¡Buenas people!
Vuelvo con nuevo artículo, y en este caso, un compañero y amigo de profesión viene a hablarte sobre la seguridad en WordPress.
Algo tan necesario e imprescindible, que en ocasiones no le prestamos la suficiente atención y nos toca a posteriori arreglar lo que se haya producido.
Por eso, Manuel Cervilla, profesional del posicionamiento y las redes, viene a tratar este tema tan importante, con una guía super completa.
Dicho esto, te dejo con él.
¡Vamos allá!
La seguridad en wordpress, uno de los principales puntos en todo proyecto web, tanto en los inicios como de cara al futuro.
Seguridad en WordPress, medidas básicas para proteger tu sitio web
Cuando hablamos de seguridad en WordPress, hay muchos factores que es posible corregir o reforzar para evitar que un hackeo o vulnerabilidad afecte a nuestra página web.
Y es que, a lo largo de mi trayectoria como consultor en posicionamiento web, he podido comprobar que demasiado a menudo, se producen intrusiones en el CMS más utilizado del mundo, todo ello, con la finalidad de piratear un site o acceder a los datos allí almacenados.
Por este motivo, conocer cómo podemos minimizar las vulnerabilidades y aumentar la seguridad en WordPress es fundamental para protegernos ante este tipo de acciones maliciosas.
Porqué es importante la seguridad en WordPress
En primer lugar, hay que tener claro que WordPress ofrece un buen sistema de seguridad, pero los hackers aprovechan en gran medida las vulnerabilidades que pueden llegar a dejar sin protección los propios usuarios.
En algunas ocasiones por no saber de qué forma resolver los principales puntos de ataques a una web, y en otras, por no darle importancia a este tema de protección en el entorno digital.
Cualquier sitio web atacado o hackeado corre el riesgo de dejar al descubierto datos importantes, ya sean, personales de los usuarios o de facturación de los clientes.
Todos podemos aplicar medidas de prevención y aumentar la seguridad de nuestra web, para ello, no es necesario ser un gran experto en sistemas informáticos.
Pero eso sí, antes es preciso conocer cuáles son los principales puntos de acceso y vulnerabilidades existentes, así como las acciones que debemos aplicar para proteger nuestro WordPress de los hackers
Principales tipos de vulnerabilidades en el CMS WordPress
A continuación, vas a ver cuáles son los principales tipos de vulnerabilidades de seguridad en WordPress.
Puertas traseras
Este tipo de vulnerabilidad proporciona a los hackers vías de acceso a las webs en WordPress a través de: wp-Admin, FTP, etc.
Como solución a este tipo de acción maliciosa, se recomienda usar la autenticación en dos pasos, la restricción de acceso a Admin o el bloqueo de ciertas direcciones IP.
Intentos de inicio de sesión por fuerza bruta
En este caso, los hackers utilizan secuencias de comandos automatizadas con el objetivo de descifrar una contraseña débil y tener acceso a la web.
Como solución a esta vulnerabilidad, recomiendo usar contraseñas seguras, utilizar la autenticación en dos pasos, limitar los intentos de inicio de sesión, monitorizar los intentos de inicio de sesión no autorizados y bloquear las direcciones IP.
Redireccionamientos maliciosos
Las redirecciones maliciosas generan vías de acceso alternativas en las instalaciones de WordPress e inyectan códigos de redirección en el propio sitio web, habitualmente desde el archivo .htaccess
Para proteger el archivo .htaccess ante accesos no deseados, es necesario modificar las reglas del mismo, te recomiendo que antes de realizar esta acción, hagas una copia de seguridad, con la que poder restaurar la web en caso de que algo vaya mal.
Secuencias de comandos entre sitios
Esta vulnerabilidad en WordPress, se produce cuando se coloca un script malicioso en una aplicación o en un plugin, por ejemplo.
Por lo general, utilizando estas secuencias de comandos entre sitios, se busca obtener datos de cookies o sesiones.
Para proteger un sitio web ante este tipo de acciones, es recomendable:
- No instalar plugins obsoletos o abandonados por sus desarrolladores
- Evitar descargar plugins de sitios poco fiables
- No instalar plugins Premium con licencia crackeada
Actualizar los plugins instalados en WordPress en el momento sea liberada la versión más actual y testada su compatibilidad.
Puntos básicos para mejorar la seguridad en WordPress y proteger tu web
Aplicando estas acciones básicas y de fácil implementación, lograrás mejorar la seguridad en WordPress y tendrás una página web más protegida.
Actualizar siempre a la última versión de WordPress
Para tener una web segura, es muy importante mantener WordPress actualizado a la última versión.
En muchas de las actualizaciones del CMS se incluyen mejoras en seguridad y corrección de errores existentes en versiones anteriores.
Los hackers suelen lanzar sus ataques sobre sitios web con versiones de WordPress no actualizadas, ya que son más vulnerables.
Utilizar nombres de usuarios y contraseñas seguras
Uno de los errores más comunes y que puede facilitar el acceso a una web de forma sencilla, es utilizar nombres de usuario y contraseñas débiles o fáciles de recordar.
