Seleccionar página

Cómo hacer tu WordPress más seguro

Hola a todos!!
En este post quiero dejar algunas recomendaciones o pautas para fortalecer la seguridad de vuestra Web o Blog en el caso que utilicéis la plataforma WordPress, aunque recordad que el riesgo 0 no existe.
Se estima que el 30% de todas las Webs del mundo están hechas en WordPress, esto hace que sea un objetivo para la ciberdelincuencia. Las consecuencias de estos ataques se pueden traducir en el funcionamiento anómalo de la Web con la consiguiente mala imagen y pérdida de credibilidad de tu marca. Además, en caso de ataque es posible que tu proveedor de hosting bloquee la Web para evitar perjudicar al resto de clientes del alojamiento.

Cómo hacer tu WordPress más seguro

1.- ACTUALIZACIONES

Mantener nuestra plataforma WordPress y plugins instalados actualizados a la última versión es fundamental para no dejar agujeros de seguridad por donde puedan entrar “los malos”. No olvides actualizar cada vez que veas el aviso de actualizaciones pendientes de realizar en el Backend del escritorio de WordPress.

2.- PLUGINS

Cunado necesites un plugin y quieras instalarlo en tu WordPress utiliza SIEMPRE los repositorios oficiales. Antes de instalar el plugin es muy recomendable analizar las reseñas de los usuarios, y frecuencias de actualizaciones realizadas por el desarrollador, de esa manera sabes la reacción del desarrollador ante cualquier vulnerabilidad detectada.

3.- PLUGINS Y TEMAS PREINSTALADOS

No olvides revisar periódicamene los plugins y temas preinstalados en la plataforma WordPress. Si alguno de ellos tiene pendientes actualizaciones no dudes en aplicarlas. En el caso de plugins que dejes de utilizar es recomendable desinstalarlos o mantenerlos actualizados. Si detectas que un plugin o un tema no recibe actualizaciones por parte del desarrollador desinstálalo para evitar agujeros de seguridad.

WP_Seguridad_Actualizaciones

Actualiza WordPress

4.- CUENTAS DE USUARIO

Tu WordPress cuenta con al menos una cuenta de usuario con rol de Administrador. En este tipo de cuentas de usuario has de evitar que tengan nombres genéricos (admin, administrador,…) además de asignarle una contraseña robusta que cuente con mayúsculas, minúsculas, números y carácteres especiales. Existen en la red varias herramientas para generar este tipo de constraseñas, yo utilizo el servicio de LastPass.

En el caso que quieras eliminar la cuenta de administrador, en primer lugar crear un nuevo perfil con permisos de administrador y después eliminar la cuenta o perfil vulnerable.

Si das de alta cuentas de usuario con otros roles (autores, editores,..) otórgales solo los permisos necesarios para las tareas que van a realizar. Si  en algún momento necesitan permisos especiales, autorízalos temporalmente y no olvides eliminar estas cuentas de usuario si no van a ser usadas más.

5.- DOBLE FACTOR DE AUTENTICACIÓN

Esta medida nos dará una capa de protección extra a nuestra cuenta de acceso a WordPress. Mediante la instalación de un plugin (del respositorio oficial y con buenas reseñas de usuarios) podremos configurar el doble factor de autenticación de nuestra cuenta.

6.- INTENTOS DE INICIO DE SESIÓN LIMITADOS

Por defecto WordPress no nos pemite limitar los intentos de inicio de sesión. Esta capa de seguridad la podemos establecer mediante la instalación de un plugin. Con esta medida nos protegeremos de los ataques a nuestra web utilizando la Fuerza Bruta, es decir, en los que se prueban multiples combinaciones de usuario y contraseña hasta que se vulnera la cuenta.

WP_Seguridad_SSL

Certificado de seguridad SSL

7.- RESTRINGIR ACCESOS POR IP

Con esta medida se pretende crear listas blancas de direcciones IP que pueden acceder al backend de tu WordPress. Para implantar esta medida lo haremos a través de la instalación de un plugin.

8.- COPIAS DE SEGURIDAD

Esta es una medida fundamental en toda web, ya no solo desde un punto de vista de la seguridad, sino para poder disponer de la web y toda su información en el caso de otras circunstancias como, incendios, negligencia de un usuario, problemas en el servidor, etc. Debemos establecer un protocolo de copias de seguridad que nos garantice disponer de la web actualizada en caso de algún imprevisto.

Como criterios a tener en cuenta a la hora de establecer el protocolo de copias de seguridad destaco, la automatización de las copias, guardar las copias en varios soportes y al menos una copia fuera del servidor donde está alojada la web y asegurarnos que sabemos restaurar la copia en el caso de necesitarlo.

9.- CERTIFICADO SSL

El certificado SSL te permite utilizar el protocolo HTTPS con el que garantizas la seguridad de las trasancciones de información. Si alojas tu web en un proveedor de hosting será este quien te proporcione el certificado SSL. En el caso de alojar la web en un servidor propio deberás ser tú quien instale el certificado.

En resumen, el hecho de tener una web en WordPress suponer hacerle un mantenimiento tanto a nivel de contenido como a nivel de seguridad. En Linkus te ofrecemos un servicio de mantenimiento anual de tu WordPress con el que tendremos su plataforma al día para evitar los problemas de seguridad ocasionados por la desactualización del tema, plugin, etc. De esta manera tu web estará protegida ante ataques externos con lo que te ganarás la confianza de tus clientes.