Seguridad

7 Fundamentos para manterner la Seguridad en tu WordPress

03/02/2020

Si has llegado a este post es porque te preocupa la seguridad de tu WordPress, no quieres que ningún hacker encuentre una vulnerabilidad en tu WordPress y pueda atacarlo con los problemas que eso conlleva ¿Te imaginas despertarte un día y descubrir que tu web está en blanco? ¿Qué alguien ha encontrado una puerta de entrada y ha eliminado los ficheros?

Si estás empezando tu negocio online no pienses que eso te va librar porque justamente las webs que están empezando son las que más ataques reciben ya que los hackers saben que una web novata no refuerza tanto la seguridad como la que ya tiene cierta número de visitas y goza de cierta popularidad. Quizá después de esto te estás preguntado ¿Pero es WordPress seguro?

Partiendo de la base de que la seguridad 100% no existe en Internet, WordPress es más seguro que otros CMS. Es cierto que WordPress siempre es el CMS más hackeado pero no porque sea fácil, sino porque es el más instalado. Más del 30% de las webs a nivel mundial están creadas con WordPress.

Pero no te preocupes, la mayoría de páginas hackeadas no seguían ninguno de los fundamentos que te vamos a contar es este artículo. No seguir estos puntos es lo que hace que WordPress sea vulnerable a los ataques de los hackers.

Fundamentos básicos para la Seguridad de tu WordPress

Hosting Seguro

Un hosting que no cumpla con ciertos aspectos relacionados con la seguridad se puede convertir en la principal vulnerabilidad de tu web. Lo ideal es alojar tu WordPress en un hosting que sea realmente seguro sin ser necesidad de usar plugins que puedan ralentizar su rendimiento.

¿Cómo saber si el hosting que estás a punto de contratar es seguro? Es normal que muchos usuarios se fijen más en datos como el espacio en disco o la trasferencia. Los aspectos de seguridad suelen pasar más inadvertidos para los usuarios noveles pero algunos de los aspectos que te pueden ayudar a saber si el hosting que estás apunto de contratar es seguro son:

Copias de seguridad o Backups
No es un elemento de seguridad en sí mismo, no evita que la web pueda ser hackeada, pero nos ayuda a recuperar el sitio web ante un desastre y así evitar la pérdida de de información.

Certificados de seguridad
Un certificado SSL es un protocolo de seguridad que garantiza la transmisión de datos entre un servidor y un usuario, de una manera completamente segura. Al activarlo en tu hosting este certificado encripta, mediante una serie de algoritmos matemáticos, la información a transmitir previniendo así la web de ataques externos.

Fundamentos de Seguridad WordPress: Certificado SSL

Firewall integrado
Un firewall protege el servidor de ataques externos limitando las peticiones y los accesos que pueden resultar sospechosas

En DonWordPress nos tomamos muy en serio la seguridad de tu web, por eso además de los puntos anteriores disponemos de más medidas para evitar y detener ataque maliciosos como es la Red con protección DDoS, los contenedores independientes entre clientes y una continua monitorización.

Contraseñas seguras

Aunque parezca mentira 123456 sigue siendo la contraseña más popular según la lista anual de The Top 100 Worst Passwords of 2019 de SplashData. Después le siguen algunas como: 12345, 123456789, qwerty, password, 1234567, 12345678 o iloveyou.
Increible que aun haya gente que use 123456 como contraseña, por eso en el panel de DonWordPress generamos una contraseña segura cada vez que se crea una nueva instalación de WordPress para iniciar sesión en el administrador de wp-admin .

No pienses que la tuya es más difícil por ser tu fecha de nacimiento o el nombre de tu mascota. Cualquier hacker que te conozca podría llegar a descifrarlo.

Lo mejor es usar contraseñas seguras que contengan una combinación de mayúsculas, minúsculas, números y caracteres especiales como un guión o una arroba.

Si en algún momento necesitas generar contraseñas seguras puedes utilizar un generador online como https://www.clavesegura.org/es/ donde puedes elegir si la contraseña va a contener solo números, letras o una combinación de ambas además de poder seleccionar la longitud de la contraseña.

Uso Actualizado de PHP

PHP es el lenguaje de programación que utiliza WordPress, los temas y los plugins. Muchos usuarios desconocen que el PHP es actualizable y siguen ejecutando su WordPress en versiones antiguas.

La anterior versión de PHP 5 tenía una gran cantidad de vulnerabilidades pero estaban parcheadas en las versiones más recientes. En diciembre de 2018 PHP 5 dejó de recibir soporte de seguridad con la llegada de PHP 7.
Por eso es importante actualizar la versión de PHP del servidor ya que las nuevas versiones solucionan fallos de vulnerabilidad de versiones anteriores mejorando la seguridad.

Pero antes de actualizar al PHP 7 hay que comprobar que tus temas y plugins sean compatibles con esta versión, el core de WordPress no crea ningún conflicto. Para comprobar la compatibilidad de tus plugins puedes instalar el plugin gratuito Health Check & Troubleshooting. Dentro de todas las funcionalidades del plugin puedes comprobar si tus plugins son compatibles con las actualizaciones de cualquier versión de PHP.

Si tienes tu web alojada en DonWordPress puedes saber cómo actualizar tu versión de php desde aquí

Mantener siempre actualizado el núcleo de WordPress, plugins y temas

Una de las formas más frecuentes de ataque a WordPress es a través de vulnerabilidades del core, los plugins y los temas. Por eso es importante que cada vez que accedamos a la administración de WordPress y veamos un aviso de nueva versión disponible de alguno de estos elementos actualizarlo.

