Seleccionar página

10 pasos sencillos para mejorar la seguridad en WordPress

Para mantener la seguridad en WordPress puedes hacer innumerables cosas, pero hay algunas que son muy sencillas que pueden proteger tu sitio enormemente de los hackers. Te cuento algunas de las más importantes y las que yo suelo usar porque me dan buenos resultados.

1- Mantener tu WordPress, temas y plugins actualizados

Este es el consejo más importante si quieres mantener tu sitio libre de malware. Los hackers principalmente atacan sitios con versiones antiguas. Aunque te parezca elemental el 80% de los sitios no tienen la última actualización de la versión de WordPress así como sus temas y plugins. Algunos plugins se actualizan de forma automática, pero es recomendable revisarlo de forma habitual.

2- Utilizar un plugin de seguridad en WordPress (WordFence)

Estos tipos de plugins te permiten aumentar la seguridad de tu sitio de forma rápida y sencilla. Yo suelo usar WordFence, ya que su versión gratuita es muy completa y efectiva.

WordFence te permite revisar los últimos ficheros modificados, de esta forma puedes identificar las amenazas y solucionar el problema directamente.

También te permite poner un número máximo de intentos y bloquear las IP o los usuarios que se pasen de intentos durante un tiempo determinado. Ten cuidado con esta herramienta, ya que puedes bloquearte el acceso a ti mismo.

3- Coger un hosting con copias de seguridad diarias.

Es muy importante tener copias de seguridad lo más actualizadas posibles, mejor si es diariamente, así en caso de problemas podrás restaurar tu sitio web en pocos clicks. Yo suelo usar Hostinger o Siteground

4- No usar tu nombre de usuario como Alias

Cuando un hacker intenta acceder a tu sitio web, lo primero que hace es probar el usuario Admin y el nombre de usuario que aparece en tus comentarios. Así que siempre que crees un usuario nuevo cambiale el Alias para que cuando publique un comentario este nombre sea distinto al usuario de acceso. Este sencillo consejo de seguridad en WordPress puede ahorrarte muchos dolores de cabeza.

5- Cambiar el prefijo predeterminado de la BBDD.

WordPress crea un prefijo predeterminado para la base de datos _wp es conveniente no utilizarlo, y poner uno personalizado, así los hackers lo tendrán más difícil para modificar tus archivos.

6- No utilices plugins o temas obsoletos

Los plugins abandonados por sus desarrolladores son un foco de vulnerabilidades. Antes de instalar ningún plugin revisa la última actualización y la página del desarrollador y en caso de que esté desactualizado o de la impresión de abandonado busca una alternativa más fiable.

7- SSL para encriptar datos

Es muy recomendable utilizar un certificado SSL para acceder a tu web vía HTTPS ya que de esta forma todos tus datos viajarán de forma encriptada por la red, es decir se envía cifrada al servidor y si alguien intenta robar tus datos o los de tus clientes solo verá una serie de caracteres sin sentido. Bastará con el Certificado Let’s Encrypt que es gratuito en la mayoría de servidores

8- Protege el archivo wp-configde WordPress

El wp-comfig.php es el archivo de configuración de WordPress, el cual contiene información muy sensible sobre tu servidor como el nombre, el usuario, la contraseña y el prefijo de la Base de Datos

Es por eso que es quizas el archivo más importante y por lo tanto el que más necesitamos proteger. Para ellos puedes protegerlo contra escritura cambiando los permisos a 444 o añadir las siguientes reglas al fichero.htaccess

<files wp-config.php>
order allow,deny
deny from all
</files>

9- Protege la carpeta de archivos subidos

Esta es la carpeta de uploads, situada en la ruta tusitio.es/wp-content/uploads en la cual se suben las imágenes y documentos que adjuntas en WordPress, suele ser la carpeta más susceptible de ataques así que lo mejor es protegerla y de esta forma evitar que se adjunten y ejecuten virus o scripts maliciosos desde la misma.

Por defecto WordPress no permite la subida de archivos ejecutables a uploads pero los hackers se las saben todas y es mejor no ponerlos a prueba. Es mejor que definamos expresamente qué extensiones de archivo se podrán subir.

Para ello, añadiremos las siguientes líneas de código al .htaccess.
<Files ~ «.*\..*»>
Order Allow,Deny
Deny from all
</Files>

<FilesMatch "\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|key|zip|rar)$">
Order Deny,Allow
Allow from all
</FilesMatch>