fbpx

🔐 Guía completa sobre Seguridad para WordPress

proteger-wordpress-2020

Hoy en día, una página web en WordPress puede ser el medio de generación de ingresos de un negocio digital millonario.

Quizás aún no hayas llegado a esas cifras, pero a nadie le gustaría sufrir algún tipo de hackeo en su sitio online. Independientemente de su volumen de facturación u objetivo a lograr con el mismo.

En esta completa guía sobre seguridad para Wordpress aprenderás las mejores técnicas y herramientas para mantener tu blog o ecommerce lejos de las garras de los ciberdelincuentes.

¿Te interesa? Pues allá vamos 👇

 

Contents

¿Cómo proteger mi página web en WordPress?

Antes de comenzar con esta guía, me gustaría realizar una pequeña aclaración introductoria.

Cualquier dato que se encuentra en la red siempre está sujeto a cierto riesgo de ser sustraído.  Y en el caso de WordPress, no iba a ser menos. Es absolutamente imposible garantizar un 100% de seguridad.  Ni para wordpress ni para cualquier otro CMS como Prestashop,Magento o Shopify.

Consejos básicos de ciberseguridad

A pesar de ello, mediante una serie de buenas prácticas puedes reducir este riesgo hasta prácticamente 0. Presta atención a las siguientes recomendaciones sobre ciberseguridad general. Por supuesto, tienen influencia en la seguridad de tu página web.

Vigila tus conductas primero

    • Ojo con el Wifi Asegúrate de que tu router incorpora seguridad WPA-2 y que has cambiado la contraseña que venía por defecto. Fuera de tu casa ten claro que las conexiones wifi  «gratis» no suelen serlo. Son autopistas  de virus hacia tu ordenador☠️.
    • Navegación a través de proxis Es realmente loable querer proteger tu anonimato en la red. Pero, mediante el uso de muchos proxys de navegación «gratuitos», estarás dándole toda la información de tu tráfico a otra persona. Mucho cuidado⚠️.
    • Usa contraseñas seguras – Es un mensaje típico de telediario. Pero realmente es increíble la cantidad de gente que aún utiliza «1234» como contraseña de wordpress 😱. Incorpora mayúsculas y minúsculas, algún número y un carácter especial. Si tienes problemas para recordarlas usa un gestor de contraseñas o anótalas  en otro sitio visible.  Utiliza una clave única para cada servicio. 
    • La seguridad general de tu ordenador también importa – Mantén tu sistema operativo y navegador actualizados a las últimas versiones disponibles. Así como tu Firewall. Windows lo incorpora por defecto y permite  realizar un completo escáner de malware. Recuerda que un ordenador infectado puede registrar tus datos de acceso a wordpress y a cualquier otra herramienta que utilices.
    • ¿Quién accede a tu ordenador? – Si compartes un ordenador con otra gente, genera cuentas de usuario para cada persona y limita qué acciones o a qué carpetas tienen acceso.
    • Considera trabajar desde un escritorio virtual – Es la forma de garantizar la mayor independencia entre tu ordenador y todos los datos del servidor a los que accedes a través de internet. Incluida tu página, claro.

 

proteger-wordpress-2020

Acciones a llevar a cabo para aumentar la seguridad en tu WordPress

Una vez puedas afirmar con total seguridad que a través de tu ordenador no se infiltrará ningún virus que ataque a tu web, vayamos con acciones técnicas para este CMS. Lo que has venido a buscar.

