Guía para principiantes sobre la seguridad de los sitios web de WordPress

Todos sabemos que WordPress es la plataforma de blogs más popular del mundo. Hay millones de usuarios que trabajan con el CMS a diario. Y debido a su popularidad, hay innumerables temas, plugins y servicios fantásticos que complementan cada sitio. Pero ser popular no siempre es algo bueno.

Con todas las ventajas, también hay desventajas que vienen con el modelo de código abierto de WordPress. Los hackers están más interesados en la plataforma, ya que mucha gente la utiliza. Así que, cada paso en falso que des, te estarán vigilando.

Sí, esto puede sonar un poco aterrador, y debería. Muchas personas no respetan lo suficiente a los hackers, y muchas descuidan a sabiendas la seguridad de sus blogs; hasta que es demasiado tarde y lo único que pueden hacer es gritar pidiendo ayuda. Para que no te conviertas en otra víctima de Internet, quédate con nosotros en este artículo, ya que estamos a punto de mostrarte las cosas más importantes que puedes y debes hacer por tu blog. Incluso si eres un principiante, hay mucho que puedes hacer para mejorar la seguridad de tu blog de WordPress recién creado.

Mantén actualizaciones periódicas

Uno de los primeros pasos para mejorar la seguridad del sitio es el mantenimiento regular de WordPress. Con tantas novedades en la tecnología, es normal que las actualizaciones se produzcan a una velocidad tremenda. Pero tienes que adaptarte, ya que actualizar los archivos del núcleo de WordPress, los plugins y los temas no es tan difícil y puede salvar tu sitio de los malos.

Si echas un vistazo a estadísticas oficiales de WordPresste darás cuenta de que hay demasiada gente que sigue llevando su blog con las versiones antiguas de WordPress. En raras ocasiones, esto está justificado, pero lo más frecuente es que tengas que actualizar tu sitio a la versión más reciente.

Lo mismo ocurre con los distintos temas y plugins de WordPress, que también necesitan actualizaciones periódicas. Ya hemos hablado de por qué son importantes las actualizaciones y de cómo instalarlas directamente desde tu panel de control.

Elige cuidadosamente los nombres de usuario

Aunque pueda parecer normal que un administrador se conecte con el nombre de usuario "admin", se trata de un grave problema de seguridad. Como muchos usuarios no cambian el nombre de usuario por defecto, los hackers pueden adivinarlo fácilmente. Dejándolo como está, es como si dieras la llave a medias para un intruso.

Al instalar WordPress, utiliza tu nombre, apodo o cualquier otra cosa que quieras en lugar de "admin". Si ya tienes un sitio con un nombre de usuario "admin", todavía puedes hacer el cambio. Una opción es crear un nuevo usuario con privilegios de administrador y luego eliminar el que está por defecto (las publicaciones asignadas al antiguo nombre de usuario se asignarán automáticamente a un nuevo usuario), o puedes utilizar la opción Cambiador de nombre de usuario que hará que todo sea aún más fácil.

Usa contraseñas seguras

Las contraseñas fuertes constan de más de una docena de caracteres diferentes que incluyen letras, números y otros caracteres especiales. Por desgracia, en lugar de tener una contraseña fuerte como "jTh6F9%aO("mucha gente sigue utilizando contraseñas inseguras como sus nombres, fechas de nacimiento o combinaciones simples que son fáciles de adivinar ("1234" es una contraseña terrible, y sin embargo mucha gente la utiliza).

Antes de que sea demasiado tarde, te sugerimos que cambies tu contraseña por una fuerte y que todos los usuarios de tu blog hagan lo mismo. Incluso puedes utilizar Forzar contraseñas fuertes si quieres forzar contraseñas seguras a todos tus usuarios.

