Montar un sitio web en Internet require de varias cosas: un hosting, un dominio, y la instalación de WordPress para dejar todo funcionando como deseas. Pero algo que muchos usuarios descubren tiempo después es que descargar e instalar WordPress es solo el último paso de una serie de cosas que debes hacer.
Así como en el mundo real cuidas de tu casa activando la alarma antes de salir, o colocando rejas en tus ventanas, en el mundo virtual también sucede lo mismo, debes realizar varias cosas para proteger tu sitio web basado en WordPress de la amenazas externas. El malware en WordPress es real, los virus, ataques DDOS, inyecciones SQL, y muchas otras no son amenazas que ves en una película, son reales. y la lista de vulnerabilidades de WordPress sigue creciendo día a día.
WordPress tiene muchos componentes, entre los cuales están los archivos, la base de datos, el core de la app, los plugins, themes, y muchas otras variables internas que hacen toda la magia del CMS más usado del mundo. Tantos componentes, unidos a la gran popularidad del CMS y su naturaleza open source han hecho que sea blanco de ataques desde siempre, sin embargo, la buena noticia es que aumentar la seguridad de WordPress es algo muy fácil de hacer.
¿Estas listo para comenzar? Sigue leyendo.
Contenido
- 1 Top 10 tips para mejorar la seguridad de WordPress
- 1.1 1. Usa un password fuerte
- 1.2 2. Agrega un usuario y contraseña para el ingreso al admin de WordPress
- 1.3 3. Cambia el prefijo de la base de datos wp_
- 1.4 4. Manten WordPress actualizado, siempre!
- 1.5 5. Themes y Plugins también actualizados
- 1.6 6. Ten siempre copias de seguridad de tu web
- 1.7 7. Protégete del spam entrante
- 1.8 8. ¿Existe algún plugin de seguridad para WordPress que lo haga todo?
- 1.9 9. Encripta tu WordPress con un certificado SSL
- 1.10 10. Escanea WordPress con herramientas externas
- 2 Resumen
Top 10 tips para mejorar la seguridad de WordPress
A continuación podrás ver 10 consejos básicos para mejorar la seguridad de tu WordPress.
1. Usa un password fuerte
Usar un password fuerte es uno de los consejos básicos de seguridad en cualquier sistema o aplicación de Internet o local.
Para que un password sea fuerte debe cumplir los siguientes requisitos mínimos: mínimo 8 caracteres, incluyendo letras minúsculas, mayúsculas, números y símbolos.
Generar un password así es faćil, pero si eres de esos que se suscriben a servicios y nuevas apps todos los días, lo que te recomendamos entonces es directamente generarlos usando aplicaciones tales como Lastpass y 1Password. Con ellas harás que generar passwords seguros sea algo fácil, aunque WordPress ya incluye un generador aleatorio de passwords.
2. Agrega un usuario y contraseña para el ingreso al admin de WordPress
La segunda medida que te vamos a recomendar es limitar el acceso a la carpeta wp-admin y el archivo wp-login.php de WordPress anteponiendo un usuario y contraseña para prevenir su acceso directo desde cualquier parte de Internet, tal como se muestra en este tutorial.
Otra alternativa es proteger el acceso a wp-admin y wp-login.php mediante una regla allow/deny a nivel de .htaccess o bien directo sobre el servidor web en caso de que uses Nginx.
Con cualquiera de las dos medidas, estarás protegiendo el login de WordPress mediante ataques directos.
3. Cambia el prefijo de la base de datos wp_
El prefijo de la base de datos de WordPress siempre suele ser “wp_”, esto quiere decir que todas las tablas del sitio usarán el mismo prefijo para sus nombres, por ejemplo: wp_options, wp_comments, etc.
Al momento de instalar WordPress hay un apartado donde se nos permite cambiar el prefijo de WordPress, de forma que podremos alterarlo y así evitar muchísimos ataques hacia la base de datos.
Otros prefijos alternativos que puedes usar pueden ser: xy_, tabla_, mywp_, etc. Este plugin te ayuda a cambiar el prefijo de la BD si no lo hiciste durante la instalación.
