Seguridad WordPress: cómo proteger tu web de los malos.
Hace unos días me escribió una antigua compañera de clase de Aula Creactiva para contarme que había estado trabajando en la web de una amiga y que, cuando ya estaba terminada, alguien había entrado en su WordPress y la había borrado entera.
De verdad que hay gente que es muy mala o se aburre mucho o las dos cosas.
En fin, la pesadilla de todo diseñador web. Y de todo aquel que tiene una web, claro. ¡De solo pensarlo, se me ponen los pelos como escarpias!
Me preguntó qué métodos utilizo yo para proteger las páginas web que hago y estuvimos hablando un rato sobre el tema.
Esta conversación me animó a escribir este artículo.
WordPress es el gestor de contenidos más popular. Más del 30% de los sitios web de todo el mundo están construidos con este CMS (Content Management System).
Los hackers han tomado buena nota de este crecimiento y han empezado a tomar los sitios web realizados con WordPress como objetivo principal de sus fechorías.
No importa el tipo de web, ni su tamaño, ni su autoridad. No creas que por tener una web pequeñita estás a salvo. Desde la compañía más grande hasta el bloguero más humilde, nadie está a salvo de ser víctima de un ciberataque que acabe con todo el trabajo de semanas, meses o años.
Yo misma recibo avisos a cascoporro de intentos de entrar en mi web y hacer el mal, como puedes ver en este pantallazo:Si no tomas las precauciones adecuadas para proteger tu web, cualquiera podrá hackearla, como le ha ocurrido a mi compañera.
Poca broma con este tema. Si aún no tienes tu WordPress protegido, echa un vistazo a estas 11 formas sencillas de proteger tu web de los malos.
1. Elige un buen hosting
La forma más simple de proteger tu web es contar con un proveedor de hosting que te proporcione múltiples capas de seguridad.
Contratar un hosting barato es muy tentador, sí. Pero ahorrarte unos cuantos euros puede causarte muchos quebraderos de cabeza en el futuro.
Si tu hosting no te ofrece seguridad, estás totalmente desprotegido. Puede ocurrir que alguien entre y te borre toda la web, como le ocurrió a mi compañera, o que alguien redirija tu URL a cualquier otra.
¿Realmente merece la pena?
Invertir un poco más y contratar un hosting de calidad que te ofrezca un buen nivel de seguridad es fundamental si no quieres que te la líen.
Aunque hay muchas empresas de hosting buenas, yo siempre recomiendo la que yo utilizo: Lucushost. En todos sus planes incluyen un sistema firewall, seguridad anti-hackeo, copias de seguridad diarias, certificado SSL gratuito y antispam.
2. Utiliza temas de WordPress fiables
Los temas premium de WordPress tienen un aspecto más profesional y ofrecen más opciones de personalización que los temas gratuitos.
Como en todo, uno obtiene lo que paga.
Los temas premium están programados por desarrolladores experimentados y pasan múltiples pruebas de seguridad antes de ser lanzados. Además, ofrecen soporte técnico completo si algo va mal y actualizaciones continuas.
El tema premium que yo uso es Astra Theme. Te lo recomiendo al 100% por ser uno de los temas más rápidos, personalizables y mejor optimizados de WordPress.
Existen algunas páginas web que ofrecen versiones hackeadas de temas premium, disponibles a través de medios no muy legales que digamos.
Estos temas contienen código malicioso que pueden destruir tu web entera, cargarse tu base de datos y obtener tus datos de acceso.
Por tu bien, huye de esto como de la peste.
3. Usa contraseñas fuertes y sólidas
Las contraseñas son una parte primordial de la seguridad de una web, pero, por desgracia, muchas veces este tema se pasa por alto.
Si estás usando una contraseña del tipo “123456”, “abc123” o “contraseña”, ya estás tardando en cambiarla.
Estas contraseñas son muy fáciles de recordar para ti, pero también muy fáciles de adivinar para los malos.
Un usuario avanzado puede descifrar tu contraseña fácilmente y entrar en tu WordPress sin mucho esfuerzo.
Es importante que utilices contraseñas complejas, que incluyan minúsculas y mayúsculas, números y símbolos.
Hay páginas como esta que te las genera automáticamente.
Puedes elegir el tipo y la longitud de tu contraseña y ver el nivel de seguridad que tiene. Cuanto más compleja y larga sea, más segura.
Eso sí, si escoges esta opción, luego apunta tu contraseña en algún sitio porque, como no lo hagas, los hackers no la van a encontrar, pero tú tampoco.
4. Deshabilita el editor de WordPress
Dentro de WordPress, hay una función disponible que te permite editar tu tema y tus plugins mediante edición de código. Puede accederse a ella en Apariencia → Editor de temas.
Toquetear esta opción es bastante peligroso si no controlas del tema. De hecho, si accedes a ella, el propio WordPress te va a avisar de que si tocas algo puedes cargarte la web entera y directamente te recomienda que no lo hagas. Y que, si lo haces, crees una copia para poder restaurar todo si hace falta.
