se te ha instalado un keylogger de nada nos servirá todo lo demás. Con lo que un buen antivirus es necesario, yo utilizo Kaspersky pero si quieres también te puede servir Avast y tiene versión gratuita. Esto vale también para los usuarios de Mac, yo soy uno de ellos, no te dejes engañar.
No escatimes en protección para mantener protegido tu WordPress Compartir en XOtro punto a tener en cuenta son las WiFis públicas que tienes en los hoteles, bares, restaurantes, centros comerciales etc.. no te conectes a estas redes porque cualquier hacker con conocimientos mínimos con un programa puede «sniffar» el tráfico en la red y si te conectas al panel de administración WordPress, cuentas de correo, o en cualquier sitio que necesite usuario y contraseña puede capturar estos datos que pasan sin cifrar. Fíjate si es sencillo.
El sistema operativo y los navegadores que utilices también deben de estar actualizados siempre. Puedes configurarlo para que se actualice de forma automática.
Para más información y si quieres estar al día en los temas de seguridad en internet a mi me gusta mucho esta web: OSI (Oficina de seguridad del internauta).
Resumen de este punto:
- Utilizar un antivirus fiable con protección de internet.
- Mantener actualizados los sistemas operativos.
- Mantener actualizados también los navegadores.
- No conectarse a WiFis públicas.
2.- Contraseñas seguras en WordPress
Las contraseñas tienen que ser fuertes y seguras siempre y no utilizar las mismas contraseñas para acceder a diferentes sitios.
Hoy día WordPress te facilita la creación de contraseñas fuertes en el alta de usuarios.
No utilices el usuario admin, piensa que es fácil de averiguar quién es el usuario y solo se necesitará la contraseña para acceder, con lo que el hacker ya tiene la mitad del trabajo hecho y si a esto le añades una contraseña débil pues te puedes imaginar lo sencillo que es acceder a tu panel de administración y con privilegios de administrador.
Con algún plugin de seguridad puedes cambiar el usuario admin ocultándolo con el tuyo. Pero sino lo que puedes hacer es crearte un usuario nuevo con privilegios de administrador y quitárselos al usuario admin.
Otra forma de deshacerse para siempre del usuario admin lo puedes ver en este post si te interesa, es un poco más largo de explicar aquí.
Las contraseñas en general hay que cambiarlas cada cierto tiempo.
Se que es un rollo esto de las contraseñas.
¿Quién no ha apuntado una contraseña en un papelito o en un pos-it?
Lo entiendo perfectamente. ¿Cómo vamos a tener diferentes contraseñas para cientos de sitios y acordarnos de todas? Es imposible.
Tampoco utilices como te he dicho anteriormente una sola contraseña hiper fuerte, la más fuerte del mundo, para todos los sitios. No hace falta que te diga porqué.
Por todo esto nos vemos con la necesidad de utilizar alguna aplicación que nos gestione estas contraseñas.
Yo te voy a recomendar Keeper que es la que utilizo y estoy contentísimo. Me encanta y además el tiempo que ahorras, lo que ganas en productividad. Para no darte yo las características de esta aplicación entra y mírala tu mismo te va a alucinar. Eso si, es de pago, creo que anualmente son 20€ no lo recuerdo del todo pero solo por el tiempo que ahorras es baratísima. Puedes probarla gratuitamente durante 1 mes.
Otra herramienta para guardar credenciales que he oído hablar muy bien es 1password, pruébala y ya me dirás que te ha parecido.
Muchos de estos programas guardan las credenciales cifradas en sus servidores con un nivel muy alto de seguridad.
Puntos importantes a tener en cuenta:
- Contraseñas fuertes y seguras.
- No utilizar las mismas contraseñas para diferentes sitios.
- Utiliza un gestor de contraseñas, que las mantendrá seguras y te ahorrará muchísimo tiempo.
[magicactionbox]
3.- Hosting seguro para la seguridad de WordPress
Cuando alojamos nuestra página web a veces no le damos la suficiente importancia al hosting, nos fijamos en los planes, precios y poco más. Pero esta es la base de tu proyecto: un buen hosting.
En el mercado hay muchos hosting para WordPress a elegir y seguramente muchos serán muy buenos pero yo desde que conocí Webempresa y Raiola Networks ya no quiero saber más.
Esto es como cuando quieres comprarte una casa y miras y miras, hasta que llega un día que aparece la casa de tus sueños y dices….está es la que quiero y no se hable más. Pues algo parecido me paso con Webempresa para alojamiento compartido y Raiola Networks para hosting compartido y servidores VPS.
Son los hosting para WordPress que utilizo en mis proyectos y para mis clientes.
Seguro que no son los planes más baratos después de ver lo que hay por ahí…pero en un hosting que va a alojar tu proyecto más vale que inviertas unos eurillos más que en un año es algo insignificante y puedas estar tranquilo.
La seguridad de Webempresa es de lo mejor que he visto, puedes escucharlo en el podcast que te he dejado más abajo, pero te haré un resumen de lo más interesante:
- Bloqueo de acceso al panel de administración de países de habla no hispana. Si necesitas un colaborador que trabaje en un país que esté bloqueado o tu mismo tienes que viajar, no hay problema te quitarán esta protección y te pondrán un pre-login antes de acceder a tu panel de administración de WordPress, y seguirás estando protegido.
- Bloqueo de IPs con intentos de autenticación erróneos. Si te bloqueas tu mismo sin querer, entras en el panel de administración de Webempresa y se desbloquea tu IP.