Implementa estas estrategias en tu WordPress

    • Mantén actualizado todo a la última versión –  Cada vez que encuentres una notificación de actualización de tu wordpress o de cualquier tema y plugin que tengas instalado, actualiza. De inmediato. Muchas veces lo dejamos pasar y le abrimos ligeramente la puerta de nuestro sitio a hackers. Puedes realizar actualizaciones de forma automática, aunque recuerda realizar una copia de seguridad antes.
    • Cuidado con los Plugins – Suponen el mayor peligro para wordpress. Instálalos únicamente desde el sitio oficial wordpress o sitios web de desarrolladores de confianza y limita el número de ellos a los que únicamente uses. También reducirás así el peso de tu página web. Esto también aplica a temas de wordpress. Nada de «temas de pago wordpress gratuitos» en Google 🙏.
    • Cambia el nombre de usuario Admin Es el que viene por defecto y supone una gran pista para detectar incautos principiantes. Utiliza tu nombre o tu apodo y una contraseña robusta para acceder a tu WordPress. Para ello crea un nuevo usuario en tu escritorio wordpress [con privilegios de administrador] y elimina el antiguo usuario «Admin». Cambia el autor de  cualquier entrada que pudiese estar asignada a admin.
    • Reduce los intentos fallidos de acceso  La forma más empleada para acceder a wordpress es probando miles de combinaciones de tu nombre de usuario y contraseña. Limita el número de intentos por IP y eliminarás este riesgo. Posteriormente te hablo de algún plugin con el que puedes hacerlo.
    • Integra Captcha para tus formularios web – Aunque suponga cierta molestia para tus lectores, te asegurarás de filtrar la enorme cantidad de SPAM que suele llegar a través de esta vía. También puedes implementarlo en el login de tu usuario wordpress. Este plugin te ayudará con esta tarea.
    • Vigila de cerca los usuarios de tu web Si cuentas con editores para tu web o usuarios registrados en la misma, vigila qué privilegios y funcionalidades tienen a su disposición.
    • Elige un buen Hosting Realmente, todos los datos realtivos a tu web se encuentran almacenados en un servidor de otra empresa. El hosting. Aseguráte que contratas uno de confianza y con amplia experiencia en el sector. Lo barato puede salirte realmente caro.

 

Mejor plugin de seguridad para WordPress

Muchas de las estrategias de las que te he hablado en este artículo pueden ser llevadas a cabo de forma automática por este maravilloso plugin. Haciendo clic en el nombre del mismo accederás al repositorio wordpress desde donde descargarlo de forma totalmente segura.

Que de eso va este post,¿no?

mejor-plugin-seguridad-wordpress

 

Cerber Security, Anti-spam & Malware Scan

Sí, el objetivo es intimidar a los hackers de la misma manera  que lo haría este perro contigo si te lo encontrases  en la calle.

Se trata de un plugin dedicado al análisis de la seguridad de tu página web. Cuenta con un modelo de monetización freemium. Es decir, ofrece muchas funcionalidades gratis y algunas otras de pago, que puedes adquirir si contratas la versión PRO.

Una vez instalado, aparecerá en tu escritorio lateral una nueva fila con el nombre de WP Cerber. Las secciones donde integra todas las opciones de configuración son varias. Desde allí podrás modificar cualquier parámetro y llevar a cabo el análisis de seguridad.

 

 ESCRITORIO 

Desde aquí podrás llevar a cabo diversas acciones, desde ver informes detallados de URL bloqueadas ,añadir de forma manual IP para que sean bloqueadas hasta limitar el tiempo de caducidad que un usuario puede permanecer en tu página.En la sección de ajustes podrás configurar todos los parámetros del plugin.

 

escritorio-plugin-wp-cerber

TRAFFIC INSPECTOR

El Inspector de Tráfico nos permite ver todos los accesos que se están produciendo a nuestra página web en directo. Así como los bloqueos. Se pueden ver los acceso y bloqueos en directo en unLive Traffic.

No lo recomendamos para gente principiante, puesto que consume muchos recursos del hosting lo que se puede traducir en una carga de web más lenta o incluso alcanzar el límite máximo contratado y que se caiga el servidor.

 ANTISPAM

Incorpora la funcionalidad de introducir captcha en formularios y acceso a tu wordpress sin necesidad de plugins extra.

HERRAMIENTAS 

Este apartado trata todo lo relativo al plugin. Te permitirá exportar o importar su configuración para instalarla directamente en otros wordpress. O poder comprar la licencia de la versión PRO.