Por eso, si un hacker entra en tu WordPress y accede al editor sin problemas, te la puede liar pero que muy gorda.
Incluso pueden introducir código malicioso imperceptible en tu tema y tú no darte ni cuenta hasta que ya sea demasiado tarde.
Por eso, lo mejor que puedes hacer es deshabilitar esta opción directamente. Para hacerlo, solo tienes que copiar el siguiente código en tu archivo wp-config.php:
define(‘DISALLOW_FILE_EDIT’, true);
Pero si no quieres toquetear ningún archivo y arriesgarte a que algo salga mal, siempre puedes usar un plugin de seguridad como All in One WP Security, que te permite esta opción sin riesgos (ver punto 11).
5. Instala un certificado SSL
Hace tiempo, contar con un certificado SSL solo era necesario para los sitios web donde se realizan transacciones específicas, como procesos de pago.
Hoy en día, tener un certificado SSL beneficia a cualquier tipo de web, ya que Google le da mucha importancia a este tema y ahora posiciona mejor a los sitios que lo tienen.
En cualquier caso, solo es totalmente obligatorio para aquellos sitios web que procesen información delicada, como contraseñas o datos bancarios.
Sin un certificado SSL, todos los datos que van del dispositivo del usuario al servidor son enviados sin ningún filtro de seguridad y pueden ser leídos por cualquier hacker avispado.
Un certificado SSL encripta toda la información antes de ser transferida del dispositivo del usuario al servidor, dificultando así su lectura y haciendo tu web mucho más segura.
Hoy en día, casi todos los proveedores de alojamiento web ofrecen certificado SSL gratuito. Si no es tu caso, y lo necesitas de forma obligatoria, tendrás que comprarlo.
6. Modifica el nombre de usuario “admin”
Por defecto, cuando instalas WordPress, el usuario administrador que se crea por defecto es “admin”.
Muchos hackers aprovechan esta información para llevar a cabo ataques de acceso de fuerza bruta, tratando de adivinar la contraseña usando “admin” como nombre de usuario repetidamente.
La mejor forma de evitarlo es elegir un nombre diferente a “admin” cuando instalemos WordPress.
Si no lo hemos hecho, hay varios métodos para cambiar el nombre de usuario:
- Accediendo a nuestra base de datos (normalmente puedes hacerlo desde el panel de control de tu proveedor de hosting).
- Creando un nuevo usuario y eliminando el antiguo.
- A través de un plugin como Username Changer o All in One WP Security (ver punto 11).
Igualmente, también es recomendable que cambies tu alias. El alias es el nombre que se muestra cuando publicas un post o respondes a un comentario.
Por defecto, el alias es el mismo que el nombre de usuario. Si lo dejas tal cual, ya estás dando pistas a los hackers de cómo acceder a tu cuenta de WordPress.
Lo ideal es que nombre de usuario y alias sean diferentes. Para cambiarlo solo tienes que acceder a Usuarios → Perfil de usuario, crear un nuevo alias y establecer que este es el nombre que quieres que se muestre públicamente.
7. Cambia la URL de acceso a tu WordPress
Por defecto, para acceder a WordPress la dirección URL es “nombredetuweb.com/wp-admin”.
Si lo dejamos tal cual, estás dando muchas facilidades a los malvados para llegar a las puertas de tu WordPress y hacer de las suyas, averiguar tu usuario y contraseña y entrar dentro.
Para evitar esto, solo hay que hacer algo tan sencillo como cambiar la URL de acceso por otra que solo tú conozcas.
Si además añades un captcha de acceso y un campo en el formulario de acceso solo visible para robots, mejor que mejor.
Toda precaución es poca.
Para cambiar la URL de acceso a WordPress puedes utilizar plugins como WP Hide Login o directamente el plugin All in One WP Security (ver punto 11), que también añade esta opción y otras muy interesantes como detectar desde qué direcciones ha habido múltiples intentos de acceso fallido y bloquearlas directamente (ver punto siguiente).
8. Limita los intentos de acceso
Por defecto, WordPress permite intentos ilimitados de acceso.
Esto nos viene bien si somos un poco olvidadizos (o torpes, por qué no decirlo) y nos equivocamos mucho al introducir nuestra contraseña.
Pero también facilita el trabajo a los malos de la película.
Si limitamos los intentos de acceso, los hackers serán bloqueados antes de conseguir entrar a tu WordPress.
Lo suyo es que pongas un límite de tres, cuatro o cinco intentos, como mucho, para darte a ti mismo la oportunidad de equivocarte sin bloquearte.
Que tampoco es cuestión de boicotearse a uno mismo.
Como decía en el punto anterior, el plugin All in One WP Security (ver punto 11) también permite esta opción: puedes limitar el número de intentos máximo, el periodo de reintento de acceso y cuánto tiempo permanece bloqueado el usuario que haya superado el límite de intentos.
9. Oculta los archivos wp-config.php y .htaccess
Esta es una opción avanzada para mejorar la seguridad de tu sitio web.
