Más de 50.000 sitios web reciben ataques cada día. ¿Sabes cómo proteger WordPress?
Mucha gente cree que solo las webs de grandes empresas están en el punto de mira de los hackers.
Es una idea equivocada.
Tanto si eres un gigante de internet como si acabas de empezar, tu web es un caramelo. De hecho, los sitios más vulnerables son los más jóvenes. Por eso, si no quieres ser víctima de ciberatacantes y ver cómo se desvanece tu esfuerzo con un simple clic, necesitas aprender las nociones básicas de protección en WordPress.
Tranquilo, porque los pasos que te recomiendo dar en este artículo podrás realizarlos sin problemas, aunque no tengas un perfil técnico ni tengas conocimientos de ciberseguridad.
¿Te preocupa la seguridad de tu web y de tus datos? Entonces sigue leyendo para descubrir los 15 mejores consejos que puedo darte como sherpa tecnológico para proteger WordPress.
Por qué debes proteger WordPress
Dime una cosa: ¿cuánto tiempo has dedicado hasta ahora a crear tu web, aprender cómo instalar WordPress, saber qué plugins son los mejores, conocer las estrategias más eficaces para ganar visibilidad y mejorar el SEO?
Muchas, ¿verdad?
Ahora dime: ¿cuántas horas has invertido en fortalecer la seguridad de tu web?
No tantas.
Pues como sherpa tecnológico debo decirte que has dado prioridad a acciones que no requieren tanto tu atención.
Piénsalo.
¿De qué te sirve hacer todo eso si tiene brechas de seguridad por todos lados? Yo te respondo: no te sirve de nada, porque en el momento en el que recibas un ataque, todo tu proyecto caerá como un castillo de naipes.
Y no estoy hablando de recibir la visita de hackers profesionales (que también). Más bien me refiero a ataques de este tipo:
- Ataques de fuerza bruta: un ataque de fuerza bruta se produce cuando prueban contraseñas hasta dar con la tuya. Existen diccionarios con miles de contraseñas posibles que, casualmente, usan el 73% de los usuarios de WordPress.
- Ataques de psicología social: recibes un email en el que te dicen que han detectado un problema en tu cuenta y te piden usuario y contraseña. Los remitentes suelen resultar familiares, por eso la gente cae en la trampa con facilidad.
- Aprovechamiento de vulnerabilidades: me refiero a los agujeros de seguridad de la tecnología que usamos en nuestra web. Por ejemplo, vulnerabilidades XSS, MySQL exploits o fallos en código php.
- Ataque DDoS o de denegación de servicio: ocurre cuando tu sitio recibe tantas peticiones de acceso que te echan el servidor abajo.
- Spam SEO: tus posts se llenan de enlaces ocultos con el fin de posicionar webs fraudulentas, pero serás tú (y no esas webs) quien aparezca en las listas negras.
Podríamos seguir bastante tiempo, pero espero que con estos poquitos ejemplos sea suficiente para concienciarte de la importancia de proteger WordPress.
15 acciones para proteger WordPress y convertir tu web en una fortaleza inexpugnable
Ahora, sí, vamos a ver qué te recomiendo hacer para tener una web a prueba de bombas.
Cambia el nombre de usuario de acceso a WordPress
¿Accedes a tu sitio con el típico «admin» o «administrador» que viene por defecto en WordPress?
Pues muy mal, chiquillo.
Esto es lo primero que tienes que cambiar. Tener estos nombres es como tener un cartel luminoso que dice: «Las puertas de mi web están abiertas, atacantes».
¿Qué nombre debes usar en su lugar? El que quieras, menos «admin», «administrador» o similares.
Utiliza una contraseña fuerte
Otra puerta grande de acceso a tu web es la contraseña.
Existen diccionarios con miles de contraseñas frecuentes. Así que para proteger WordPress, tendrás que elegir una que sea fuerte y lo más difícil posible de hackear.
Tu nombre, tu fecha de nacimiento o el nombre de tus mascotas NO son contraseñas fuertes.
Una buena contraseña es la que se caracteriza por:
- Tener más de 8 caracteres.
- Alternar mayúsculas y minúsculas.
- Incluir números y símbolos.
Cuanto más aleatoria sea, mejor.
Por ejemplo, una contraseña fuerte es algo como: A%ftg*49R#
Por cierto, la protección de usuarios no solo debes implementarla en el caso del administrador, sino en todos los usuarios que tengan acceso a tu WordPress.
Una contraseña para cada sitio
Ahora que tienes una contraseña fuerte, no cometas el megacomún error de tener la misma para acceder a toooooodas tus cuentas: WordPress, correo electrónico, redes sociales…
Si consiguen descifrar tu contraseña, tendrán la puerta abierta a todos tus sitios.
