Cómo mantener tu WordPress seguro y protegido
WordPress es una de las aplicaciones más utilizadas hoy en día.
Este dato es favorable al usuario, pues implica que hay muchos desarrolladores trabajando para que tengamos nuevos temas, plugins, etc, no obstante, también implica que debido a su gran fama, muchos hackers se especialicen en esta aplicación.
Es por ello que vamos a indicar unas pautas sencillas para tratar de mantener el WordPress libre de virus.
Pasos para tener un WordPress seguro
- Mantener la versión de WordPress, plugins y temas actualizados
- Proteger acceso a administración
- No usar nombres comunes para administrador
- Usar contraseñas seguras
- Activar sistemas de captcha
- Mantener nuestro ordenador libre de virus
- Plugins de seguridad: WordFence
- Realizar copias de seguridad
Mantener la versión de WordPress, plugins y temas siempre actualizados
Este primer apartado es sencillo y uno de los más importantes pues se trata de mantener siempre actualizado todo lo relacionado con nuestro WordPress, desde la propia aplicación hasta el último plugin usado.
Debemos tener en cuenta que las actualizaciones se desarrollan para corregir errores o bien añadir mejoras y por tanto, mantener todo al día siempre será beneficioso para nosotros.
Proteger el acceso a la zona de administración
Para proteger el acceso a nuestro WordPress cambiaremos la URL de acceso a la administración.
Por defecto, todas las instalaciones usan la misma ruta de acceso a la administración y los robots de los hackers siempre intentarán acceder a ella.
Para modificarla usaremos el plugin WPS Hide Login
Simplemente deberemos acceder al plugin una vez instalado y modificar la URL para finalmente pulsar en «Guardar cambios».
No usar nombres genéricos para el acceso a la administración
Este paso guarda relación con el anterior, pues si todos los WordPress por defecto tienen la misma ruta de acceso a la administración, la mayoría de usuarios usan como usuario administrador «admin».
Una vez mas, al ser el usuario mas usado, es el primero que intentará usar un robot maligno para acceder.
En este caso lo mas sencillo es no usar «admin» como usuario desde el principio, es decir, en el momento de la instalación indicar otro nombre de usuario.
No obstante, no está todo perdido si hemos usado «admin», podremos seguir esta ayuda para modificar el usuario.
Usar contraseñas seguras
Llegados a este punto, ya tenemos la URL de administrador modificada y el usuario diferente a «admin». Ahora nos toca hablar de la contraseña.
Si estamos en esta ayuda es porque nos importa la seguridad y si es así, no usaremos contraseñas sencillas del tipo admin123.
Las contraseñas que recomendamos usar deben cumplir estos requisitos:
- Entre 8 y 15 caracteres
- Mayúsculas y minúsculas
- Por lo menos un número
- Por lo menos un carácter especial
Por tanto, podríamos usar una contraseña similar a: Contr4$3Na
Activar sistemas de Captcha para dificultar el acceso a robots
Si hablamos de seguridad no nos podemos olvidar del captcha. Como todos sabéis se trata de una verificación para saber si el usuario de la web es una persona o bien un robot.
Tanto a nivel de seguridad como de sencillez de instalación, nuestra recomendación es usar reCaptcha de Google.
Para ello necesitaremos antes de empezar, disponer de un código llamada API Key, que es una clave única que nos identifica como usuarios.
¿Cómo obtener la API Key?
Para ello deberemos acceder a https://www.google.com/recaptcha/intro/v3.html y pulsar en MyReCaptcha, una vez dentro y con nuestra sesión iniciada (Se necesita una cuenta de gmail), podremos seleccionar el tipo de captcha que deseamos.
Nuestra recomendación a día de hoy es usar reCAPTCHA v2 en los formularios donde deseemos que sea visible que usamos el captcha y reCAPTCHA v3 en aquellos formularios en los que, para ser menos intrusivos, deseemos que el captcha no se vea, pues la versión 3 realiza la validación en segundo plano sin necesidad de interacción por parte del usuario.
Una vez seleccionada la versión, deberemos indicar nuestro dominio y seguidamente se nos proporcionarán una serie de datos para su implementación.
Nos aseguraremos de copiar y guardar los campos Clave del sitio y Clave secreta.
¿Cómo instalar el Captcha?
Para ello simplemente desde WordPress buscaremos el plugin Google Captcha (reCAPTCHA) y lo instalaremos.
Una vez instalado, accederemos a Google Captcha – Configuraciones y rellenaremos los campos Clave del sitio y Clave secreta con los datos que antes hemos guardado.
Finalmente seleccionaremos a que formularios queremos aplicarlo y pulsaremos en «Guardar cambios».
Mantener nuestro ordenador libre de virus
Todos los pasos llevados a cabo no tendrían sentido si nuestro ordenador estuviera infectado con algún virus que pudiera acceder a nuestros datos.
Es por ello que debemos asegurarnos de que nuestro ordenador esté limpio de virus, ya que es el primer eslabón de la cadena.
Para ello, simplemente usaremos un antivirus y realizaremos análisis periódicos.
Usar Plugins de seguridad: WordFence
Finalmente, recomendamos usar plugins de seguridad como por ejemplo WordFence, se trata de un plugin muy completo que hace a la vez de antivirus, firewall, acelerador de la web mediante cache, etc.
Podréis encontrar toda la información sobre el mismo en su web oficial: WordFence
Realizar copias de seguridad
Cómo última recomendación, disponer de backups es primordial, ya que en caso de pérdida de información, de sufrir un ataque, etc., seremos capaces de restaurar la web en poco tiempo.
Para ello os recomendamos revisar nuestra ayuda sobre ello: Backups WordPress
Conclusión
Como puedes ver, existen numerosas maneras de reforzar la seguridad WordPress pero el uso de contraseñas seguras y mantener actualizados todos los elementos son sólo pequeños detalles que mantendrán a tu sitio web WordPress activo y funcionando con seguridad.
Después de varias experiencias negativas, doy fe de que vale la pena poner en práctica los consejos de seguridad, tened en cuenta todo el trabajo que se puede perder.