Los 17 consejos para mejorar la seguridad de tu WordPress

Seguridad en Wordpress para proteger nuestro trabajo diario.

Wordpress se ha convertido en uno de los gestores de contenidos más usados. El tener un amplio espectro de usuarios con diferentes grados de conocimiento puede llevar a descuidar un aspecto esencial como la seguridad y que todo ese trabajo del día a día se pueda ver comprometido por los hackers.

Algunos consejos para mantener nuestro Worpdress seguro son:

1) Modifica el prefijo de la base de datos que por defecto es “wp_” a otro

$table_prefix = 'wp_';
$table_prefix = 'Otro_nombre_';

2) El usuario por defecto siempre es admin pero, a partir de la versión 3 de la plataforma, se puede cambiar desde la misma instalación. Muchos ataques de fuerza bruta prueban entrar usando este usuario. Y si aún quieres más seguridad, puedes planificarte cambiarlo cada cierto tiempo.

3) Vigila los accesos a tu zona de administración, muchos hackers intentan utilizar usuarios estándar para probar el acceso por fuerza bruta. Algunos de los nombres que usan son:

  • admin
  • adm
  • administrator
  • root
  • {login}
  • el nombre del dominio que lo aloja

Las IP de estos bots pueden ser automaticamente baneadas con herramientas como wordfence o bruteprotect.

También puedes dar acceso a este tipo de páginas a unas IP en concreto, ideal si trabajas con una IP estática que no va a cambiar. Otras alternativas son: doble password, comprobación por SMS, autenticación con Google, etc.

4) Si han conseguido entrar, una buena forma de no enseñarles tanta información, así como la posibilidad de obtener más información y modificar el tema desde el panel de control, es deshabilitando el editor por defecto que lleva WordPress en su panel de gestión, incluyendo esta línea en el wp-config.php.

define( 'DISALLOW_FILE_EDIT', true );

5) Cuantos menos ficheros tengas en tu instalación, mejor. Vas a tener menos trabajo de controlar si algo sucede. Si no vas a utilizar los themes que vienen por defecto, los puedes borrar.
Si no deseas que al actualizar la plataforma te vaya actualizando los temas que viene por defecto puedes añadir esta línea en el fichero wp-config.php de tu instalación

//Skip default theme update
define( 'CORE_UPGRADE_SKIP_NEW_BUNDLED', true );

También eliminar algunos archivos por defecto, como el que nos permite la instalación una vez ya realizada, que podemos encontrar en wp-admin/install.php

6) Relacionado con el punto anterior, utiliza el menor número de plugins posibles y elige siempre aquellos que son más reconocidos por la comunidad o de desarrolladores conocidos. Si eliges un tema para tu instalación, busca también aquellos que sean de desarrolladores con prestigio.

7) Elige una empresa de hosting de calidad, porque seguro que tienen en mente la seguridad.

8) La contraseña de acceso al gestor debe ser compleja, idealmente que incluya mayúsculas, números y diversos caracteres de uso poco común, como los guiones.

9) No dejes listar directorios para ver los ficheros que hay en él. Normalmente, las empresas de hosting tienen esta posibilidad desactivada por defecto.

10) En el fichero wp-config.php incorpora secret keys que generarán más protección a la hora de que tus páginas viajen por el navegador.

Si quieres que la API de wordpress te las cree automáticamente, solo debes entrar aquí.

11) Evita enseñar cuál es la versión de tu WordPress, especialmente si no lo tienes actualizado. A cada versión, con el paso de los días, semanas, se le encuentra alguna vulnerabilidad que, gracias a la gran comunidad que hay alrededor de WordPress, se soluciona rápidamente.

Puedes añadir esta línea a functions.php de tu wordpress:

// Disable all version information
function wp_disable_version_info() { return ''; }
add_filter('the_generator', 'wp_disable_version_info');

Actualiza, por supuesto, el WordPress siempre a la última versión. A menudo conlleva mejoras de seguridad a posibles agujeros encontrados.

12) Mantente atento a las novedades respecto a nuevas versiones de WordPress o de plugins, como hace poco se encontró una vulnerabilidad en Yoast.

La lectura de blogs como los de Sucuri te darán información de las últimas vulnerabilidades que se encuentran.

Puedes crearte avisos mensuales o bimensuales para dedicar unos minutos a ver algún tipo de novedades. Lo que parece una pérdida de tiempo inicial, no será nada comparado con lo que perderás si tienes un problema de hackeo en tu website. ¡Más vale prevenir que curar!

13) Utiliza herramientas de profesionales de la seguridad, como las que ofrece Sucuri para proteger tu website creado en WordPress. Disponen, por ejemplo, de un firewall que puede darnos una protección activa, con un coste mensual de 9,99 $

14) La carpeta uploads es la que guarda todos los ficheros que subimos, imágenes, videos. No deberían, por tanto, existir otro tipo de archivos que vayan a poder ejecutarse, como un archivo php, por lo que puedes hacerte un fichero .htaccess con el siguiente contenido en la carpeta uploads: (Añade las extensiones que no estén contempladas pero que vayas a usar, por ejemplo, svg).

# secure uploads directory
<Files ~ ".*\..*">
Order Allow,Deny
Deny from all
</Files>
<FilesMatch "\.(jpg|jpeg|jpe|gif|png|tif|tiff|mov|wmv)$">
Order Deny,Allow
Allow from all
</FilesMatch>

15) Y ya que estás animado con los ficheros, .htaccess crea uno en la carpeta en la que está tu wp-config.php para proteger uno de los ficheros más preciados con permisos de escritura restrictivos.

# SECURE WP-CONFIG.PHP
Order Deny,Allow
Deny from all

16) Puedes crearte una copia de tu website de forma automática, tanto de la base de datos como de los ficheros para que, en caso de problemas, puedas recuperar tu sitio lo más rápido posible, siempre que soluciones cuál es el problema.

Te puedes ayudar de estos plugins:

Backupbuddy permite programar la copia de nuestro website pudiendo utilizar como respaldo diferentes formas como dropbox, Amazon S3, un ftp de nuestra elección, email.

Además, también nos puede ayudar cuando queramos mover nuestro site a otro dominio o pasar de nuestra versión de desarrollo a producción.

Vaultpress, creado por el equipo de WordPress, te permite realizar todo el proceso de backup de forma similar al que nos ofrece Backupbuddy.

Ambos son de pago, pero también dentro de la gran comunidad de WordPress siempre encontramos plugins gratuitios de muchas de las funcionalidades que necesitamos y algo tan básico no podía faltar, una posbile solución es BackupWPUp Free (https://wordpress.org/plugins/backwpup/)

17) Si dispones en tu dominio de un certificado SSL, puedes encriptar la navegación de todo tu website. Algunos plugins que te pueden ayudar:
https://wordpress.org/plugins/wp-force-ssl/
https://wordpress.org/plugins/https-redirection/
https://wordpress.org/plugins/ssl-insecure-content-fixer/

Si solo deseas de la parte de administración para mejorar la seguridad lo puedes hacer fácilmente incluyendo en el wp-config.php esto:

// secure admin over SSL
define('FORCE_SSL_ADMIN', true);

Protege tu trabajo diario, dormirás, infinitamente, mucho mejor.

Artículos recién salidos del horno

Suscríbete a nuestro blog y recibe en tu email nuestras noticias.

Al inscribirte a nuestra newsletter, aceptas la política de privacidad