Como ves, tener una única contraseña es como ser un cervatillo indefenso en mitad de la sabana africana y estar rodeado de leonas en época de sequía.
Sé lo que estás pensando: ¿cómo vas a memorizar un montón de contraseñas?
¡No tienes que hacerlo!
Existen herramientas que hacen ese trabajo por ti. Tú solo creas una maestra de la que te tienes que acordar y la aplicación guarda y recuerda por ti todas las demás. 🙂
Te recomiendo que uses alguna de estas:
- LastPass: aunque tiene versión de pago, basta con usar la gratuita. Es compatible con todos los sistemas operativos habituales, aplicaciones móvil y extensiones de navegadores. Una maravilla.
- 1Password: solo tiene versión de pago, pero me gusta mucho porque te permite almacenar las contraseñas en un fichero cifrado propio o en tu cuenta de Dropbox.
- Dashlane: es completamente gratis y puedes guardar tus contraseñas de manera local. Una buena alternativa a 1Password si LastPass no te convence.
- Keepass: parecida a 1Password, pero tiene el inconveniente de que tendrás que instalar los plugins para los navegadores y sincronizar tú mismo las contraseñas entre dispositivos.
Además de esto, te recomiendo que NUNCA compartas tus contraseñas con nadie y no las apuntes en lugares en los que es fácil encontrarlas.
Mantén actualizado tanto tu WordPress como los plugins que utilizas
Para proteger WordPress como es debido, mantenlo actualizado siempre en la última versión, porque las versiones obsoletas son puntos de fuga de seguridad.
Esto es válido tanto para la versión de WordPress como para los plugins que tienes instalados.
Borra los themes que no utilices
¿Aún conservas los temas que instalaste antes de decidir cuál sería el que usarías en la web de tu negocio?
Pues que sepas que esta es otra brecha de seguridad. Ocurre lo mismo que comentábamos con la importancia de mantener actualizado tu WordPress.
Todo lo que no estés usando y que, además, está desactualizado, ¡elimínalo! Esta acción es rápida y sencilla, así que no tienes excusa para seguir guardando cosas innecesarias.
¡A hacer limpieza ahora mismo! 😉
Protege el archivo de configuración de WordPress wp-config.php
El archivo wp-config.php, que se encuentra en la raíz de nuestro sitio web, guarda información muy importante, por lo que hay que protegerlo de todo intento de acceso externo.
Tranquilo porque no es una tarea compleja y lo harás en unos pocos minutos, pues solo tienes que agregar un código en el archivo .htaccess, que también está en la raíz de tu WordPress.
En concreto, solo hay que incluir al final del archivo .htaccess esto:
Guarda los cambios y con esta sencilla acción conseguirás denegar el acceso al archivo wp-config.php a todos los usuarios, que es justo lo que buscamos.
Además, debes estar pendiente a los cambios que se produzcan en ficheros de tu WordPress.
Limita los intentos de acceso
De lo que se trata es de evitar los intentos masivos de acceso a través de la pantalla de login de WordPress, es decir poner un límite de veces que se puede fallar al intentar acceder al panel de administración.
Limitar el límite de acceso es una manera de proteger WordPress de ataques de fuerza bruta.
Y es tan fácil como instalar un plugin, tal y como te cuento en este artículo.
También puedes instalar uno de los plugins que verás en el siguiente punto.
Además de proteger WordPress, estarás limitando los accesos. Veamos a qué plugins me refiero.
Instala un plugin de seguridad
Para proteger WordPress en condiciones, necesitas un plugin de seguridad.
¿Cuál puedes usar?
Por ejemplo, estos 2:
- BBQ Pro: es un cortafuegos para evitar ataques a WordPress. Lo instalas, lo ejecutas y te olvidas. Muy fácil.
- iThemes Security Pro: fácil y completo. Tanto, que ofrece una treintena de formas para proteger WordPress. Es un veterano en seguridad y lo demuestra.
Como te decía antes, con cualquier de estos plugins, también podrás limitar los intentos de acceso. Eso sí, revisa la configuración y asegúrate de que esta opción está activa.
En iThemes Security Pro, lo ves aquí:
Como medida extra de seguridad para proteger WordPress, activa la verificación en dos pasos.
Protege tu ordenador
Tener un equipo informático sano es fundamental para que tus entornos de trabajo (entre ellos, tu web) estén a salvo.
Por eso, es fundamental que instales un buen antivirus, que salvaguarde tu ordenador de virus, malware e infecciones indeseables.
Hay muchas opciones en el mercado. Si quieres que te recomiende alguno, apostaría por Karpesky, Avast y BitDefender.
Uses el sistema operativo que uses, necesitas proteger tu ordenador, pero si eres usuario de Windows, es más necesario que comer.
