WordPress es el CMS o gestor de contenido web de moda. Es fácil de usar, económico y muy flexible. No es coincidencia que 455 millones de webs en todo el mundo lo utilicen, esto representa el 35% del total de webs a nivel mundial. Además porcentualmente su cuota de mercado avanza año tras año. WordPress nos permite hacer desde páginas web sencillas hasta e-commerce con el famoso Woocommerce.
Sin embargo hoy vamos a hablar de una cara muy importante de WordPress que a menudo es algo olvidada: la seguridad. Su uso tan extenso ha hecho que WordPress sea un blanco frecuente del ataque de los hackers. Piensa que de media cada día se hackean aproximadamente unas 30.000 webs. Por supuesto que nadie quiere que eso le pase a su web pero durante nuestro trabajo como agencia SEO no han sido pocos los proyectos que hemos descubierto con problemas de seguridad asociados a WordPress.
Contenidos
- 1 Consejos de seguridad para WordPress
- 1.1 Haz backups diarios de tu WordPress
- 1.2 Cambia la página de login
- 1.3 Utiliza firewall
- 1.4 Actualiza plugins
- 1.5 Desinstala plugins que no utilices
- 1.6 Limita el número de logins a tu web
- 1.7 Actualiza tu versión de WordPress
- 1.8 Actualiza tu plantilla
- 1.9 Jamás utilices contraseñas inseguras
- 1.10 Elimina usuarios que ya no necesiten acceso
- 2 Plugins de seguridad para WordPress
Consejos de seguridad para WordPress
Por eso vamos a hablar de algunos consejos para mejorar la seguridad de tu WordPress:
Haz backups diarios de tu WordPress
De esta forma te asegurarás que siempre guardas una copia de seguridad y en el peor de los casos de que pierdas información o se destruyan páginas, siempre puedas volver a una versión guardada de tu WordPress. De hecho esto a parte de hacerlo por tema de hackeos, es interesante por si son varias las personas que están editando tu WordPress. Hacer backups es un seguro de vida que nunca sabes cuando lo vas a necesitar.
Cambia la página de login
Para que no sea por defecto la típica de /wp-admin: esto es súper fácil de hacer con algunos plugins. Es que tiene sentido común. Si la entrada para logarte en todos los wordpress siempre es wp-admin, es el sitio donde empiezan los hackers a intentar entrar en tu web. Si lo cambias, te aseguras de esta forma de que si un bot trata de entrar por esta página, nunca lo va a poder hacer porque tu ya tienes otra página de login. Fíjate en onlinezebra.com y trata de ir a nuestro wp-admin 😉
Utiliza firewall
Un firewall o cortafuegos, sirve para cortar el acceso a tu web a usuarios no autorizados. Normalmente siguen unas normas de seguridad y cuando un usuario no las cumple (porque es sospechoso), queda bloqueado. Un firewall bastante conocido a nivel de WordPress es Wordfence, que funciona como plugin con otras funciones adicionales.
Actualiza plugins
Es muy importante que tengas esto en mente, los plugins desactualizados son una potencial entrada de hackeos a tu web. Así que mi recomendación es que siempre tengas actualizados todos los plugins que estás utilizando. Esto te asegurará que no eres víctima de posibles hackeos ante desactualizaciones.
Desinstala plugins que no utilices
Uno de los problemas principales de WordPress es que a veces se convierte en un cementerio de plugins. Es muy fácil instalar plugins, luego no los necesitamos y simplemente los desactivamos. Pues bien, esos plugins que se quedan instalados y sin actualizar, a parte de consumir memoria, también son una vía de entrada ante posibles hackeos.
Limita el número de logins a tu web
Los hackeos suelen tratar de hacer logins con diferentes usuarios y contraseñas hasta que lo consiguen. Si limitas el número de logins, estarás en parte asegurándote de que eres menos vulnerable a un ataque de este tipo. Existe un plugin muy interesante para hacer esto llamado: Limit Login Attempts Reloaded.
Actualiza tu versión de WordPress
Es normal que no te apetezca hacerlo pero normalmente son los WordPress con versiones desactualizadas los que son más propensos a ser víctimas de ataques informáticos.
Actualiza tu plantilla
Tan importante como actualizar tu versión de WordPress, es actualizar la plantilla. Por esto siempre te recomendamos cuando vayas a hacer una nueva web que la plantilla que compras está actualizada y proviene de un desarrollador fiable.
Jamás utilices contraseñas inseguras
Evita a toda costa el tener contraseñas genéricas y añade siempre números, símbolos especiales, mayúscula y minúscula y una extensión mínima de diez caracteres.
Elimina usuarios que ya no necesiten acceso
En WordPress es muy normal dar acceso a colaboradores, editores o programadores para acciones puntuales. Se puede hacer de una forma fácil o flexible. Sin embargo siempre oblígate a revisar el listado de usuarios que tiene acceso a la web para asegurarte que se mantiene al día.
Como habrás podido leer hay una varias tareas que hacer para tratar de evitar hackeos. Para hacer este tipo de tareas de forma más fácil, también te recomiendo plugins que te pueden facilitar mucho el trabajo y ahorrarte problemas.
Plugins de seguridad para WordPress
Te comento algunos plugins de seguridad para WordPress muy interesantes, que te pueden ayudar a llevar a cabo todas estas tareas:
Wordfence
Cuando hablamos de seguridad en temas de WordPress, Wordfence es uno de los primeros plugins que suelen aparecer. Es versátil y muy fiable. Ofrece firewall, bloqueo manual de sesiones, ofrece antivirus (compara los archivos originales del repositorio WordPress con los tuyos), además tiene un motor de escaneo.
Sucuri
Es un plugin gratuito de WordPress que te permite entre otras cosas, realizar las siguientes funciones principales: Auditoría de actividad de seguridad, supervisión de integridad de archivos, exploración remota de malware, listas negras, avisos de seguridad, supervisar blacklist y además un firewall premium. Es decir, otro todo en uno que es muy recomendable.
Ithemes Security Pro
Otro plugin de seguridad que nos ofrece una gran variedad de funciones para proteger nuestro WordPress de posibles ataques externos. En esta página puedes encontrar más información sobre ithemes security pro.
Jetpack
Este plugin permite mejorar la seguridad y velocidad de tu sitio web. Tiene diferentes funciones como copias de seguridad, bloqueos contra ataques, análisis, registros de actividad, posibilidad de clonar o migrar tu web. Es otra gran herramienta con multitud de funciones muy interesantes. En esta web puedes encontrar más información: https://es.wordpress.org/plugins/jetpack/
Google Authenticator
No es un todo en uno, como los anteriores plugins comentados pero realiza una función muy concreta. Permite añadir la autenticación en dos pasos a los usuarios que entran en tu WordPress. En su web tienes más información sobre instalación y funciones.
Consejo final importante sobre plugins
Ante tantos plugins de seguridad es fácil intentar ser lo más seguros e instalar varios que a veces tienen las mismas funciones. Siempre te recomiendo ir a por el plugin que esté más actualizado, que mejores reseñas tenga y sobretodo que mejor se adapte a lo que necesites. A partir de aquí revisa que tiene todas las funciones que necesitas y si existiera alguna función que no tiene, ahí puedes buscar algún plugin complementario.