Te recomiendo que asignes unas credenciales seguras para acceder a tu sitio web.
No utilices nunca el nombre de usuario “admin” que viene predeterminado y para tu contraseña incorpora símbolos especiales y números junto a letras mayúsculas y minúsculas, y cámbiala cada año como mínimo.
Cambiar la URL de acceso a WordPress
Un alto número de ataques son efectuados mediante bots que identificando y siguiendo unos patrones comunes les permiten atacar las URL´s de login predeterminadas si detectan un CMS.
Para realizar este cambio en WordPress es necesario utilizar un plugin, ya que no es una acción nativa integrada en este CMS.
Te recomiendo usar el plugin gratuito Change wp-admin login
Limitar los intentos de inicio de sesión
Muchos de los ataques contra WordPress son realizados con intentos masivos a través de la pantalla de acceso o login.
Para proteger tu web frente a estas acciones, puedes habilitar un sistema de reCaptcha, evitarás intentos de acceso por parte de bots automatizados.
También puedes instalar un plugin como Limit Login Attempts, para evitar accesos no deseados, continuados y masivos.
Actualizar los plugins y el Theme activo de tu Web
Una de las principales vías de entrada de ataques en todo tipo de webs es a través de los plugins sin actualizar.
Y es que, si hay un punto débil por el que una instalación en WordPress queda expuesta a los hackers, este son los plugins.
Deja un tiempo prudencial entre la liberación de la nueva versión de un plugin o un theme antes de actualizar.
Consulta foros y páginas oficiales para asegurarte de que las nuevas versiones no causan conflictos y entonces actualiza a la última versión disponible.
Eliminar los plugins y temas que no utilices
Otro aspecto al que debes prestar atención es a la eliminación tanto de los plugins como de los temas que no tengas activos.
Los temas y plugins que no se utilizan en un sitio web, pueden ser una vía de entrada para ciberataques.
Revisa los temas no utilizados y elimínalos, por otra parte, revisa de forma regular los plugins no activos y procede también a su eliminación.
Esta acción, en cierta medida, también beneficiará a que la carga de la web sea más rápida, pues eliminar elementos innecesarios u obsoletos, es uno de los puntos que se debe trabajar en la optimización del SEO para WordPress.
Instalar un plugin de seguridad
Si quieres añadir un plus a la seguridad de WordPress en tu web, instala uno de los muchos plugins de seguridad que encontrarás en su repositorio oficial.
Muchas de las acciones recomendadas para proteger una web estarán cubiertas con la correcta configuración de un plugin de estas características.
Conseguirás evitar ataques de fuerza bruta, secuencias de comandos entre sitios, implementaciones de códigos y modificaciones de archivos del sistema.
Entre los plugins de seguridad más conocidos se encuentran:
- Wordfence Security
- SecuPress
- BulletProof Security
- All In One WP Security & Firewall
Utilizar permisos de archivos y carpetas seguros
WordPress, aplica por defecto permisos de lectura y escritura en archivos y carpetas.
La configuración recomendada es: 755 para carpetas y 644 para archivos.
En ocasiones estos permisos pueden ser modificados de forma automática, por algún plugin o por FTP al subir un archivo.
Si alguna de las carpetas o archivos tiene más permisos que los recomendados, estaríamos ante una vulnerabilidad a corregir.
Puedes verificar y modificar los permisos desde el administrador de archivos de cPanel o por FTP.
Proteger WordPress del SPAM
Hoy en día el SPAM es una acción demasiado común en cualquier sitio web.
El SPAM puede llegar por diversas vías dependiendo del tipo de web, por registro de usuarios, por comentarios, y por los formularios de contacto.
Como protección ante esta acción no deseada, te recomiendo apliques alguna de estas 2 medidas; bloqueo mediante listas negras y habilitar Google reCaptcha.
Hacer copias de seguridad en WordPress
Y, por último, una acción necesaria, es realizar copias de seguridad de la base de datos y de los archivos del núcleo de WordPress.
Si disponemos de copias de seguridad recientes, podremos restaurar el contenido del sitio web en caso de necesidad.
Normalmente, desde el hosting, independientemente de que sea un servicio de alojamiento web económico se realizan copias de forma asidua y automática, mediante las que podremos restaurar la web en pocos pasos.
De todos modos, te recomiendo que realices tú también backups cada cierto tiempo, lo puedes hacer de forma manual o mediante plugins, y posteriormente aloja estas copias en la nube, Dropbox, Google Drive, etc.
Conclusión
Cómo has podido comprobar existen muchas acciones que aplicando de forma correcta harán que la protección de una web se vea reforzada.
Tener un sitio web 100 % protegido ante hackers y ataques, no es realmente posible, pero sí podemos complicar el acceso y reforzar la seguridad aplicando acciones básicas y lógicas.
Si conoces alguna otra acción que ayude a aumentar la seguridad en WordPress, puedes dejar un comentario y seguro que entre todos podemos hacer de nuestra web un lugar más seguro.
Consultor SEO y Asesor de Marketing Digital. Ayudando a negocios a conseguir más clientes, a aumentar su visibilidad en Internet e incrementar sus ventas en el medio Online.
