12 consejos para reforzar la seguridad en WordPress

Cuando trabajamos con código libre en plataformas como WordPress debemos de tomar en cuenta muchos factores y consejos de seguridad. Recordemos que pesar de tener un buen servicio de hosting debemos de mejorar la seguridad de nuestro blog ya que son blancos fáciles de piratas cibernéticos.

A pesar de que existen muchos plugins para reforzar la seguridad en WordPress, no es buena idea hacer muchas instalaciones de plugins sobre todo si no conocemos muy bien las fuentes de procedencia de igual manera como pasa con los themes que usamos.

12 tips para mejorar la seguridad de un blog de WordPress

consejos para reforzar seguridad en WordPress

#1 Hosting seguro

Una de las mayores preocupaciones de las empresas de hosting es la seguridad de sus servidores y servicios, así mismo antes de contratar un servicio de alojamiento para nuestro blog debemos de asegurarnos que los servicios no tengan muchas vulnerabilidades.

¿Cómo? Si obviamente no hemos probado el servicio y tenido algún problema, lo que tampoco pasa cada día o semana, es buscar información en sitios especializados en analizar servicios de hosting o foros en Internet.

#2 Trabajar en un ambiente seguro

De nada sirve tener un servicio de hosting seguro con un ordenador infectado. Algo que debes de tomar muy en cuenta a la hora de trabajar o acceder a tu sitio en WordPress es revisar el ordenador que usas y asegurarte de que esté limpio, sin virus, malware, troyanos o keyloggers.

Una opción extrema es limitar el acceso al panel de WordPress a la IP del dispositivo desde donde se trabaja, de modo que incluso no permita acceder a la administración desde otro ordenador y ni poder llegar a editar los ficheros o el theme desde el panel de WordPress. Esto impedirá que alguien acceda desde otros equipos posiblemente infectados.

#3 Actualizaciones

Las actualizaciones en WordPress son vitales, tanto para plugins como para los themes que usemos, esto debe ser parte de los protocolos habituales de seguridad del blog.

Cada nueva actualización de la versión de WordPress incluye a veces soluciones para bugs que van descubriendo la amplia comunidad de desarrolladores, muchas veces en actualizar está la diferencia entre sufrir o no un ataque.

#4 Contraseñas seguras

Uno de los principales blancos para entrar a nuestra cuenta o panel de administración de WordPress es a través de la cuenta por defecto de administrador donde tratarán de conseguir la contraseña, sobre todo si es muy débil.

Crear una contraseña segura es parte primordial de la seguridad de tu blog y uno de los errores más graves de todas las personas es usar fechas o información personas en las contraseñas como fechas de cumpleaños, iniciales de nombres o apellidos, etc.

Una buena opción es usar algunos servicios y herramientas gratuitas para crear y almacenar contraseñas seguras para tu blog.

#5 Usar certificados de seguridad SSL

Si quieres reforzar la seguridad de tu blog en tu página de acceso de administración lo recomendado sería usar certificados SSL los cuales tienes un costo extra según el servicio donde lo contrates.

También algunos proveedores de hosting como Banahosting ofrecen ese servicio gratuito mediante la organización sin fines de lucro Let’s Encrypt, lo mejor de todo es que cualquier novato puede hacerlo siguiendo unos sencillos pasos desde el CPanel.

#6 Evitar usar “admin” como usuario

La cuenta “admin” es creada o sugerida por defecto al instalar WordPress obteniendo todos los privilegios de administración, siguiendo esta lógica los hackers tratan de atacar a este usuario en sus ataques masivos y lamentablemente muchas veces aciertan.

Lo recomendable es crear otro usuario diferente con todos los privilegios y eliminar el “admin”.

#7 Proteger cuenta de usuario

Como mencioné anteriormente, la cuenta de usuario, generalmente de administrador, en nuestro blog debe permanecer segura. Cualquier usuario o Blogger con conocimientos básicos del funcionamiento de WordPress puede explorar tu código fuente y detectar cual es el usuario del blog.

Si eres únicamente el propietario del blog por lógica sabrán que tienes los privilegios de administrador por lo tanto es importante esconder la ruta del usuario de tu blog. Este plugin es perfecto para proteger y reforzar tu cuenta de usuario.

#8 Limitar intentos de Login

Limitar los intentos por entrar a tu panel de administración del blog es una de las principales formas de proteger tu cuenta, nada mejor que hacerlo usando este plugin: Limit Login Attempts.

#9 Deshabilitar edición de los archivos

¿Sabías que se puede bloquear los permisos de edición de los ficheros o themes desde el panel de administración del blog?Por lo general acostumbramos entrar a nuestro panel y realizar cambios desde nuestra administración, pero a la vez esto puede ser un problema de seguridad por lo debemos remover esta opción pegando el siguiente código en el archivo de configuración de tu blog:

define( ‘DISALLOW_FILE_EDIT’, true );

#10 Realizar respaldos de la base de datos y archivos

Por seguridad es siempre importante hacer con frecuencia respaldos de tu blog hecho en WordPress así como cualquier otra plataforma que nos permite respaldar nuestros ficheros. Existen plugins que programan los respaldos automáticos en servicios como Dropbox, Google Drive y similares. También se pueden hacer manualmente accediendo al CPanel o mediante FTP. Para mayor seguridad es mejor combinar varios métodos, por si acaso.

Importante tomar en cuenta que algunos métodos solo respaldan la base de datos por lo que los archivos será necesario respaldarlos aparte.

# 11 Usar plugins de seguridad

Existen muchos plugins de seguridad con decenas de funciones diferentes, en un anterior artículo hablábamos de Hide My WP, pero existen cientos, ingresando la búsqueda “seguridad” en el repositorio oficial de plugins de WordPress se pueden encontrar muchas opciones.

Tampoco es buena idea saturar WordPress con demasiados plugins, lo ideal es seleccionar aquellos que incluyan funciones que sea difícil realizar de forma manual.

# 12 Usar CloudFlare

La versión gratuita de este servicio incluye protección contra ataques DDoS los cuales son muy comunes hoy en día. Además, ofrecen otros beneficios como un certificado SSL gratuito que mejora la seguridad y su CDN que disminuye el consumo de recursos del servidor y mejora la velocidad de carga.

Deja un comentario