Cuando vas a crear una web en WordPress solemos prestar atención a la usabilidad, al diseño o si tal plugin que has visto navegando encajaría en tu proyecto. Eso esta muy bien pero ¿y la seguridad de tu WordPress? ¿Te has parado a pensar lo necesario que es?
Imagínate por un momento que te levantas una mañana, enciendes tu ordenador y ves que tu trabajo de tantas horas se ha ido al garete por haber permitido que entrara en tu sistema un “simpático hacker”. En ese momento te tiembla el cuerpo, vas a buscar la última copia de seguridad en WordPress y ves que no la tienes hecha.
No pasa nada, te sientas, respiras y piensas la típica frase que de ánimo: No es para tanto, más se perdió en cuba o todo tiene solución menos la muerte… pero en ese momento estás hundido.
Pero bueno, todo pasa. A veces tiene solución el ataque en la web y otra es irreversible. Para evitar esto hay que seguir unas reglas de seguridad en WordPress.
INDICE DEL CONTENIDO DEL POST
- 1 ¿Es WordPress Seguro?
- 2 12 + 5 medidas seguridad para WordPress
- 2.1 1. Plantillas y plugins
- 2.2 2. Actualizaciones
- 2.3 3. Usuario
- 2.4 4. Contraseña
- 2.5 5. Correo electrónico:
- 2.6 6. Contraseñas de tu panel de control de tu servidor
- 2.7 7. Certificados de seguridad
- 2.8 8. Privacidad
- 2.9 9. El Plugin Security Scanner
- 2.10 10. Sucuri security
- 2.11 11. Sistema Captcha
- 2.12 12. Disqus
- 2.13 13. Protección frente a comentarios Spam
- 2.14 14. Copia de seguridad en WordPress
- 2.15 15. Plugin de seguridad frente a ataques y malwares
- 2.16 16. Escoge un hosting de calidad para evitar problema de seguridad
- 2.17 17. Instala un antivirus en tu instalación de WordPress
- 3 Conclusión
¿Es WordPress Seguro?
Sí, claro que lo es pero si tenemos en cuenta su popularidad, las ganas de atacar y buscar sus vulnerabilidades es constante.
Si preguntas a profesionales que llevan tiempo en este mundo si WordPress es seguro, la mayoría te dirá que sí lo es pero que como cualquier proyecto tienes que protegerse porque nadie esta libre de verse afectado por un ataque por falta de seguridad y más cuando es tan famoso.
Todo el mundo te dirá que la primera vía de protección es el hosting es por eso que debes prestar atención y elegir bien.
Yo uso Webempresa y te digo que es seguro en exceso, pero ellos siempre han dicho que es primordial serlo, es por eso una de las razones por las que confiar en ellos.
A partir de ahí hay que llevar un seguridad adicional y eres tú el que tienes que encargarte de hacer todo lo posible para que tu web no esté desprotegida y sea lo más segura posible.
Sigue los consejos y no te lo tomes estas reglas de seguridad a la ligera porque luego puede ser tarde y ya he oído algunos casos de hackeo web y en ocasiones pueden tirar a la basura todo el trabajo Seo de años, imagina las pérdidas económicas que puedes llegar a tener.
Entonces, ¿Llevando a la práctica tus consejos evitaré que me ataquen, me entre spam o malwares?
La respuesta es no. La protección nunca y para nadie es 100% segura aún estando en el 2.020
Te digo que no porque si algún pirata del caribe quiere entrar en tu WordPress puede llegar a hacerlo, ningún sistema es 100% seguro y todo CMS es vulnerable y más si es tan popular como WordPress.
Lo que si te garantizo es que en un altísimo porcentaje si aplicas seguridad a tu WordPress será muy difícil que te hagan daño y podrás proteger tu web y dormir tranquil@
Si tomas medidas de seguridad en WordPress, será muy difícil que tu web sea atacada.
Necesitas saber como manejar WordPress al 100%:
12 + 5 medidas seguridad para WordPress
Ademas de la casi obligatoriedad de tener una copia de seguridad WordPress, un plugin como antispam y un programa de seguridad web, hay otros factores de protección que debes tener en cuenta para optimizar este CMS.
Por eso debes seguir este checklist de seguridad en WordPress para proteger tu web al máximo.
Aunque tomes estas 12 + 5 medidas adicionales, es fundamental que tu web esté alojada en un buen hosting como explico en el punto 16
1. Plantillas y plugins
No instales plantillas gratis sin un renombre ni plugins desconocidos.Mucho cuidado con lo que hay en la red. Te aconsejo que mires el número de descargas que tiene cada theme que veas. Esto te puede ayudar a comprobar su fiabilidad.
Ten en cuenta que cada vez que instalas un plugin en tu WordPress estas insertando código escrito por un tercero.Esta persona probablemente no tenga tanta exactitud en examinar su código como el equipo de make WordPress.
La licencia GPL es otro punto del que te puedes fiar al 100%. Existen plugins y plantillas piratas que podrían darte algún que otro disgusto.
