10 consejos para mejorar la seguridad de tu web de WordPress
En este artículo le explicaremos cómo aumentar la seguridad de tu página de WordPress, con 10 sencillos consejos que pude aplicar en minutos.
WordPress es un CMS seguro, con actualizaciones constantes que tienen como fin solucionar tanto problemas visuales como posibles brechas de seguridad. Con estos 10 consejos queremos ayudarle a hacer de su web de empresa un lugar aún más seguro, dado que en el mundo actual en el que vivimos es un factor fundamental para cualquier empresa que quiera ofrecer sus servicios o comunicarse mediante internet.
Estos tips son como pequeños ladrillos que se ponen encima de un muro, cuanto más completo sea el trabajo en la seguridad más alto será el muro y más complicado será que posibles atacantes se salgan con la suya.
10 consejos para volver tu sitio en WordPress más seguro
- Copias de seguridad frecuentes
- Cambiar el acceso al admin de Wp
- Datos de acceso complejos
- Limitar el número de intentos de inicio de sesión
- Descargar Plugin de Seguridad de sitios reconocidos
- Activar el certificado HTTPs
- Solo usar plugins y temas conocidos
- Mantener todo actualizado
- Tener cuidado con el Spam
- Un servidor con garantías
1. Copias de seguridad frecuentes
En nuestra opinión el punto más importante de toda la lista. En si no es un factor que te ayuda a mejorar la seguridad de tu página web, pero puede ayudarte en el caso de un incidente grave. Muchos proveedores de hosting te ofrecen un sistema de copias de seguridad y de restauración, a parte de esto nosotros te recomendamos tener un archivo de copia de seguridad en local.
Este es un punto que raramente se suele usar, pero si que es verdad que ante cambios importantes en tu web o ante un posible ataque, puede servirte de seguro para poder restaurar la web.
2. Cambiar el acceso del admin
Muchos de los ataques realizados con éxito a páginas de wordpress, tienen como uno de los factores importantes tener el acceso por defecto a la pantalla de registro para acceder al panel de administrador. Por defecto WordPress coloca después de tu dominio la ruta “/wp-admin”, por ejemplo en el caso de la web de local max sería : “https://www.localmax.es/wp-admin”. No cambiarlo facilita a posibles atacantes el acceso a tu web, ya que si las claves de acceso tampoco son complicadas, estarían dentro en un abrir y cerrar de ojos.
Hay muchos plugins de seguridad que te pueden ayudar a cambiar de una manera sencilla este acceso pasando de “https://www.localmax.es/wp-admin” a por ejemplo “https://www.localmax.es/acceso-de-los-cracks-del-seo-local”, lo que dificulta mucho este tipo de ataques. En el punto en el que tratemos de los plugins de seguridad, te recomendaremos 3 que nos gustan especialmente.
3. Datos de acceso complejos
Por defecto viene el usuario “admin” en el acceso a tu wordpress, si no lo cambias le estás dando medio trabajo hecho a tus atacantes los cuales solo tienen que descubrir la contraseña. Entonces como primer paso para hacer los datos de acceso más complejos, es personalizar tu nombre de usuario. Como segundo paso hay que configurar la contraseña, para dificultar el acceso. Contraseñas solo numéricas o solo con letras, son muy fáciles de descifrar por los atacantes, por ello para poder tener una contraseña totalmente segura lo más recomendable es usar números, letras, signos, etc. Os voy a dejar aquí a continuación una herramienta con la que puedes saber de forma sencilla la dificultad de tu contraseña.
4. Limitar el número de intentos de inicio de sesión
Con esto lo que se pretende es bloquear el acceso durante minutos o hasta horas, en el caso de introducir los datos de acceso incorrectos, un número determinado de veces. Con esto limitarás los intentos por parte de los atacantes, dificultando muchísimo el acceso por esta vía a tu sitio web.
Esto se puede configurar de una manera sencilla con plugins como Wordfence, Limit Login Attempts, Login LockDown, etc.
5. Descargar Plugin de Seguridad de sitios conocidos
Un plugin de seguridad es un punto que te puede ayudar mucho a mejorar la seguridad de tu web de una manera sencilla, con el cual puedes conseguir configurar diferentes variables, que te ayudarán a tener una web más segura.
Entre los plugins más reconocidos en relación a la seguridad en wordpress son:
- Wordfence Security
- All In One WP Security & Firewall
- Defender Pro
Estos plugins te permiten usar muchas funcionalidades en relación a la seguridad; el análisis de incio de sesión, firewalls, protección ante ataques de fuerza bruta, análisis de malware, entre muchas otras.
