Tutorial de seguridad para WordPress

 Mejora la seguridad de tu sitio WordPress

WordPress es el editor de blogs y el sistema CMS más popular y de Internet, esto hace que sea uno de los programas favoritos para ataques de piratas informáticos (hackers). Tener un sitio de WordPress significa que tienes que tomarte algunas molestias adicionales con el fin de proteger tus datos y los de tus visitantes.

A continuación te presento un tutorial de seguridad para WordPress. Es importante mencionar que estas medidas no garantizan una protección del 100% contra los hackers, sobre todo debido a que un sitio web seguro al 100% no existe, pero te protegerá contra la mayoría de los ataques y tendrás una mayor seguridad.

Tutorial de seguridad para WordPress

Tutorial de seguridad para WordPress

Mantén WordPress y plugins actualizados

Es muy importante mantener los archivos del núcleo de WordPress y todos sus plugins actualizados a sus últimas versiones. La mayor parte de las nuevas versiones de WordPress y los plugins contienen parches de seguridad. Incluso si estas vulnerabilidades no son tan fáciles de explotar es importante no dejarlas abiertas.

No uses un actualizador de plugins automático, te recomiendo actualizar manualmente, ya sé que es un rollo porque te exige conectarte a tu panel de administración cada poco tiempo, pero es la mejor solución, además te recomiendo comprobar el funcionamiento de tu web para ver si no crea problemas de compatibilidad o ralentiza tu web.

No uses temas de WordPress descargados ilegalmente

Hay muchos temas Premium de WordPress que son muy atractivos, el gran inconveniente es que tenemos que pagar por ellos. Hay una gran variedad temas gratuitos pero limitados en funciones muchas veces.

Podemos caer en la tentación de descargar un tema de pago de manera gratuita, pero esto conlleva muchos riesgos, porque esto no es juego de ordenador que si estropea pierdes la partida, si pierdes tu página web es algo mucho peor. Le pasó aun compañero, perdió su web y tuvoque reacerla, un tostón de trabajo.

Si no quieres pagar por un tema, usa uno gratuito, no lo descarques ilegalmente.

Vas a dedicar decenas, cientos o miles de horas a trabajar en tu blog o página web, si tu sitio web desaparece o deja de funcionar porque tu tema tenía un virus te arrepentirás de no haber pagado esos 30-40-50$ que costaba, porque ¿cuanto valen las horas que has invertido? puedes ser muchísimo.

Protege el área de administración de WordPress

Es importante restringir el acceso a tu área de administración de WordPress sólo a las personas que realmente necesitan tener acceso a ella. Si tu sitio no es compatible con la creación de registro o front-end de contenido, los usuarios no deben ser capaces de acceder a tu carpeta /wp-admin/ o el archivo wp-login.php.

Lo mejor que puedes hacer es establecer tu dirección IP de origen (se puede utilizar un sitio como whatismyip.com para eso) y añadir estas líneas al archivo .htaccess en la carpeta de administración de WordPress reemplazando xx.xxx.xxx.xxx con tu IP dirección.

En caso de que desees permitir el acceso desde múltiples ordenadores (como tu oficina, el ordenador de tu casa, ordenador portátil, etc…), sólo tiene que añadir otra instrucción “Allow” xx.xxx.xxx.xxx en una nueva línea.

Tutorial de seguridad para WordPress

Si quierse ser capaz de acceder a tu área de administración desde cualquier dirección IP (por ejemplo, si a menudo dependen de las redes Wi-Fi gratuitas) la restricción de tu área de administración a una sola dirección IP o direcciones IP determinadas puede ser un inconveniente. En tales casos recomiendo que se limite el número de intentos de inicio de sesión incorrectos al sitio. De esta manera se protege tu sitio de WordPress de los ataques de fuerza bruta y las personas que tratan de adivinar tu contraseña. Para tales fines, se puede utilizar un pequeño plugin llamado “limit login attempts

No utilices el nombre de usuario “admin”

La mayor parte de los atacantes asumirán que tu nombre de usuario admin es “admin”. Puedes bloquear fácilmente una gran cantidad de ataques de fuerza bruta y otros ataques simplemente mediante cambiando tu nombre de usuario admin. Si vas a instalar un nuevo sitio de WordPress, te pedirá el nombre de usuario durante el proceso de instalación de WordPress.

