Tutorial de seguridad para WordPress
Este tutorial abarca los siguientes temas:
WordPress es el sistema de CMS más popular para blogs, lo que hace que sea a su vez el objetivo favorito de los hackers. Tener un sitio WordPress significa que tendrás que hacer un esfuerzo adicional para proteger los datos de tus usuarios. Aquí tienes una lista de las mejore prácticas para mantener tu WordPress seguro, y que te ayudarán en esto. Es importante mencionar que estas medidas no garantizan al 100% la protección ante intentos de hackeo, más que todo porque 100% seguro no existe, pero va a protegerte de la mayoría de los ataques.
Mantener tus sitios WordPress y plugins actualizados
Es muy importante mantener los archivos del núcleo de WordPress y todos sus plugins actualizados a su versión mas actualizadas. La mayoría de los nuevos plugins de WordPress contienen parches de seguridad. Aunque esas vulnerabilidades no son detectables fácilmente, es importante solucionarlas.
Para más información en la materia, dirígete a nuestros tutoriales cómo actualizar tu WordPress y cómo usar las actualizaciones automáticas de WordPress.
Descargar plugins y temas de los repositorios oficiales
Usar plugins descargados de fuentes oficiales es muy importante. Los archivos descargados de sitios no oficiales suelen tener códigos adicionales con puertas traseras que son utilizados por los atacantes para infectar el sitio web.
Proteger el área administrativa de WordPress
Es importante restringir el acceso a tu área administrativa de WordPress a personas que de verdad requieran acceder a ella. Si tu sitio no admite el registro o la creación de contenido front-end, tus visitantes no deberían poder acceder a la carpeta /wp-admin/ ni al archivo wp-login.php. Lo mejor que puedes hacer es comprobar la dirección IP de tu domicilio (puedes usar herramientas como whatismyip.com para ello) y añade las siguientes líneas al archivo .htaccess en la carpeta de tu instalación WordPress, sustituyendo xx.xxx.xxx.xxx por tu dirección IP:
order deny,allow
Deny from all
Allow from xx.xxx.xxx.xxx
En caso de querer permitir acceso a múltiples dispositivos (como tu oficina, domicilio, laptop, etc.) añade otra línea Allow from xx.xxx.xxx.xxx.
Si quieres poder permitir el accesos a tu área administrativa a cualquier dirección IP (por ejemplo, si te conectas frecuentemente desde redes Wi-Fi) restringe tu área administrativa a una sola dirección IP o a unas cuantas podría ser un inconveniente. En estos casos, recomendamos que limites el número de intentos de acceso al sitio. De esta manera vas a proteger tu WordPress de ataques de fuerza bruta donde puedan intentar adivinar tu contraseña. Para ello, puedes usar nuestro plugin Security Optimizer.
No usar “admin” como nombre de usuario
La mayoría de los ataque asumirían que tu usuario será admin. Puedes fácilmente bloquear una gran cantidad de ataques de fuerza bruta usando un nombre diferente. Si estás instalando un sitio WordPress nuevo, se te pedirá que elijas un nombre de usuario durante el proceso de instalación de WordPress. Si ya tienes un sitio WordPress, puedes seguir estas instrucciones de nuestro tutorial de cómo cambiar el nombre de usuario de WordPress.
Usar contraseñas fuertes
Hay miles de personas que usan frases como “contraseña” o “123456” para sus datos de acceso. Por supuesto, tales contraseñas pueden ser adivinadas fácilmente y ellos están al principio de la lista de cualquier ataque de diccionario. Un buen consejo de es usar una frase entera que tenga sentido y que puedas recordar fácilmente. Tales contraseñas, son mejores y más seguras.
Asegúrate que tu dispositivo está libre de virus y malware
Si tu PC está infectado con un virus o malware, un potencial atacante puede lograr acceder a tus datos de ingreso del sitio, saltando las medidas de seguridad que hayas tomado anteriormente. Por esto es tan importante que tener un anti-virus actualizado para mantener la seguridad global del dispositivo desde el que se accede a un WordPress al más alto nivel.