Fundamentos de Seguridad WordPress: Actualizaciones WordPress

Las actualizaciones solucionan fallos en las versiones anteriores y solucionan posibles vulnerabilidades. Así que es importante mantener todo actualizado, sobre todo cuando sabemos a través de algunos informes que más del 50% de los ataques se reciben por plugins desactualizados.

Un consejo que te damos es que cuando recibas un aviso de actualización del core de WordPress no actualices de inmediato. Espera tres o cuatro días ya que durante ese tiempo la comunidad de WordPress puede descubrir posibles fallos, pasado esos días actualiza sin problema pero si no estás seguro te recomiendo que guardes una copia de seguridad para tu tranquilidad.

A la hora de actualizar el tema ten especial atención ya que si no usas un tema hijo (Child Theme) es posible que al actualizar pierdas los cambios. Para poder trabajar con un tema hijo y evitar posibles imprevistos te recomiendo que te pases por este artículo en el que hablamos sobre cómo crear un tema hijo en WordPress con plugin o de forma manual.

Cambiar la url de acceso al panel de administración

Por defecto la ruta para acceder al panel de administración es midominio.com/wp-admin. Una ruta que tanto los hackers como los bots o las secuencias de comando conocen por lo que si se cambia se puede añadir un extra de seguridad ante ciertos ataques.

Con el plugin WPS Hide Login es muy sencillo cambiar la ruta de acceso. Un plugin gratuito que cuenta con más de 500,000 instalaciones y que en la fecha en la que estoy escribiendo este artículo se encuentra totalmente actualizado.

Plugin url de acceso

El uso es muy sencillo, tras instalarlo y activarlo en el panel de administración de WordPress nos dirigimos a Ajustes > WPS Hide Login. Al hacer clic sobre esta opción nos llevará a un apartado de las configuraciones generales donde veremos dos campos:

Uno de ellos es para poner la nueva ruta como por ejemplo midominio.com/login.

El otro campo es para redireccionar URL cuando alguien intenta acceder a la página wp-login.php y al directorio wp-admin cuando no está conectado. Lo mejor es dejarlo redireccionando a la página 404

Cambiar el usuario admin

Igual que ocurre con la ruta para acceder al panel de administración, te recomendamos que cambies el usuario “Admin” con el que accedes al panel de administración. “Admin” es el primer usuario que va a probar un hacker que intente acceder a tu web ya que es el que viene por defecto y muchos usuarios no lo cambian tras la instalación.

Para cambiar el usuario lo primero es crear un nuevo usuario con el nombre que quieras y asignarle el rol de administrador. Recuerda asignarle un contraseña segura tal y como hemos visto al principio del artículo.

Fundamentos de Seguridad WordPress: Crear nuevo Usuario

Cierra la sesión y logueate con el nuevo usuario que has creado.

Dirígete a Usuarios y borra el usuario Admin. Antes eliminarlo te preguntará si el contenido relacionado con el usuario a eliminar se debe borrar o asignar a otro diferente, indica que se asigne a tu nuevo usuario.

A partir de ahora ya puedes iniciar sesión utilizando tu nuevo nombre de usuario.

Limita los intentos de acceso fallidos

Los ataques de fuerza bruta son una de las prácticas más comunes utilizadas por los hackers para intentar acceder a un WordPress.

Básicamente se trata de intentar acceder a través de varios intentos con diferentes combinaciones de nombre de usuario y contraseña generalmente con el uso de bots. Puede que el usuario malicioso que intenta acceder te conozca de manera directa o indirecta y le resulte más o menos sencillo o puede que a través de la insistencia y la suerte de con la combinación correcta. Por eso es importante evitar el uso de fechas de nacimiento o datos similares a modo de contraseña. Lo mejor es el uso de contraseñas seguras.

Existen varios plugins en el repositorio de WordPress con los que podemos limitar el número de accesos pero nosotros vamos a hablar de WP Limit Login Attempts, un plugin gratuito y sencillo.

Plugin limite de acceso

La versión gratuita del plugin viene por defecto con una serie de parámetros que solo son editables para la versión premium.

Una vez instalado y activado dirígete a Ajustes > WP Limit Login y accede a la pantalla del plugin desde la que podemos ver esos parámetros de los que hablamos.

Número de intentos de inicio de sesión
Las veces que un usuario puede intentar acceder al panel antes de que se bloquee el acceso.

Tiempo de cierre en minutos
Tiempo de bloqueo tras superar el límite de intentos de acceso.

Número de intentos de captcha
Las veces que un usuario puede intentar introducir el captcha.

Habilitar captcha
Posibilidad de habilitar un captcha.

Conclusión

Tu sitio web es tu negocio y tu fuente de ingresos por lo que es muy importante que tengas en cuenta estas medidas de seguridad desde el principio y así evitar desastres ante un hackeo.

Existen algunas medidas más que se pueden tomar y que veremos en futuros artículos pero las que recopilamos aquí son las más fundamentales y cualquier usuario independientemente de su nivel de conocimiento de WordPress puede aplicar sin problema.

¿Tienes alguna duda sobre estos fundamentos de seguridad WordPress? Recuerda que puedes dejarnos tus dudas o comentarios en el formulario que hay un poco más abajo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


* Campo obligatorio.

Suscríbete y recibe nuestra newsletter GRATUITA con novedades en nuestro Hosting y consejos de WordPress para hacer tu negocio más rápido, más fuerte y más seguro