- Si por casualidad no actualizas algún plugin no te verás afectado, lo paran a nivel de servidor.
- Hacen copias de seguridad cada 4 horas.
Ver planes de Webempresa y obtén un 20% de descuento
Ver planes de Raiola Networks y obtén un 10% de descuento
Tienes un mes de prueba y te hacen la migración gratuita. Si no te interesa te devuelven el dinero. ¿Que más quieres?
Aquí te dejo 3 podcasts de Emprendedores Digitales con entrevistas a Gerard Martínez del hosting Webempresa, Álvaro Fontela del hosting Raiola Networks y como elegir hosting y dominio donde te explico todo lo que tienes que saber de un buen hosting para WordPress.
4.- Mantén actualizado tu WordPress, plugins y temas
Algo fundamental para la seguridad de WordPress es mantener actualizado todo. En el momento que salen actualizaciones de WordPress hay que actualizar, si quieres esperar unos días para ver que no haya ningún problema, házlo pero como mucho después de una semana, actualiza.
Con los plugins y temas hay que hacer lo mismo, mantenerlos actualizados.
Muchas veces tenemos instalados temas y plugins que no están activos, lo aconsejable sería borrarlos y sino en su defecto mantenerlos actualizados.
Antes de actualizar siempre es aconsejable hacer copias de seguridad, luego más adelante hablaremos de esto.
¡Súper importante!
- Instala los plugins siempre del repositorio de WordPress.org, mira que lo que instales sea un plugin que la fecha de la última actualización no sea muy antigua y que tenga muchas descargas. A veces se quedan plugins abandonados sin actualizaciones y puede ser un peligro para la seguridad de tu WordPress.
- Instala temas gratuitos directamente del repositorio de WordPress.org o directamente de procedencia del desarrollador o de plataformas de venta de temas. Nunca, nunca bajes copias piratas de temas para ahorrarte un dinero, posiblemente estén infectadas de malware. Avisado estas.
5.- Plugins de seguridad para WordPress
Es aconsejable que tengas algún plugin de seguridad. Si inicialmente quieres protegerte mediante ataques de fuerza bruta puedes utilizar Limit login Attempts. Con este plugin puedes configurar un máximo de intentos de sesión antes de bloquear al usuario y el tiempo que permanecerá bloqueado.
Yo lo utilizaba hace tiempo pero ahora me gusta mucho ponerle un captcha al panel de administración de WordPres, así te quitas de en medio los ataques de fuerza bruta realizados por bots, que son los intentos de acceder repetidas veces mediante diccionarios de contraseñas.
Aquí te dejo un videotutorial para instalar un captcha en tu web y verás que fácil es de instalar.
Además del Captcha que no está demás, lo ideal es instalar un plugin más completo de seguridad. Que entre muchas cosas te limitará los intentos de sesión, bloqueará bots, te enviará avisos si hay cambios en tu instalación, tendrás el registro de los logs etc…
Te voy a decir dos de los plugins que yo creo que actualmente son los mejores:
- iThemes Security, este es el que utilizo yo habitualmente y tengo un videotutorial por si te decides a probarlo.
- Wordfence Security, es muy parecido al anterior y también de los más utilizados.
Piensa que estos plugins hay que saber muy bien que es lo que se toca, sino corres el riesgo de bloquearte el acceso a ti mismo entre otras cosas. Vamos que te pueden dar más problemas que beneficios si no los configuras bien.
Te dejo un videotutorial de iThemes Security.
No está demás utilizar algún otro plugin que te escanee tu WordPress en busca de infecciones, hay muchos pero uno de los que más me gustan es Securi Security.
Si encuentras malware en Securi se harán cargo de limpiarte la web y quitarte de las listas negras de los buscadores. Pero claro, esto ya no es gratuito.
Puedes contratarlo antes de que tengas ningún problema pagando el servicio mensual para mantenerte protegido.
6.- Copias de seguridad para WordPress
Aunque este al final de todo es el apartado más importante para la seguridad de WordPress. Piensa que cualquier sitio nunca estará del todo protegido, con lo que unas copias de seguridad son necesarias aunque el servicio de hosting se encargue de ello. Tienes que hacerlas igualmente y sacarlas fuera del servidor.
No hagas las copias de seguridad en tu mismo hosting, si se ve afectado las copias podrían estarlo también. Lo ideal es sacar las copias fuera de tu servidor mediante un servicio como Dropbox. Te abres una cuenta si no la tienes y ya tienes 2Gb de espacio suficiente para guardar tus copias de seguridad.
Depende de cada cuanto actualices tu web así es como debes de programar las copias. Si por ejemplo publicas dos veces por semana pues haz dos veces las copias de seguridad y mantén unas cuantas copias antes de borrarlas.
Te dejo mejor un videotutorial que te enseñará como programar las copias de seguridad con uno de los plugins mejores para este cometido y el que utilizo yo personalmente para hacer mis copias de seguridad y la de mis clientes. El plugin es BackWPup
Hasta aquí con los puntos clave para tener esa seguridad de WordPress que necesitamos para estar más tranquilos. Ten en cuenta que todos los puntos son importantes, como te he dicho antes de nada sirve tener una contraseña muy fuerte si no actualizas los plugins y por culpa de una vulnerabilidad en uno de ellos se te cuelan por ahí etc.. etc… bueno no me enrollo más que creo que me has entendido bien.
Si te ha gustado este post te agradezco que lo compartas en las redes sociales y te espero en los comentarios.
Derechos de imagen principal: Fotolia
Deja una respuesta