Si te tomas este tema muy en serio, ocultar tus archivos wp-config.php y .htacess es una muy buena práctica para evitar que los hackers accedan a ellos y te la líen.
Tocar estos archivos es una tarea delicada y, si haces algo mal, puedes cargarte tu sitio web entero.
Por eso, si aun así quieres arriesgarte a hacerlo tú mismo, haz siempre antes una copia de seguridad de tu sitio y procede con mucho cuidado.
Para ocultar estos archivos, debes hacer lo siguiente:
1) Hacer una copia de seguridad de tu sitio web (tengo que insistir en esto).
2) Entrar en el archivo wp-config.php y añadir este código:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
3) Después, entrar a tu archivo .htaccess y añadir este código:
<Files .htaccess>
order allow,deny
deny from all
</Files>
Aunque, como ves, el proceso en sí es bastante sencillo, no te arriesgues a lo tonto y no te olvides de realizar la copia de seguridad de tu sitio web antes, por si algo sale mal durante el proceso.
Como diría mi madre, “¡luego no digas que no te advertí!
10. Actualiza WordPress, plugins y tema
Tener tu WordPress siempre actualizado es la práctica más sencilla y más efectiva de mantener tu sitio web protegido.
Con cada actualización, los desarrolladores introducen pequeños cambios y la mayoría de las veces añaden mejoras de seguridad.
Teniendo siempre la última versión de WordPress instalada evitarás ser un objetivo fácil para los hackers que buscan agujeros de seguridad y sitios web vulnerables.
Y, por la misma razón, también es importante que mantengas siempre actualizados todos tus plugins y tu tema activo.
Cuando haya actualizaciones pendientes, aparecerán en Escritorio → Actualizaciones. Desde aquí podrás actualizar WordPress, tus plugins y tus temas.
11. Instala un buen plugin de seguridad
Una de las ventajas de WordPress es que es un gestor de contenidos en constante crecimiento y evolución.
Cada día miles de desarrolladores de todo el mundo trabajan en nuevas funcionalidades para mejorarlo.
Y, gracias a ellos, podemos disponer de plugins que nos permiten proteger nuestro sitio web con uñas y dientes, sin necesidad de tener amplios conocimientos en programación ni seguridad web.
Mi favorito y el que recomiendo es, como ya he comentado en este artículo, All in One WP Security.
Este plugin es muy completo, fácil de usar y, atención, 100% gratuito.
Además, utiliza un sistema de clasificación de puntos de seguridad que te mostrará qué nivel de seguridad tiene tu web, en base a las opciones que hayas activado.
Estas son solo algunas de las cosas que puedes hacer con este plugin:
- Ocultar qué versión de WordPress estás usando.
- Cambiar el nombre de usuario “admin”.
- Cambiar el alias que se muestra cuando publicas un post o respondes a un comentario.
- Comprobar la fortaleza de tu contraseña.
- Activar el bloqueo de acceso.
- Limitar el número de intentos de acceso.
- Ver desde qué direcciones IP han intentado entrar en tu WordPress y bloquearlas.
- Activar la aprobación manual de nuevos registros.
- Cambiar el prefijo de la tabla de tu base de datos para que no sea el que viene por defecto.
- Realizar copias de tu base de datos.
- Desactivar la posibilidad de editar archivos PHP.
- Impedir el acceso a los archivos de instalación por defecto de WordPress.
- Activar una protección básica de cortafuegos.
- Bloquear el acceso al archivo debug.log.
- Cambiar la URL de acceso a WordPress (wp-admin).
- Activar un captcha en la página de acceso, la página de contraseña perdida y los formularios de comentarios.
- Activar un señuelo en la página de acceso para detectar intentos de acceso por robots maliciosos.
- Bloquear a los robots de spam para que no puedan publicar comentarios.
- Detectar si alguien ha intentado modificar tus archivos.
- Proteger el contenido de tu web para que nadie pueda utilizarlo usando el copia-pega.
- Desactivar la enumeración de usuarios y evitar que los usuarios/bots externos obtengan la información del usuario con URLs como «/?author=1».
Como ves, el plugin es de lo más completo y ofrece la protección necesaria y más que suficiente para que puedas estar tranquilo y a salvo de posibles ataques.
La seguridad de tu WordPress es esencial y no deberías tomártela a broma.
Si no lo haces, cualquier día de estos te puedes encontrar en la situación de mi compañera y perder todo tu trabajo.
Y, como has podido ver, proteger tu web no es nada complicado.
Siguiendo estos sencillos pasos conseguirás ponerla a salvo de ataques y hacerle un buen corte de manga a los malos.
Si te ha gustado el post, puedes dejarme un comentario, regalarme 5 estrellitas o compartirlo en tus redes sociales, que es gratis 😉
¿Te ha resultado útil este artículo?
Promedio de puntuación 5 / 5. Recuento de votos 9
¡Aún no hay votos! Sé el primero en valorar este artículo
¡Siento mucho que el post no te haya resultado útil!
¡Ayúdame a mejorarlo!
¿Cuáles son tus sugerencias para mejorar este post?