 

Acciones  de seguridad avanzada para WordPress

A pesar de que con toda la información que ya has podido leer hasta ahora debería ser suficiente, existen usuarios nivel avanzado que quieren llevar a otro nivel la seguridad de su sitio.

Esta es una de las recopilación con técnicas de seguridad wordpress para expertos.

Muchas de ellas pueden generar errores de código que afecten la visibilidad de tu web. Realiza una copia de seguridad de cada archivo que vayas a modificar. Si algo sale mal, simplemente vuelve a la copia anterior.

 

 1. Modificación de la URL de login por defecto en WordPress

Fijate bien. Cuando quieres acceder a tu wordpress, lo haces a través de alguna de estas dos URL:  http://tudominio.es/wp-admin o http://tudominio.es/wp-login.php

Es la forma que tiene WordPress,por defecto, de gestionar los accesos a su CMS.

Mediante el plugin WPS Hide Login podrás poner más difícil a los ciberdelincuentes encontrar el punto de acceso a tu web.

 

2. Cambio del prefijo de las tablas de bases de datos

La base de datos es es lugar de almacenamiento de todos los datos de instalación y archivos de tu página web WordPress. Puedes acceder a ellos a través de tu cPanel o hosting.

La mayoría de carpetas que las contiene cuentan con el prefijo: «wp_». Cambiarlo será otra forma de evitar que hackers encuentren tus bases de datos de forma aleatoria.

Este plugin te ayudará a cambiar el nombre de todas ellas de forma automática.

 

3.Bloqueo por user-agent

Otra de las opciones de las que dispones para aumentar tu seguridad wordpress es realizar acciones de bloqueo a determinados user-agents.

Utiliza los siguientes códigos para bloquear el acceso a tu web de determinados robots. Deberás hacerlo a través de fichero .htaccess

 RewriteEngine On RewriteCond %{HTTP_USER_AGENT} ^.*(Baiduspider|HTTrack|Yandex).*$ [NC] RewriteRule .* - [F,L] SetEnvIfNoCase user-Agent ^Baiduspider [NC,OR] SetEnvIfNoCase user-Agent ^Yandex [NC,OR] SetEnvIfNoCase user-Agent ^[Ww]eb[Bb]andit [NC,OR] SetEnvIfNoCase user-Agent ^HTTrack [NC]  <limit GET POST>  Order Allow,Deny  Allow from all  Deny from env=bad_bot  </limit>

Como ves, algunos de ellos están orientados al bloqueo de robots de rastreo chinos o rusos como Yandex O Baiduspider. De nuevo, no olvides realizar una copia de seguridad antes de cada acción.

 

 4. Control al administrador de tu página con el wp-config.php

Es posible que hayas dejado a cargo de la gestión de tu página web a una persona externa. Esta deberá gozar de todos los permisos de administrador WordPress y tiene el potencial de destruir absolutamente por completo tu página.

Puedes curarte en salud accediendo a tu cPanel y añadiendo esta línea de código que te dejo a continuación en el fichero wp-config.php:

 define(‘DISALLOW_FILE_EDIT’, true);

Con ello podrás evitar que el administrador borre cualquier archivo de tu base de datos. Dicen que es mejor prevenir que curar, ¿no?

 

Aquí finaliza nuestra guía de seguridad WorPress 2020.

He intentado aportar opciones para todo tipo de usuarios. Mi recomendación personal es que no intentes implementar ninguna de las estrategias avanzadas si no dispones del conocimiento suficiente. Es muy fácil que te equivoques y borres archivos críticos de tu sitio.

Piensa que con el simple hecho de dificultar un poco la entrada , estarás disuadiendo de forma potente a muchos hackers que optarán por otras webs más inseguras

Para cualquier duda, nos leemos en los comentarios😊

 

 

RELACIONADOS
Artículos relacionados

¿En qué podemos ayudarte?

CONTACTO
¡No pierdas el tiempo!