Ya sé que este consejo es muy básico pero hay que empezar por cosas sencillas que a veces no son tan evidentes.

Utiliza contraseñas seguras

Te sorprenderá saber que hay miles de personas que utilizan frases como “contraseña” o “123456” para su inicio de sesión de administrador. No es necesario decir, tales contraseñas se pueden adivinar fácilmente y están en la parte superior de la lista de cualquier ataque de diccionario. Un buen consejo es utilizar una frase entera que tenga sentido para ti y puedas recordar fácilmente, también puedes usar números o símbolos intercalados, no uses una sola palabra que se puede encontrar en un diccionario.

Tutorial de seguridad para WordPress

NUNCA uses la misma contraseña para todas tus cuentas, este es un fallo enorme, si alguien consigue tu contraseña en otro sitio web entonces sabrán tu contraseña de todas tus cuentas, un problema enorme. Los expertos dicen que es mucho más seguro escribir tus contraseñas en un papel y guardarlas en tu casa que usar la misma contraseña para todo.

Usa un certificado SSL para proteger a tus visitantes

Esto no afecta directamente a la seguridad de tu web pero si a tus usuarios, si tienes una tienda online por supuesto tu web debe ser https:// (o sea, que la comunicación esté encriptada) para salvaguardar los datos de tus clientes, pero incluso si no vendes nada el certificado SSL también protege todas las comunicaciones y de paso la privacidad de tus visitantes, para mí algo importante.

Muchos hostings ofrecen certificados SSL gratuitos gracias a Let’s Encrypt solo ponte en contacto con tu hosting y lo aplicarán por tí. Después lo tienes que implementar tú en WordPress, algo rápido si usas un plugin como Really Simple SSL.

Asegúrate de que tu  sitio de WordPress está en un hosting seguro

Tu página web de WordPress debería estar segura en tu cuenta de alojamiento. Si alguien puede aprovechar una vulnerabilidad en una antigua versión de PHP, por ejemplo, u otro servicio en tu plataforma de alojamiento, no importa que tengas la última versión de WordPress. Por eso es importante estar hospedado con una empresa de hosting que tiene la seguridad como su principal prioridad. Algunas de las características que debes buscar son:

  • Soporte para las últimas versiones de MySQL y PHP
  • Cuenta aislada
  • Firewall de Aplicaciones Web
  • Sistema de detección de intrusiones

Aunque las empresas de hosting crean backups automáticos (generalmente), es una buena idea guardar una copia en tu ordenador por si acaso, realiza copias frecuentes porque a veces si tu sitio está infectado la mejor solución es hacerlo retornar a un estado anterior cuando no estaba infectado.

Una empresa que me gusta mucho por su seguridad es a2Hosting , además de la aplicación “Server Rewind”, que te permite devolver tu sitio a un estado anterior (dentro de 30 días), la atención al cliente es muy buena pero sólo tiene servicio en inglés. Si quieres un hosting en español de calidad:

Hosting compartido de primera calidad con atención al cliente en español. Ahora con un descuento del 50%.

7.95$ 3.95$

Comprueba que tu equipo está libre de virus y malware

Si tu equipo está infectado con virus o un malware, un hacker puede obtener acceso a tus datos y hacer un inicio de sesión válido a tu sitio sin pasar por todas las medidas descritas anteriormente. Es por esto que es muy importante tener un programa antivirus actualizado y mantener la seguridad de todos los equipos que utilizas para acceder a tu página web de WordPress a un alto nivel.

Puedes ver un análisis de antivirus aquí y ver como se comparan.

Vamos a resumir un poco

Al final muchos de estos consejos son aplicables en la red en general, usa un nombre de usuario que no se “admin”, elige una contraseña segura, mantén actualizado el software

Otros son más específicos para WordPress, como usar un certidicado SSL, elegir un hosting que te garantice la seguridad… el listado de direcciones IP que pueden acceder a tu WordPress es una medida muy buena pero tiene las limitaciones de que si usas muchas redes wifi diferentes.

Espero que te haya gustado este tutorial de seguridad para WordPress, si sabes otras formas sencillas de proteger tu sitio web compártelas con nosotros.

Saludos!

We will be happy to hear your thoughts

Deja un comentario

Your SEO optimized title page contents
ComprarHosting