Descárgate los temas o plugins desde las páginas web oficiales o como te he dicho de sitios que ofrezcan seguridad.
Las posibilidades de que un plugin sea malo para tu web son escasas pero siempre es bueno saber que plugin estás instalando. Para no equivocarte aquí tienes unas lista con los mejores plugins para wordpress.
Yo utilizo la plantilla la mejor plantilla y el mejor page builder en la actualidad, échale un vistazo:
- Generate Press: Mejor plantilla para WordPress
- Elementor page builder: El mejor editor constructor builder en la actualidad.
2. Actualizaciones
Debes actualizar WordPress a la última versión. Haz siempre una copia de seguridad antesTienes que tener WordPress siempre actualizado. La mayoría de los ataques llegan porque no has actualizado la plantilla o los plugins desde hacer algún tiempo.
Esto es esencial. Cada vez que veas un mensajito en rojo en tu WordPress debes actualizar.
Ojo: Espera dos o tres días antes de hacer la actualización. A efectos de evitar ciertos problemas es mejor esperar un poco por si surgen incompatibilidades o pequeños errores en la actualización y así evitar que estos afecten a tu web
3. Usuario
Cambia el nombre de admin que WordPress pone por defecto al usuario nada más instalar WordPress por primera vez,.
Date cuenta que la palabra admin va a ser lo primero que una personao robot va intentar para acceder a tu CMS a través de la contraseña.
Igualmente olvídate de palabras como administrador o admin123 o algo por el estilo.
Para cambiar el nombre es tan simple como acceder en el panel de WordPress a Usuarios>todos los usuarios. Edítalo y cambia el nombre escogiendo en la opción «mostrar nombre publicamente» el nuevo creado
4. Contraseña
Cambia el nombre de tu contraseña cada cierto tiempo no esta de más. Hazlo cada 4 o 5 meses al menos.
No uses solo letras, utiliza también caracteres especiales y numéricos.
Una buena contraseña es algo asi: 7bFuYtjGi*T/@a
5. Correo electrónico:
Intenta no usar el mismo correo electrónico para todo.
Imagínate que con ese correo pueden acceder a tu correo, twitter, Facebook… Nunca se sabe…
6. Contraseñas de tu panel de control de tu servidor
Te debes proteger, no le des tus contraseñas del panel de control o de tu WordPress a nadie.
Si un programador necesita entrar para arreglarte algo, añade en tu WordPress un nuevo usuario y dale acceso temporal.
En el caso que quieras facilitarle el acceso accediendo con las tuyas, cambia de nuevo las claves una vez haya terminado.
7. Certificados de seguridad
Asegúrate de que tu alojamiento (hosting) tiene activado los certificados de seguridad SSL.
Estos certificados son necesarios si en tu web hay una pasarela de pago, formularios, accesos y otros donde la necesidad de proteger datos es fundamental.
Los certificados SSL están orientados sobre todo al ecommerce donde es más que necesario realizar la encriptación de datos pero en cualquier web que tenga registros es necesario también.
Este certificado permite migrar tu web de http a https y el proceso es muy fácil.
8. Privacidad
Usar un plugin como Wp Limit login Attempts te dará mayor seguridad ya que cuando se producen 3 intentos fallidos bloquea el acceso a quien intenta entrar en tu web.
Igualmente otro plugin como Wps hide login cambia la ruta por defecto tudominio.com/wp-admin dotando de mayor seguridad a tu WordPress.
También puedes bloquear el acceso al panel de control a todos los países que queramos.
¿qué sentido tiene que países como Ucrania, China o Rusia accedan a tu web? Lo recomendable bloquear el acceso a todos estos países y dejar activo sólo el país desde el que accedemos a nuestro WordPress
No vas a bloquear el acceso a tu blog si no al panel de administración de WordPress. Para ello, te recomiendo utilizar el plugin Admin Block Country
9. El Plugin Security Scanner
Security scanner te ayuda a detector vulnarebilidades de tus plugins instalados.
10. Sucuri security
Es un plugin localizador de malwares y una herramienta para reforzar la seguridad.
11. Sistema Captcha
El sistema captcha es la barrera principal antispam. Esta barrera es como la puerta principal y un plugin como akismet sería la segunda puerta.
El sistema captcha es un sistema para detectar que la persona que esta accediendo a nuestra web mediante sus datos no es un robot. Para ello te pide que insertes manualmente un número o elijas una serie de imágenes.
En algunos sectores no creo que sea acertado. Debes de pensar en la seguridad si, pero también en el usuario.
12. Disqus
Disqus sustituye al original sistema de comentarios de WordPress por defecto.
Opino al igual que el sistema captcha, solo usarlo si es necesario.
Para determinados sectores no puedes pedir a alguien que rellene campos por todo porque en muchas ocasiones se irá.
En un uso medio de los sistemas de seguridad creo que esta el acierto.
13. Protección frente a comentarios Spam
Cuando creas un blog y este va teniendo visibilidad y visitas a través de los comentarios te suele entrar siempre Spam.
Para evitarlo es tan simple que tienes que tener configurado el anti-spam.
