Como todos sabemos WordPress es uno de los CMS más famosos y usados hoy en día, y si bien cuenta con una gran cantidad de beneficios que lo llevaron a tal puesto, también sabemos que la seguridad no es uno de ellos. La seguridad de WordPress nunca ha sido muy buena, es por ello que hoy vamos a hablar sobre cómo mejorarla con el fin de evitar dolores de cabeza.
Antes de comenzar es muy importante recordar hacer un backup de nuestra web antes de llevar a cabo cualquiera de los cambios aquí mencionados. Esto es solo por seguridad ya que cualquier cambio mal implementado nos puede llevar al mal funcionamiento de nuestro sitio, o incluso a dejarlo sin funcionar del todo.
Seguridad de WordPress
Primero que nada vamos a destacar algunos puntos importantes que siempre van de la mano con la seguridad de un sitio:
- Elegir bien nuestro Hosting
El primer paso para aumentar la seguridad en nuestra web es escoger un proveedor de hosting de calidad. No nos servirá de nada tomar todas las medidas aquí listadas, si los servidores no están correctamente asegurados en lo que refiere a la plataforma de Hosting en si.
En Infranetworking nos tomamos la seguridad muy en serio, es por eso que siempre estamos implementando nuevas configuraciones de seguridad a fin de mantener los sitios de nuestros clientes lo más seguros posibles. Además de que si tienes algún problema de seguridad, nuestros técnicos podrán asistirte las 24 horas.
Elegir un proveedor de Hosting responsable y que te ayude siempre es el punto más importante en lo que respecta a la seguridad de WordPress.
- Copias de seguridad
Los respaldos sin duda son una de las cosas más importantes, y si bien no tienen que ver con mejorar la seguridad de WordPress, son una manera de evitar que la falta de ella nos cueste caro.
Incluso antes de llevar a cabo los demás puntos, te recomiendo hacer un backup, los desastres pasan y no siempre pueden ser prevenidos, pero al tener un respaldo del sitio en nuestras manos estaremos tranquilos si sucede algo inesperado. Para hacer respaldos podemos utilizar plugins, contratar un servicio de backups, descargarlos directamente de cPanel, etc.
- Actualizaciones
Siempre le recomendamos a nuestros clientes mantener el software actualizado ya que los CMS son muy vulnerables, y lo mismo aplica a plugins, themes, etc. Mantener el software al día es imprescindible para la seguridad de WordPress.
La mayoría de las veces después de encontrarse vulnerabilidades en un CMS los desarrolladores lanzan actualizaciones o parches, solventando así los problemas encontrados. Si no contamos con ellos estamos exponiendo nuestra web.
- Software original
WordPress ofrece una infinidad de Themes, Plugins y demás, pero hay que tener cuidado. No es recomendable instalar software de lugares desconocidos, incluso si tienes la posibilidad de integrar software premium, ¡hazlo! Sin duda te traerá beneficios para la seguridad de WordPress.
- Nombres de usuarios y contraseñas
Algo que también se debe tener en cuenta con respecto a la seguridad de WordPress son los usuarios, y en este caso no solo me refiero a la calidad de la contraseña, la cual ya sabemos que debe ser bastante alta, sino que también es muy importante no elegir nombres de usuarios sencillos.
Incluso a la hora de elegir un nombre de administrador, WordPress te da la posibilidad de cambiar el tan conocido «admin» por otro de tu agrado. Es por ello que al escoger nuestro administrador, es importante que sea distinto a «admin», «administrador» o «administrator»; e incluso también conviene incluir números en el nombre, a modo de hacerlo un poco mas difícil de adivinar.
- Chequeos periódicos de seguridad
Es recomendable verificar la seguridad de WordPress cada cierto período de tiempo, de hecho hay páginas que te pueden ayudar en ello, así como también software y plugins.
Entre las páginas recomendadas están Virustotal y Quttera, con ellas puedes hacer el análisis online, y Quttera incluso te dice cuáles archivos son potencialmente peligrosos, además de la ruta en la cual se encuentran para que puedas chequearlos por ti mismo.