Haz una copia de seguridad de tu sitio regularmente

Las copias de seguridad regulares son más importantes de lo que muchos principiantes creen. La mayoría de ellos creen que sus sitios no son lo suficientemente valiosos para un hacker o que ya han hecho todo lo posible para mantener el sitio seguro. Pero cuando ocurra algo malo, querrás tener una copia de seguridad reciente de tu blog. En ese caso, aunque todo se borre, se pierda o simplemente pierdas el acceso a él, siempre podrás restaurar una copia de seguridad completa de tu sitio web y continuar con el trabajo sin muchas complicaciones.

Utiliza conexiones seguras

SSL (Secure Socket Layer) es una tecnología que permite la transferencia segura de datos entre los navegadores de los usuarios y los servidores. Al usar SSL, los piratas informáticos tendrán menos posibilidades de irrumpir y hacerse con los datos sensibles (como nombres de usuario, contraseñas y números de tarjetas de crédito) de las conexiones.

Aunque pueda parecer demasiado técnico en este momento, puedes tener tu SSL en un abrir y cerrar de ojos. Muchas empresas de alojamiento ofrecen hoy en día certificados SSL gratuitos, y también puedes pedir a tu empresa de alojamiento más información al respecto. También puedes comprar certificados independientes que luego puedes instalar en tu sitio.

Escanea todos los archivos en busca de vulnerabilidades

Al instalar varios plugins y temas de Internet, estás arriesgando todo el sitio. Si el elemento que intentas añadir contiene malware, puedes perder el sitio en manos de un hacker o comprometer la seguridad de todos los que lo utilizan. Esto puede ser un problema incluso si eres el único administrador. Pero imagina el riesgo al que sometes a tu sitio cuando hay decenas de usuarios que pueden añadir temas, plugins y otros archivos.

Para asegurarte de que estás a salvo, te sugerimos que utilices un Seguridad Ninja plugin. Con sólo pulsar un botón, el plugin escaneará todo el sitio en busca de agujeros de seguridad, vulnerabilidades y malware. A continuación, Security Ninja te aconsejará cómo solucionar los problemas de tu sitio.

Limitar el número de intentos de acceso

Cuando intentan acceder a tu sitio, los hackers suelen utilizar ataques de fuerza bruta. Utilizando bots y varios scripts, intentarán continuamente adivinar tu combinación de nombre de usuario y contraseña. Para detenerlos antes de que sea demasiado tarde, puedes limitar fácilmente el número de intentos de acceso. En ese caso, cada usuario tendrá tres, cinco o diez intentos para iniciar sesión en tu sitio. Si no lo consigue, ese usuario será bloqueado durante un periodo de tiempo determinado.

Utiliza la autentificación en dos pasos

Si te das cuenta de que hay demasiados intentos de inicio de sesión, puedes hacer que todo sea más seguro utilizando un proceso de autentificación en dos pasos. A diferencia de los inicios de sesión normales, la autentificación en dos pasos añade otra capa de seguridad al añadir otra contraseña que el usuario genera en un dispositivo de terceros. Por ejemplo, después de rellenar tu nombre de usuario y contraseña predeterminados de WordPress, el plugin para la autentificación en dos pasos enviará otro código a tu smartphone. Normalmente, este código sólo es válido durante unos minutos y sólo funciona con tu combinación de nombre de usuario y contraseña.

Debido a la capa de seguridad adicional, tu inicio de sesión es prácticamente impenetrable. El único inconveniente de la autentificación en dos pasos es que el proceso de inicio de sesión es un poco más complicado.

Cambiar el prefijo de la tabla de la base de datos

Al instalar WordPress, puedes introducir un prefijo personalizado para las tablas de la base de datos que utiliza la plataforma. Por motivos de seguridad, es importante que tengas un prefijo único para que los hackers no puedan acceder fácilmente a ellas. Dado que las instalaciones por defecto de WordPress utilizan el mismo prefijo "wp_" y los mismos nombres de tabla, los hackers no tienen ni que adivinar dónde se almacena toda la información.

