Como sabes, WordPress es el cms número uno en el mundo… razón de más para que prestemos especial atención a la seguridad de nuestra página web.
Mejores prácticas para aumentar la seguridad de tu página WordPress
Te vamos a dar unas cuantas pistas por si hay alguna que se te ha escapado. Síguelas, y tu página (ya sea personal o de empresa) será un poquito más segura.
Mantén tu sitio siempre actualizado
Regla número uno: tu página web debería tener siempre la última versión de WordPress. Hay una comunidad de desarrolladores enorme detrás mejorando el cms en cada versión, y suelen incluir errores y mejoras en muchos puntos, incluyendo la seguridad.
Ten en cuenta que, aunque este cms puede actualizarse de forma automática, es posible que tengas esta opción deshabilitada. Controla esto. Los plugins es importante que también los tengas actualizados por el mismo motivo.
Elimina todo lo que no uses
Si hay temas que no uses, bórralos; igual para plugins que tengas deshabilitados y no pretendas usarlos más. ¿Para qué quieres tener esta basura dentro?
Estos dos elementos son una fuente de vulnerabilidades bastante apetecible para los hackers. Además de incrementar la seguridad, mejoraras la salud del servidor al tener alojados menos archivos (las copias de seguridad se harán más rápido, el mantenimiento será más cómodo… todo ventajas).
Emplea contraseñas seguras
El punto de entrada más claro y fácil de atacar por los piratas… si no usamos una contraseña que sea un fastidio de compleja.
Algunas de las normas básicas que se suelen dar para generar una contraseña fuerte y segura son:
- Que contenga al menos 12 caracteres.
- Que no usemos datos personales, ni nombres, fechas, DNI, o datos que puedan relacionarnos si nos conocen un poco.
- Que utilicemos caracteres «raros» y difíciles tanto de recordar como de escribir: $,@0=# por ejemplo, así como mayúsculas y minúsculas.
Hay muchas herramientas para generar y almacenar claves. Dos que nos gustan mucho son LastPass, y sobre todo, KeePass, un programa gratuito y perfecto.
Contar con una contraseña segura es la mejor forma de evitar ataques por fuerza bruta, los más comunes en Internet.
Tus plugins solo de repositorios oficiales
Puede parecer una obviedad, pero todavía muchos recurren a repositorios «raros» o ficheros descargados por Torrent para sacarle más funcionalidad a su sitio WordPress con los plugins.
Es la peor idea que puedas tener. Está más que comprobado que la mayoría de plugins que bajamos de sitios no oficiales tienen malware. Muchísimo cuidado con esto.
Seguridad en tu backend: cuida el acceso
Otra regla de seguridad básica para cualquier sistema que quieras proteger. Nunca crees un usuario con permisos de administrador con el nombre admin.
Ya sea por vagancia torera de no cambiar el que el sistema pone por defecto, o bien por descuido, cámbialo cuanto antes.
Plugins como Username Changer es perfecto para esto en caso de que lo hayamos creado y por lo que sea, no podamos modificarlo.
No des pistas sobre la versión de tu WordPress
No necesitas que en tu código fuente se pueda saber cuál versión es la que tienes instalada de tu WordPress, porque esto puede dar pistas a los hackers a la hora de perpretar el asalto.
Añadiendo esta línea en tu fichero functions.php lo corregimos:
remove_action('wp_head', 'wp_generator');
Instala plugins de seguridad como Wordfence
Hay muchos plugins oficiales perfectos para controlar accesos y reforzar la seguridad de nuestro sitio. Nuestro preferido es Wordfence, aunque hay otros muy populares como iThemes Security.
Ambos tienen una versión gratuita pero con la funcionalidad suficiente para el usuario medio.
Límite al intento de logins y cambio de la url de acceso
Usando uno de los plugins anteriores, o el fantástico Limit Login Attempts, conseguiremos que los ataques de fuerza bruta se queden en nada, pues dejaremos que los usuarios solo intenten acceder una, dos o las veces que queramos.
Una vez superas este número de intentos, el plugin bloquea nuestra IP imposibilitando volver a intentarlo.
Otra medida muy buena es cambiar el acceso típico al backend que en WordPress puedes llegar en las url:
- www.miweb.com/wp-admin/
- www.miweb.com/wp-login/
Para esto hay plugins excelentes como WPS Hide Login, que nos cambia estas url por la que queramos, pudiendo tener cosas tan «poco esperadas» por los hackers como: www.miweb.com/gestor_web/.
Protege los ficheros de tu instalación de WordPress
De todos los ficheros que hay en WordPress, dos son los preferidos por los hackers a la hora de hacer de las suyas, y ambos se encuentran en la carpeta raíz. Nos referimos al fichero de configuración del cms (wp-config.php) y al .htaccess, que controla aspectos del servidor.
Para tener una instalación más segura es conveniente «blindar» estos archivos. Para ello, añade el siguiente código al final del .htaccess:
<files wp-config.php> order allow, deny deny from all </files> <files .htaccess> order allow, deny deny from all </files>
Con esta serie de medidas tendrás una página web bastante más segura. ¿Se te ocurre alguna más? ¿Pones en práctica otras? ¡Cuéntanos!