WordPress es una de las aplicaciones más utilizadas hoy en día.

Este dato es favorable al usuario, pues implica que hay muchos desarrolladores trabajando para que tengamos nuevos temas, plugins, etc, no obstante, también implica que debido a su gran fama, muchos hackers se especialicen en esta aplicación.

Es por ello que vamos a indicar unas pautas sencillas para tratar de mantener el WordPress libre de virus.

Pasos para tener un WordPress seguro

  • Mantener la versión de WordPress, plugins y temas actualizados
  • Proteger acceso a administración
  • No usar nombres comunes para administrador
  • Usar contraseñas seguras
  • Activar sistemas de captcha
  • Mantener nuestro ordenador libre de virus
  • Plugins de seguridad: WordFence
  • Realizar copias de seguridad

Mantener la versión de WordPress, plugins y temas siempre actualizados

Este primer apartado es sencillo y uno de los más importantes pues se trata de mantener siempre actualizado todo lo relacionado con nuestro WordPress, desde la propia aplicación hasta el último plugin usado.

Debemos tener en cuenta que las actualizaciones se desarrollan para corregir errores o bien añadir mejoras y por tanto, mantener todo al día siempre será beneficioso para nosotros.

Proteger el acceso a la zona de administración

Para proteger el acceso a nuestro WordPress cambiaremos la URL de acceso a la administración.

Por defecto, todas las instalaciones usan la misma ruta de acceso a la administración y los robots de los hackers siempre intentarán acceder a ella.

Para modificarla usaremos el plugin WPS Hide Login

Simplemente deberemos acceder al plugin una vez instalado y modificar la URL para finalmente pulsar en «Guardar cambios».

No usar nombres genéricos para el acceso a la administración

Este paso guarda relación con el anterior, pues si todos los WordPress por defecto tienen la misma ruta de acceso a la administración, la mayoría de usuarios usan como usuario administrador «admin».

Una vez mas, al ser el usuario mas usado, es el primero que intentará usar un robot maligno para acceder.

En este caso lo mas sencillo es no usar «admin» como usuario desde el principio, es decir, en el momento de la instalación indicar otro nombre de usuario.

No obstante, no está todo perdido si hemos usado «admin», podremos seguir esta ayuda para modificar el usuario.

Usar contraseñas seguras

Llegados a este punto, ya tenemos la URL de administrador modificada y el usuario diferente a «admin». Ahora nos toca hablar de la contraseña.

Si estamos en esta ayuda es porque nos importa la seguridad y si es así, no usaremos contraseñas sencillas del tipo admin123.

Las contraseñas que recomendamos usar deben cumplir estos requisitos:

  • Entre 8 y 15 caracteres
  • Mayúsculas y minúsculas
  • Por lo menos un número
  • Por lo menos un carácter especial

Por tanto, podríamos usar una contraseña similar a: Contr4$3Na

Activar sistemas de Captcha para dificultar el acceso a robots

Si hablamos de seguridad no nos podemos olvidar del captcha. Como todos sabéis se trata de una verificación para saber si el usuario de la web es una persona o bien un robot.

Tanto a nivel de seguridad como de sencillez de instalación, nuestra recomendación es usar reCaptcha de Google.

Para ello necesitaremos antes de empezar, disponer de un código llamada API Key, que es una clave única que nos identifica como usuarios.

¿Cómo obtener la API Key?

Para ello deberemos acceder a https://www.google.com/recaptcha/intro/v3.html y pulsar en MyReCaptcha, una vez dentro y con nuestra sesión iniciada (Se necesita una cuenta de gmail), podremos seleccionar el tipo de captcha que deseamos.

Nuestra recomendación a día de hoy es usar reCAPTCHA v2 en los formularios donde deseemos que sea visible que usamos el captcha y reCAPTCHA v3 en aquellos formularios en los que, para ser menos intrusivos, deseemos que el captcha no se vea, pues la versión 3 realiza la validación en segundo plano sin necesidad de interacción por parte del usuario.

Una vez seleccionada la versión, deberemos indicar nuestro dominio y seguidamente se nos proporcionarán una serie de datos para su implementación.

Nos aseguraremos de copiar y guardar los campos Clave del sitio y Clave secreta.

¿Cómo instalar el Captcha?

Para ello simplemente desde WordPress buscaremos el plugin Google Captcha (reCAPTCHA) y lo instalaremos.

Una vez instalado, accederemos a Google Captcha – Configuraciones y rellenaremos los campos Clave del sitio y Clave secreta con los datos que antes hemos guardado.

Finalmente seleccionaremos a que formularios queremos aplicarlo y pulsaremos en «Guardar cambios».

Mantener nuestro ordenador libre de virus

Todos los pasos llevados a cabo no tendrían sentido si nuestro ordenador estuviera infectado con algún virus que pudiera acceder a nuestros datos.

Es por ello que debemos asegurarnos de que nuestro ordenador esté limpio de virus, ya que es el primer eslabón de la cadena.

Para ello, simplemente usaremos un antivirus y realizaremos análisis periódicos.

Usar Plugins de seguridad: WordFence

Finalmente, recomendamos usar plugins de seguridad como por ejemplo WordFence, se trata de un plugin muy completo que hace a la vez de antivirus, firewall, acelerador de la web mediante cache, etc.

Podréis encontrar toda la información sobre el mismo en su web oficial: WordFence

Realizar copias de seguridad

Cómo última recomendación, disponer de backups es primordial, ya que en caso de pérdida de información, de sufrir un ataque, etc., seremos capaces de restaurar la web en poco tiempo.

Para ello os recomendamos revisar nuestra ayuda sobre ello: Backups WordPress

Conclusión

Como puedes ver, existen numerosas maneras de reforzar la seguridad WordPress pero el uso de contraseñas seguras y mantener actualizados todos los elementos son sólo pequeños detalles que mantendrán a tu sitio web WordPress activo y funcionando con seguridad.

¿Buscas un hosting web para tu WordPress?

Consulta todos nuestros planes

Toni Joan Martorell - Soporte en DonDominio
Autor

Empecé en DonDominio en 2014 como agente de soporte, pasando a soporte N2 en 2017 y actualmente cara visible de DonDominio en la mayoría de eventos a los que asistimos.

1 Comentario

  1. Avatar

    Después de varias experiencias negativas, doy fe de que vale la pena poner en práctica los consejos de seguridad, tened en cuenta todo el trabajo que se puede perder.

Comentarios