Pero en caso de que no hayas introducido un prefijo personalizado al instalar WordPress, puedes hacer los cambios ahora mismo. Hay varias formas de hacerlo manualmente, pero como esta es la guía para principiantes, nos limitaremos a indicarte el plugin gratuito que lo hará todo por ti. Todo lo que tienes que hacer es instalar Cambiar el prefijo de la tabla y elige otro prefijo. Puedes eliminar el plugin después de una modificación exitosa.

Ocultar la página de inicio de sesión

Por defecto, todos los sitios de WordPress tienen la misma URL de inicio de sesión. Basta con añadir /wp-login o /wp-admin al final de cualquier dominio para acceder a la página de inicio de sesión en la que puedes empezar a adivinar las credenciales. Así que, para evitar que los aspirantes a hackers accedan a tu página de inicio de sesión, puedes ocultarla.

Los usuarios más avanzados pueden cambiar el enlace desde los archivos de WordPress directamente, pero para los principiantes, sugerimos utilizar un sencillo y gratuito WPS Hide Login plugin.

Recibe notificaciones sobre problemas de seguridad

No puedes estar en tu sitio web en todo momento. Pero, por desgracia, los problemas de seguridad y los hackers no se preocupan por eso. Alguien podría intentar robar tu dominio o cambiar los datos de los NameServers para redirigir tus correos electrónicos. Puede haber elegido un malware que haya cambiado tu contenido o Google puede marcar el sitio como inseguro sin que tú lo sepas. A veces, este tipo de problemas son inevitables. Pero aún puedes reaccionar a tiempo si te enteras de ellos.

Cerrar automáticamente la sesión de los usuarios inactivos

Si trabajas desde casa, no importa realmente que permanezcas conectado a tu sitio de WordPress durante mucho tiempo. Pero si te gusta llevar tu blog contigo y acceder al panel de control desde portátiles, tabletas y smartphones en lugares públicos, es fácil olvidarse de cerrar la sesión. Si tiendes a dejar tu dispositivo portátil sin vigilancia, alguien podría acceder fácilmente a tu sitio, cambiar las contraseñas y robarlo todo.

Endurece tu sitio contra los hackers

WordPress recomienda endurecer la postura de seguridad de tu sitio haciendo ciertos cambios en tu sitio WP. Ya hemos hablado de hacer copias de seguridad periódicas y de evitar el acceso a tu sitio web limitando los intentos de inicio de sesión. WordPress recomienda algunos pasos más para endurecer el sitio, como desactivar el editor de archivos, impedir la ejecución de PHP, etc. Hay varios tutoriales en línea que te ayudarán a endurecer manualmente tu sitio, pero es una operación arriesgada. Un solo error en el código puede hacer que tu sitio se caiga. Utilizar un plugin de seguridad como MalCare te permite ejecutar esas funciones con un clic de botón. No hay riesgo de error manual.

Utiliza plugins de seguridad todo en uno

Muchas de las medidas de precaución que hemos mencionado en este artículo forman parte de populares plugins de seguridad. La mayoría de ellos te permiten asegurar tu sitio con sólo unas pocas selecciones y clics. Dependiendo del plugin y de la versión que utilices, puedes incluso obtener algunas ventajas de seguridad adicionales que añadirán otra capa de seguridad a tu sitio. Algunos de los plugins de seguridad más populares son:

Conclusión

La seguridad de un sitio web debe ser algo que siempre debes tener en mente. Ya sea cambiando contraseñas y nombres de usuario o configurando plugins, no deberías descuidar tu blog. Incluso si eres un completo principiante, puedes realizar todos los pasos mencionados en este artículo. Pero esto es sólo el principio. Hay muchas más cosas a tener en cuenta, pero como requieren modificaciones en el código y en los permisos de los archivos, dejaremos esos consejos para otras ocasiones.

Para empezar, es importante que te des cuenta de que la seguridad de un sitio web está en tus manos y que debes esforzarte siempre por hacer que tu blog sea lo más seguro posible.