Y en caso de que tengas la posibilidad de acceder a tu servidor vía SSH, puedes correr maldet en él, y si cuentas con cPanel te recomendamos conseguir la licencia de CXS, es realmente muy útil e incluso tiene un escáner en tiempo real.
- Plugins de seguridad
Para mejorar la seguridad de WordPress es conveniente incluir al menos un plugin que nos ayude en ello, siempre teniendo en cuenta el punto cuatro que habla sobre que sea seguro, esté actualizado y en lo posible venga de una fuente de confianza, de lo contrario no nos serviría de mucho.
Algunos plugins que en Infranetworking recomendamos son WP Security Scan y Wordfence, que serán de mucha ayuda a la hora de mantener tu sitio seguro.
- Proteger la sección wp-admin
Todos sabemos que wp-admin es la sección en la cual se maneja toda nuestra web, es por ello que no está demás protegerla todo lo que nos sea posible. En este caso te recomendamos utilizar .htaccess para poder protegerla con contraseña.
También es muy recomendable agregarle un captcha, que puede ser Captcha on Login, el cual es muy eficiente y nos permitirá de forma sencilla agregar un captcha a la sección login. Además es posible utilizar un plugin que nos ayude a reducir los intentos de login, este puede ser WP Limit Login Attempts o algún otro que conozcas, pero que sea efectivo a la hora de bloquear ataques de fuerza bruta.
- Asegurar nuestro Equipo
A veces no nos damos cuenta, pero incluso teniendo nuestro servidor securizado e incluyendo todos los tips antes mencionados, si nuestra computadora local está infectada entonces nuestro sitio corre peligro.
Es muy importante asegurarnos de que nuestra PC no esté infectada para evitar así vulnerar a través de ella nuestra web. Especialmente si usas Windows, recuerda siempre tener un antivirus y realizar chequeos periódicos. Hay muchos gratuitos como Avast y Avira.
- Prefijo de las tablas
Recordemos que WordPress es muy utilizado, es por ello que todo lo que venga por defecto en él es conocido y cuanto más se conozca sobre la estructura de tu web más vulnerable se vuelve.
Para la seguridad de WordPress es importante modificar detalles como el prefijo de nuestras tablas en la base de datos. Usualmente el prefijo que utilizaremos y el que viene por defecto en nuestra instalación es «wp_», pero para mejorar nuestra seguridad es conveniente que lo modifiquemos.
Podemos utilizar el que más nos guste, incluso combinar letras y números en él y si es posible alargarlo a unos caracteres más, pero siempre recuerda no dejarlo como viene por defecto.
Para llevar esto a cabo tenemos varias opciones, como hacerlo a través de «PhpMyAdmin», al momento de la instalación o mediante plugins. En este último caso te recomendamos utilizar Change DB Prefix, un plugin fácil de utilizar y que cambiará el prefijo en cuestión de segundos.
- Permisos innecesarios
Algo realmente importante y que se usa mucho aunque no se debería son los permisos 777, esto se ve demasiado hoy en día en los servidores y es una prácticamente realmente mala para la seguridad de WordPress.
Si estás usando 777, entonces estás vulnerando tu web, recomendamos sin dudas cambiar estos permisos ya que no son realmente necesarios, en todo caso si en algún punto lo son, siempre se pueden ubicar estos archivos fuera de la zona publica y llamarlos desde allí.
Si el proveedor de hosting dispone de un handler óptimo para la seguridad, como suPHP por ejemplo, entonces no deberías tener ninguna necesidad de usar 777. Con 755 para carpetas y 644 para archivos es suficiente.
Ahora que sabemos cómo mejorar la seguridad de WordPress, es hora de ponernos a ello y dejarlo 100% a prueba de balas. Como vemos hay una gran cantidad de cosas que debemos cambiar si queremos tener un sitio mucho más seguro.
Les sugerimos además que visiten los siguientes artículos de nuestro blog: 7 prácticas preventivas contra el malware y virus en tu web y Cómo comprobar si hay plugins vulnerables en tu WordPress, allí podrán ver algunos consejos adicionales referentes a la seguridad de WordPress.