Cuando instalas WordPress, por defecto incluye el plugin Akismet. Este no es malo ya que filtra por seguridad en una carpeta spam aquellos comentarios fraudulentos.
El plugin Anti-spam va más allá al detectar que los comentarios son robots y ni siquiera permite la entrada de estos en WordPress, directamente los bloquea.
Cómo tener una home que convierte en solo 6 pasos
Con esta sencilla checklist tendrás una página de inicio optimizada para generar más conversiones (más suscripciones y ventas)
14. Copia de seguridad en WordPress
A pesar que hay servidores que hacen copias de seguridad de tu web (algunos la hacen incluso cada 4 horas como Webmpresa), te recomiendo instalar un plugin de seguridad web. No tiene que pasar nada y no hace falta pero es mejor curarse en salud y hacer copias de seguridad de WordPress por lo menos una vez al mes.
Es mejor curarte en salud, hacer copias de seguridad de tu WordPress cuando quieras y tener acceso a ellas es una buena forma de estar tranauilo. Si encima tu servidor también las tiene guardadas , pues mejor que mejor.
Si tengo que elegir un plugin seguro para WordPress me quedo con el programa para copias de seguridad Duplicator. Se trata de un programa para hacer backup rápido, sencillo y fiable. En un par de clics tienes tu copia descargada.
Duplicator es un plugin que también te servirá para clonar tu sitio Web de forma sencilla.
Otro gran plugin para hacer copias de seguridad es All in one Migration.
15. Plugin de seguridad frente a ataques y malwares
Tu web no está segura si no usas un plugin de seguridad. Este se debe usar desde el principio.
Se que no quieres instalar otro más a la lista pero en algunos casos es obligatorio. Más abajo te explico cuando.
Pero ¿Por qué me van a intentar fastidiarme si soy más bueno que el pan?
Porque no todo el mundo tiene buenas intenciones y da igual que seas un santo.
Debes preocuparte imprescindiblemente por la seguridad de tu blog porque te pueden pasar estas cosas:
- Se pueden dar intentos de login o ataques masivos.
- Pueden querer crear redes de bolnet en tu web usando la potencia para ataques mayores.
- Pueden entra en tu servidor para enviar spam desde el.
- Pueden acceder a tu administrador e inyectarte multitud de malwares.
- Programas automáticos (bots).
- Puédes sufrir ataques por fuerza bruta o de diccionario para averiguar tu contraseña
En definitiva, personas que quieren hacer daño por pura competencia, rencor profesional, simplemente maldad o porque no hay una persona detrás y el ataque lo está haciendo un robot que si nota una vulnerabilidad en tu web te puede tocar sufrir las consecuencias.
El uso de la fuerza bruta esta automatizado y las combinaciones de palabras que usan los programas son infinitos.
Hay que defenderse y hacer todo lo posible por tener la máxima seguridad.
16. Escoge un hosting de calidad para evitar problema de seguridad
El primero que tiene que garantizarte seguridad es tu proveedor de hosting. Si este no lo hace, tienes que instalar irremediablemente plugins de seguridad.
Optar por un hosting barato como 1and1 no solo te puede provocar caídas de servidor, lentitud en la velocidad de carga o una mala atención técnica. Lo peor es que tu web se vea afectada por sus sistemas de seguridad.
Ya comente en otro post la fiabilidad de los hostings baratos. En él te decía que si tienen precios tan económicos es porque por algún lado tienen que flojear uno de los factores puedes ser que ofrecen menos funcionalidades y uno de ello puede ser la falta de seguridad en los cms.
Sus sistemas protección suelen ser un punto principal donde flaquean.
Webempresa es para mí como sabes la mejor empresa de hosting. Con un soporte en español, cuenta con un sistema anihackeos por lo que no necesitas instalar ningún plugin de seguridad.
La mayoría de los ataques se producen desde países de habla no hispana y webempresa tiene bloqueado el acceso a la administración desde estos países.
Lee el artículo sobre las opiniones sobre Webempresa de otros usuarios.
17. Instala un antivirus en tu instalación de WordPress
Podría decirte que instalando el plugin Wordfence o Ithemes security pero lo cierto es que si ya cuentas con un buen hosting y sigues los pasos que vas a ver en este checklist es más que suficiente para tener una buena seguridad en WordPress.
El motivo de no usarlos es que consumen demasiados recueros. Por eso te recomiendo que si instales el plugin BBQ block bad queries, es ligero y protegerá las carpetas de WordPress ya que es un firewall seguro.
Conclusión
No creo que haya que obsesionarse con la seguridad de la web pero si tomar medidas para dormir tranquilo sabiendo que nuestra web está protegida.
Es necesario tener unos mínimos de seguridad y se puede conseguir siguiendo el checklist que muestro en el artículo de forma sencilla y rápida.
Tienes que pesar que una web es tu proyecto, tu negocio y en muchas ocasiones tu medio de vida. Hay que cuidarla y evitar hackeos a toda costa.
¿Tomas medidas de seguridad? ¿Has tenido algún problema? Déjame un comentario y evitemos que nuestras webs sean atacadas.