Si utilizas Mac o Linux, no te creas el mito de que son inexpugnables, porque no es cierto. Que sean sistemas menos atractivos para los hackers no quiere decir que estén a salvo de sufrir ataques.
Como medidas adicionales para proteger tu equipo informático, ten en cuenta estas recomendaciones:
- No abras adjuntos de correos de remitentes desconocidos: puedes ver comprometida tu seguridad o sufrir un secuestro de datos. Y si recibes adjuntos de un remitente conocido, pero no esperas nada, sé cauto.
- Instala y usa solo herramientas y aplicaciones con buena reputación y que tenga reseñas de bloggers independientes.
- No uses conexiones wifi públicas.
Descarga plugins solo de sitios seguros
Esta recomendación tiene mucha relación con la que acabamos de comentar.
Si haces una búsqueda rápida en internet, verás que hay cientos y cientos de plugins para WordPress. Pero ni todos son necesarios ni todos son fiables.
Descarga e instala solo los que de verdad necesites y hazlo si el lugar de la descarga es segura.
El repositorio oficial de WordPress es el lugar más seguro tanto para descargar plugins como plantillas. Las versiones están actualizadas y comprobadas, así que no hay peligro al acecho (o se reduce drásticamente).
Ten a mano copias de seguridad recientes
Nadie está libre de recibir un ataque o sufrir una infección.
Cuando tengas que hacer frente a una incidencia grave, respirarás tranquilo si sabes que tienes una copia de seguridad reciente a mano.
Descubre en este post cómo realizar copias de seguridad de tu web de forma sencilla.
Hay muchos plugins que hacen el trabajo por ti sin que tú tengas que preocuparte. Personalmente, uso UpdraftPlus. Tiene una versión de pago (la que yo utilizo), pero puedes utilizar la gratuita porque es suficiente.
Contrata un hosting de confianza
Puedes instalar mil plugins de seguridad y actualizar tu WorPress, pero ¿de qué te servirá si el lugar donde está alojada es un nido de víboras?
Para proteger WordPress, debes hacerlo desde los cimientos. Y los cimientos se encuentran en tu hosting.
¿Adónde quiero llegar?
A que contrates un proveedor de hosting de calidad.
No solo debe importante el precio (los buenos no son caros), sino los servicios que ofrecen. Entre los servicios que deben importante, la seguridad es un pilar básico.
Confía en alojamientos que hagan copias de seguridad y que te garanticen buenos estándares de seguridad.
Para mí, los mejores son Webempresa y Raiola Networks.
¿Estás pensando en cambiar de hosting?
Echa un vistazo a esta comparativa de hostings para que tomes la decisión adecuada
Vigila la información que compartes en redes sociales
¿Qué tienen que ver las redes sociales con la protección de tu WordPress?
Pues más de lo que imaginas.
Para empezar, ya sabes que no debes utilizar la misma contraseña para acceder a tus perfiles sociales que a tu administrador de WordPress.
Por otro lado, ten cuidado con la información que compartes y con quién la compartes. Jamás envíes a nadie información de contraseñas o datos que puedan vulnerar la seguridad de tu web o de tu equipo informático. Y menos lo hagas con desconocidos.
Cualquier brecha de seguridad en tu entorno puede convertirse en una vía de entrada a ataques y brechas de seguridad.
¡No te fíes!
Protégete del spam
Borrar los comentarios de spam y mantener a los spmmers a raya consume tiempo y energías que no puedes utilizar para otras cosas más productivas.
Y lo cierto es que evitar el spam es una medida necesaria, porque además de menguar tu credibilidad como profesional, tu blog puede acabar plagado de enlaces no deseados y los hackers pueden utilizar los formularios de comentarios para inyectar código malicioso y comprometer la seguridad de tu sistema.
Para protegerte, utiliza algún plugin anti-spam.
Si quieres una recomendación, aquí te dejo una comparativa de los mejores plugins anti-spam y cómo decidir cuál instalar en tu web.
Crea una cuenta en Google Search Console
Además de ser una herramienta muy útil para obtener datos de analítica web, Google Search Console sirve para proteger WordPress.
Al tener una cuenta en esta herramienta, Google te informará de:
- Últimas actualizaciones de WordPress.
- Inyecciones de código que se hayan producido en tu web.
- Problemas e incidencias relacionadas con la usabilidad.
- Problemas de carga y velocidad.
¿Quieres que ayude a blindar la tecnología de tu negocio online?
Podemos construir unos muros inexpugnables. Y además, me encargaré de ser el vigía que vela por que ningún enemigo ni riesgo acechen. ¿Te cuento cómo voy a hacerlo?
Y ahora que conoces los pasos esenciales para proteger WordPress, cuéntame: ¿qué nivel de seguridad tiene tu web ahora mismo? ¿Conocías estos consejos? ¿Has sufrido ya algún ataque? Te espero en los comentarios.