4. Manten WordPress actualizado, siempre!
Una regla de oro que no puede fallar si quieres tener un WordPress seguro, es mantenerlo siempre actualizado.
Actualizar WordPress se vuelve algo vital, y es de tanta importancia pues te asegura que el core de la aplicación siempre esté con los últimos parches de seguridad.
Exactamente como debemos actualizar nuestro sistema operativo cada cierto tiempo, las aplicaciones como WordPress que corren en Internet deben tener el mismo trato.
5. Themes y Plugins también actualizados
Pero como WordPress no sólo se compone de la aplicación en si, sino de los fantásticos plugins y themes que nos ofrece, también no debemos olvidar actualizar los plugins y themes, al menos una vez por mes.
Existen muchas formas de actualizarlos, manualmente o de forma automática. Y un punto no menor es tener en cuenta cuantos plugins necesitas instalar en WordPress realmente. Hemos creado una guía que habla sobre varios plugins básicos para WordPress, que en caso de tenerlos tendrás que mantenerlos actualizados.
6. Ten siempre copias de seguridad de tu web
Hacer copias de seguridad de WP es algo básico. Tal como respaldas en la nube los archivos de tu notebook, también deberías siempre hacer respaldos de WordPress, para así luego en caso de un hackeo, ataque, modificación errónea, o una actualización fallida podrás tener a mano copias fieles de los archivos y la base de datos.
En Infranetworking ofrecemos un servicio de Backup Premium para WordPress, el cual hace todo el trabajo por ti, y te permite dormir en paz, sabiendo que si sucede algo, tendrás un lugar a donde recurrir para rescatar tus archivos.
7. Protégete del spam entrante
Akismet es uno de los plugins más populares para prevenir el spam en tu WordPress. No hay mucha ciencia tras este plugin, viene instalado por defecto, y solo debes activarlo para comenzar su configuración.
Tras activarlo, debes obtener tu API key, y luego pegarla en la configuración de Akismet. Todo listo, no requiere de mayores configuraciones, y hará el trabajo de detener bots mucho más fácil en tu día a día.
8. ¿Existe algún plugin de seguridad para WordPress que lo haga todo?
Existen muchísimos plugins de seguridad para WordPress, éstos no hacen «todo», pero si tienen una gran cantidad de opciones que te permiten mejorar la seguridad integral de tu WordPress, con muchísimos features para endurecer la instalación por defecto de cualquier sitio web basado en WP. Entre ellos podemos recomendarte ver los siguientes:
9. Encripta tu WordPress con un certificado SSL
Los certificados SSL llegaron para quedarse hace muchos años, y es que ofrecen la posibilidad de encriptar el tráfico que se envía entre el servidor y el navegador web desde donde se solicita la página web. Esto ayuda a detener numerosos ataques, mejora la confianza de tus clientes, y hasta mejora el SEO de tu sitio web.
Comprar un certificado SSL es sumamente fácil, sigue el link anterior si aún no tienes uno en tu WordPress. Y la siguiente guía es ideal para aprender a migrar wordpress de HTTP a HTTPS, de forma que todo tu tráfico será correctamente servido via HTTPS.
10. Escanea WordPress con herramientas externas
Aplicar las 9 medidas anteriores es sólo el comienzo de tu viaje para securizar WordPress. Por eso te recomendamos también escanear tu sitio WordPress con alguno de los siguientes scanners online que te permitirán encontrar vulnerabilidades, malware, y cualquier cosa sospechosa a nivel público. Entre los mejores podemos destacar:
Resumen
Como has podido ver, mejorar la seguridad de WordPress es algo muy importante, donde el 80% de la seguridad final corresponde al usuario, y un 20% a la infrastructura, es decir, el servidor donde se hospedan los datos de tu instalación WordPress.
Si bien hoy en día WordPress ostenta el título del CMS más atacado de Internet (porque tiene un porcentaje de uso de casi 39% en el total de webs), su flexibilidad hace que también securizar WordPress sea una tarea más que fácil, incluso para usuarios no técnicos y que recién comienzan en el mundo de los sitios basados en WordPress.