Por recalcar una característica que no tocamos antes, queremos recalcar la importancia del uso de un firewall. Un firewall, es una capa adicional que ofrece protección por delante de nuestra web, mediante la detección de esos ataques.
6. Activar Certificado HTTPs
Este protocolo permite la comunicación segura entre tu servidor y el usuario, evitando los ataques que se producen en los servicios intermedios. Esto consiste en una encriptación de la información de ambos. Los certificados SSL se utilizan para proteger transferencias de datos, transacciones con tarjetas de crédito, inicios de sesión y otra información personal de los usuarios que visitan un sitio web. Además Google está empezando a tener muy en cuenta las páginas que tienen este certificado.
7. Solo usar plugins y temas reconocidos
Esto reside en la importancia de no tener brechas de seguridad en tu página. Plugins o temas no reconocidos, habitualmente no tienen actualizaciones frecuentes, lo que puede suponer una puerta de entrada para los atacantes. Entonces como recomendación antes de instalar un plugin comprueba ciertas cosas:
- Las valoraciones de los usuarios
- La antigüedad y la frecuencia de las actualizaciones
- Analiza a los desarrolladores y si tienen otros trabajos
8. Mantener todo actualizado
Una tarea muy importante a la hora de administrar una página de wordpress, es tener todo actualizado. Tanto el núcleo de WordPress, como los temas y también los plugins. La importancia de esto reside en que muchas de estas actualizaciones, son para mejorar la compatibilidad con WordPress, o para solucionar ciertos problemas de seguridad.
Estas actualizaciones del core de WordPress las puedes hacer tanto de forma manual desde tu panel de administrador de wordpress o de forma automática. Para poder tenerlo configurado para que se actualice automáticamente, debes agregar el siguiente código “define(‘WP_AUTO_UPDATE_CORE’,true);”, en el archivo “wp-config.php”.
Pero no solo es cuestión de tener el WordPress actualizado, también es muy importante tener los temas y plugins, dado que según datos de wpscan.org el 63% de las vulnerabilidades se debe a estos dos bloques, mayoritariamente los plugins.
A continuación os pondré dos líneas de código que harán que tus temas y plugins se actualicen automáticamente, ambas deben incluirse en el archivo functions.php del tema o plugin.
-Tema: “add_filter(‘auto_update_theme’,’_return_true’);”
-Plugin: “add_filter(‘auto_update_plugin’,’_return_true’);
9. Tener cuidado con el Spam
El spam es una manera de los atacantes buscar vulnerabilidades en tu sitio, forzándote a entrar en enlaces maliciosos mandados mediante los formularios de contacto de tu web. Si no tienes cuidado con esto a parte de un posible peligro para tu web, también puede llegar a ser muy molesto. Para ello le recomendamos 3 pasos para reducir tu spam mediante formularios de contacto prácticamente al cero:
- Utiliza campos obligatorios, esto dificultará el envío de formularios por parte de los robots.
- Utiliza un captcha, este puede ser de muchos tipos. Por ejemplo uno que a nosotros nos gusta mucho es incluir una pequeña operación matemática, para verificar si no es un robot quién está rellenando el formulario.
- Utiliza un plugin de Spam como puede ser Akismet. Este plugin filtrará y analizará los remitentes de estos formularios, para saber si pueden ser spam.
10. Un servidor con garantías
El servidor donde tenemos alojada nuestra web, tiene su importancia a la hora de mejorar la seguridad del sitio. Te recomendamos hostings que tengan un panel de control actualizado, compatibilidades con WordPress y un soporte técnico que te ayuda en caso de problemas tanto con el servidor como con WordPress
Para terminar queremos recalcar que no hay nada 100% seguro, pero esperamos que apliques estos consejos para volver tu sitio web aún más seguro y aprueba de la mayoría de ataques. Estos consejos son consejos sencillos, hay otros con una complejidad mayor que también te pueden ayudar a mejorar la seguridad de tu wordpress tocando temas más técnicos, los cuales trataremos en otro texto.
¿Quieres posicionar tu negocio?
Déjanos tu email y el nombre completo de tu negocio, y haremos una rápida auditoría del perfil online de su negocio.
Síguenos en RRSS
Te enterarás de todas las novedades, que pueden ayudar a crecer tu negocio en tu ciudad.