Seguridad en WordPress

wordpress ideas para la web

¿Qué tan buena es la seguridad en WordPress y como mejorarla?

Si estás buscando crear un sitio seguro, elegir WordPress como tu plataforma es una excelente forma de comenzar. No es solo una plataforma flexible, poderosa para construir sitios web, también es notablemente seguro desde el inicio. 

Eso es porque a los desarrolladores de WordPress les importa la seguridad y están dedicados a “endurecer” el núcleo de la plataforma tanto como sea posible. Además, frecuentemente lanzan actualizaciones enfocadas en seguridad y parches, los cuales serán descargados automáticamente e instalados en tu sitio. Esto quiere decir que tu sitio estará bien equipado para tratar con cualquier nueva amenaza que aparezca. 

Por supuesto, ninguna plataforma puede ser 100% segura. Los hackers son duros en el trabajo intentando encontrar una manera de entrar en incluso los sitios mejor protegidos. Y ya que WordPress impulsa más del 30% de la web, es bastante popular para ser un objetivo constante.

Algunos tips para proteger WordPress

1.Utiliza una contraseña fuerte: Es fundamental que seas consciente de que cuanto más fácil de recordar (para ti) sea una contraseña, también será más fácil que los sistemas automáticos de acceso por fuerza bruta de los atacantes la consigan.

WordPress, en sus últimas versiones, incorpora un generador de contraseñas seguras y te «sugiere» utilizarlas. Ésta será siempre la mejor opción. Puedes, no obstante, saltarte esa recomendación y poner una contraseña sencilla, e insegura, pero estarías cometiendo el principal y más importante error de seguridad de todos los posibles.

2.Usa siempre la ultima versión de WordPress: Si hay algo peligroso es trabajar en red con software obsoleto o no suficientemente actualizado. Los hackers suelen atacar principalmente sitios con versiones antiguas, no actualizadas, pues suelen ser más vulnerables al no incorporar la suficiente protección a tipos de ataque conocidos.

Afortunadamente, WordPress ofrece un sistema de actualizaciones automáticas, tanto para el mismo núcleo de WordPress como para plugins y temas.

3.Borra los plugins y temas que no utilices: En línea con la acción anterior, es un peligro tener instalados plugins y temas inactivos, por la sencilla razón de que les prestaremos menos atención al no estar activos. No solo ocupan espacio en tu alojamiento sino que suponen una vía de entrada a posibles vulnerabilidades en tu web.

4.Haz copias de seguridad: Si hay una regla fija en la seguridad es que da igual las medidas que apliques, siempre habrá alguna vulnerabilidad nueva para la que no estemos protegidos, siempre iremos un paso por detrás de los ataques malintencionados. Así que, en caso de desastre, lo único que nos puede salvar de una eventual pérdida de todo nuestro contenido es disponer de copias de seguridad.

5.Limita los intentos de acceso: La mayoría de los actuales ataques contra sitios WordPress se realizan mediante intentos masivos de acceso a través de la pantalla de login, así que es imprescindible proteger el acceso interno a tu WordPress.

Para ello, podemos aplicar distintas medidas de seguridad:

  1. Inhabilitar el registro de usuarios, evitando de este modo que usuarios con malas intenciones aprovechen posibles vulnerabilidades para obtener permisos extra en tu instalación y la posibilidad de realizar cambios en la misma.
  2. Añade un sistema de comprobación humana como reCaptcha, que evita accesos indeseados de máquinas automatizadas que intenten obtener acceso a tu sitio.
  3. Instala algún plugin para evitar intentos de acceso masivos como Limit login attempts, el módulo Protect de JetPack o las utilidades de este tipo de la mayoría de los plugins de seguridad, para que bloqueen este tipo de ataques.

6.Instala un plugin de seguridad: Muchas de las medidas de protección que podemos aplicar a nuestra instalación de WordPress vienen incluidas en plugins especializados en asegurar WordPress.

La mayoría de ellos contienen ajustes para evitar ataques de fuerza bruta, inyecciones de código y modificaciones de archivos de sistema, incluyendo sistemas de aviso para que estés informado de cualquier posible ataque en curso.

Los más recomendables son los siguientes:

  • WordFence
  • iThemes Security
  • Bulletproof

7.Protejete del spam: Una de las tareas habituales de cualquier administrador de un gestor de contenidos, como WordPress, es controlar el spam en los comentarios. Primero, porque es fuente de distracciones y enlaces no deseados en los formularios de comentarios. Y segundo, porque algunos hackers utilizan estos formularios para inyectar código que podría comprometer la seguridad de tu instalación de WordPress.

Para ello podemos, y debemos, aplicar diferentes estrategias:

  • Añadir un sistema de comprobación humana Captcha mediante plugins Really Simple CAPTCHA o el anteriormente comentado WangGuard.
  • Activa un plugin de comprobación de spam como Akismet.
  • Proteger los formularios de la inyección de caracteres especiales.

Espero que te sirvan todos estos trucos y acciones para proteger WordPress. No son todos los que existen pero sí los más importantes.

Enable Notifications OK No thanks