5 octubre, 2022 Jose Antonio Vila

Como mejorar la seguridad en WordPress: evita ser hackeado

WordPress es, probablemente, el mayor CMS para la creación de páginas web en el mundo. Tal y como decía la semana pasada en el post en el que explicaba, paso a paso, cómo recuperar el acceso y correcto funcionamiento de una página web hecha con WordPress que haya sido hackeada, ser el más popular tiene sus lados negativos. El más preocupante y que nos ocupa hoy está relacionado con su seguridad.
Sí, siempre se trabaja, desde los desarrolladores de WordPress hasta la comunidad que crea temas y plugins, para que la seguridad sea óptima, pero este CMS está siempre expuesto a ser atacado y es banco de pruebas de muchos aspirantes a hacker (el concepto de hacker da para mucho, pero por su popular uso nos quedamos con este único término).

Así que, para poner las cosas lo más complicadas posibles, vamos a ver 8 medidas de seguridad que podemos tener para evitar disgustos con nuestra página web.

1. Instala un certificado de seguridad

La primera es la más simple y la más básica: tienes que tener un certificado de seguridad en tu web. Por si andas algo despistado, el certificado de seguridad o SSL, es el encargado de que a tu web se acceda escribiendo HTTPS y aparezca el icono del candado en la barra de direcciones.
Ahora mismo, creo que todos los hosting tienen un SSL gratuito y suele ser muy sencillo de instalar, si no lo trae ya instalado por defecto. Después, en tu web puedes ayudarte de plugins como Really Simple SSL, que se encarga de hacer que todo el tráfico de tu página pase por el HTTPS en lugar del HTTP.

2. Mantén todo actualizado con sus últimas versiones

El principal agujero de entrada para los hackers a un WordPress es una versión obsoleta. Tanto los plugins, como el propio WordPress o los temas se van actualizando muy frecuentemente; muchas veces para incluir mejoras pero, en la mayoría de casos, para tapar agujeros de seguridad que hay en sus códigos. Es por eso que resulta imprescindible tener todo actualizado a sus últimas versiones: si hay un problema de seguridad conocido, la última versión seguro que se ha encargado de corregirlo.

3. Usa contraseñas seguras

Esto no sirve únicamente para la seguridad de tu WordPress, sino para tu propia seguridad en internet, en cualquier sitio. Acostúmbrate a utilizar una contraseña diferente para cada página web y que sea lo más extraña posible: incluye caracteres extraños (@»$%&*), números y letras mayúsculas y minúsculas. Además, cuanto más larga sea la contraseña, mejor.
Si, puede ser un tostón luego recordar cada contraseña, pero para eso puedes ayudarte del Llavero de Mac, o de aplicaciones de terceros como 1Password.

Otro punto importante sería utilizar nombres poco comunes como nombre de usuario. Por ejemplo, no uses «admin» para todos los WordPress en los que trabajas.

4. Instala un plugin de seguridad

En el post anterior ya hablé de Wordfence y es que me resulta un plugin absolutamente imprescindible. Actúa como firewall, dispone de un explorador para detectar malware y cambios en los ficheros, comprueba si tu sitio tiene vulnerabilidades, te mantiene al tanto de las nuevas versiones disponibles de los plugins que tengas instalados y un largo etcétera, ¡y esto solo en la versión gratuita!
Sí, hay muchos plugins que pueden ayudarte con la seguridad de tu WordPress. Busca el que más te convenza y usa ese. Lo importante es estar protegido.

5. Limita el intento de logins en tu administrador

Una de las maneras que tienen de acceder al administrador de nuestra web es la fuerza bruta. ¿Qué quiere decir? Que ponen bots a intentar loguearse en nuestro administrador de manera infinita, hasta que en una de las veces dan con la combinación de usuario y contraseña.
Por lo general, cuando ocurren estas cosas los propios proveedores de hosting cortan el grifo porque detectan el ataque. Pero nunca está de más limitar esa cantidad de intentos desde el propio WordPress. Plugins como Limit Login Attempts Reloaded son mano de santo.

6. Cambia la url de acceso al wp-admin

Otra cosa muy sencilla de hacer y que puede resultar muy útil para salvarnos de un ataque: cambiar la clásica ruta de misitioweb.com/wp-admin por otra url de nuestra elección. Contra un hacker que sepa lo que se hace no será muy útil, pero para ataques más sencillos es muy eficaz.
Con WPS Hide Login es tan sencillo como instalarlo, irte a Ajustes y elegir la url que más te guste. Fácil, ¿verdad?

7. Haz copias de seguridad regularmente

Este punto no te va a ayudar a salvarte de un ataque, pero si te va a ayudar a solucionarlo de manera rápida si lo has sufrido. El disponer de backups periódicos de tu web hará que, en caso de necesidad, puedas volver a restaurar la página a un punto anterior en el que todo estaba funcionando. Desde ahí, ya podrás tomar medidas para solucionar los problemas de seguridad que puedas tener.
Igual que con tantas otras cosas, el proveedor donde tengas contratado el hosting para tu WordPress debería de ofrecerte este servicio. Raiola, por ejemplo, lo ofrece en todos sus hostings.
En el caso de que no tengas ese servicio contratado, puedes realizarlas de manera automática con UpdraftPlus, que te permite programarlas y conectar con tu cuenta de Google Drive o Dropbox para almacenarlas.

8. No piratees

El 90% de las ocasiones en las que he tenido que recuperar una página WordPress pirateada ha sido porque el anterior desarrollador o el cliente han usado un plugin o un tema descargado de internet de manera ilegal. En internet no hay nada gratis. Todo lo que tienes al alcance sin tener que pagar, de una u otra manera le supone un beneficio a la persona que lo está ofreciendo.
Si un plugin cuesta 50€ y tu lo encuentras por cero euros para descargar, ten claro que de alguna manera la persona que lo ha publicado gratis tiene que sacar beneficio y, en la mayoría de ocasiones, es dejando abierta una puerta de entrada en la página donde se instalará dicho plugin.

Y esto es todo. Son 8 consejos muy sencillo de llevar a cabo, que no supondrán implementarlos más que unos pocos minutos y que pueden salvarte más de lo que piensas.
¿Tienes algún consejo más? Te leemos en los comentarios de este post

Raiola Networks
Tagged: , , ,

Sobre mí

Jose Antonio Vila Desarrollando webs desde hace más de 10 años. Hace mucho que dejé atrás la vida en agencias y me abracé a la vida de freelance.
🖥 Si tienes algún proyecto en mente, contacta conmigo.
📖 Si quieres leer más cosas que escribo, echa un ojo a mi web personal

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *