Si sois administradores de WordPress, sabéis que una de las funciones en las que hay que enfatizar más es la seguridad. Hoy te mostramos 10 consejos para mejorar la seguridad de WordPress.
No uses admin como nombre de usuario del administrador
admin es el nombre de usuario más común de los administradores de WordPress, ya que es el que WordPress otorga por defecto. Todo el mundo lo sabe, incluidos los piratas informáticos. Para hacerles la vida un poco más dificil, lo suyo es cambiar el nombre de usuario por otro que incluya minúsculas y mayúsculas. Suponiendo que tienes una web en WordPress y quieres mejorar la seguridad de WordPress, debes:
- Crear un nuevo usuario con privilegios de administración
- Si tu usuario administrador anterior se llamaba admin, y era el único usuario de WordPress, asigna todos los blogs y páginas al nuevo administrador que acabas de crear
- Elimina el antiguo usuario «admin» de tu WordPress.
Con esto conseguiremos no ponérselo tan fácil a los hackers, que siempre buscarán el usuario admin como usuario administrador para llevar a cabo sus fechorías.
Utiliza contraseñas seguras
Por regla general, solemos escoger una contraseña para entrar a WordPress que sea fácil de recordar para ayudarnos a entrar rápidamente. Esto es un mal hábito que hay que corregir. Debemos acabar con la costumbre de establecer «123456», «contraseña», «qwerty» o tu fecha de nacimiento, como la contraseña para acceder al backoffice de la web. Debes grabarte a fuego que las contraseñas son vitales para la seguridad de tu WordPress y por eso, hay que actuar en consecuencia. Sigue estas pautas para crear una contraseña robusta y apta para mejorar la seguridad de WordPress:
- Establece una contraseña que no sea una palabra en sí, sino una combinación de números y letras.
- Introduce también caracteres especiales como %, &, = o derivados…
- Como mínimo, que tenga más de 15 caracteres de longitud.
Si aún no sabes como crear una contraseña segura, existen servicios online con los que confeccionar una contraseña de calidad. En password.es puedes crear una contraseña definiendo parámetros como la longitud, la inclusión de números, la inclusión de mayúsculas o la de caracteres especiales como te hemos comentado antes, y además te indica el grado de seguridad para que también lo tengas en cuenta.
Utiliza una autenticación de dos factores
La autenticación de dos factores es una manera combinada de proporcionar credenciales de acceso a un servicio, frecuentemente en forma de algo que sabes y algo que tienes, como por ejemplo un token numérico. Apple iCloud, Google, Dropbox, y muchos otros servicios te ofrecen la posibilidad de utilizar esta autenticación para entrar entrar en sus servicios, ¿por qué no llevarlo a cabo en tu WordPress?
Para implementar eficientemente una autenticación de dos factores, debes instalar un plugin de los muchos que hay disponibles para esta función. Como por ejemplo Rublon, que basa su autenticación de dos factores en el correo electrónico, o Clef, que utiliza la cámara del teléfono.
Limita el número de intentos en el login
Ya te hablamos de esto hace unos cuantos días. Limitando el número de intentos a la hora de entrar en WordPress, lo estaremos convirtiendo en un sitio seguro, aunque al principio nos saque un poco de quicio. Los hackers utilizan softwares para hallar la contraseña correcta por medio de la fuerza bruta. No es que lo hagan mediante su físico, sino que el sofware prueba todas las contraseñas posibles, tarde lo que tarde, hasta vulnerabilizar tu sitio web.
Existen plugins para WordPress que impiden que alguien pueda probar todas las veces que quiera a entrar en nuestro WordPress, como Login Lockdown. Este plugin banea a los usuarios que se han equivocado un número de veces que hayamos establecido durante el tiempo que nosotros mismos hayamos seleccionado.
Descargar plugins sólo de sitios de confianza
Los plugins son uno de los elementos más poderosos de todo el ecosistema de WordPress. Solo en el repositorio de WordPress exiten más de 40.000 plugins, todos gracias a una comunidad muy activa. Pero no solo se alojan en ese repositorio, también los puedes encontrar en muchos otros lugares como Code Canyon, Mojo Code, GitHub y The Unofficial WordPress Plugin Directory (WPD).
Antes de descargar un plugin para WordPress desde cualquier sitio, busca:
- Opiniones, comentarios o cualquier mención sobre el plugin y el autor del plugin.
- Si cuenta con soporte y de qué forma.
- Si el autor del plugin suele tener feedback con los usuarios.
No olvides: antes de descargar un plugin, haz una copia de seguridad completa de tu sitio web y de la base de datos. Tampoco está de más pasarle el antivirus al plugin que acabamos de descargar.
Mantén todo actualizado
Cada vez que se detecta un nuevo problema de seguridad, un parche con la solución está en camino, lo que significa que el mantenimiento de un WordPress en funcionamiento es un compromiso continuo. Tener todos los archivos actualizados a su última versión disponible es una excelente manera de mejorar la seguridad de WordPress.
Desde WordPress 3.7+, las actualizaciones menores y de seguridad se llevan a cabo automáticamente en tu WordPress, mientras que actualizaciones grandes de WordPress, plugins o themes necesitan ser realizadas a mano, ya sea a través del backoffice o de un cliente FTP.
Mantén tu WordPress limpio
Es muy común eso de probar un plugin para ver qué hace o testear un theme para ver que tal queda en nuestro sitio web, para luego comprobar que no nos gusta y dejarlo olvidado en el listado de plugins y de themes de WordPress. Esto puede ocasionar problemas de seguridad, ya que, son plugins, que no se han estado utilizando recientemente y probablemente se nos haya olvidado actualizar. Si tienes plugins inactivos y themes que no utilizas, es hora de sacar la basura.
Desactiva los trackbacks
Los pingbacks y trackbacks notifican que tu contenido ha sido vinculado desde otra página web, y muchos usuarios no se preocupan por esto. Mediante trackbacks, los hackers pueden causar ataques DDoS masivos que pueden dejar inoperativa una página que ha sido desarrollada con WordPress, sin llegar ni a pestañear.
Así que, si eres nuevo en esto de WordPress y no sabes cómo hacerlo, entra en Ajustes > Comentarios y desactiva la casilla que dice «Permitir notificaciones de enlaces de otros blogs (pingbacks y trackbacks) en los nuevos artículos».
Establece los permisos correctos a carpetas y ficheros
Los permisos de archivos y carpetas establecen las normas sobre «quién y qué se puede leer, escribir, modificar y acceder a ellos» en tu sitio web desarrollado con WordPress. Estos permisos son configurables con un valor de tres números que indican el tipo de privilegio.
Para llevar una organización correcta sobre los permisos que tienen que llevar los archivos y carpetas de la instalación de tu WordPress, hay un pequeño truco que no afectará al funcionamiento del CMS y con el que nos protegeremos de posibles ataques. Hay que establecer este tipo de permisos a carpetas y ficheros:
carpetas = 755
archivos = 644
Bajo ningún concepto utilices permisos 777 para cualquier archivo o carpeta, ya que estaríamos dando vía libre a cualquier usuario para que pudiese manipular todo el contenido que esté alojado en el FTP.
Prevén la exploración de directorios (indexación) de tu WordPress
Cuando el servidor web no encuentre el archivo index.php o index.html, va a mostrar una página que muestra el contenido del directorio raíz, por lo que cualquiera podrá obtener información sobre los plugins instalados, themes que uses, imágenes que has subido al CMS…
Habla con tu proveedor de hosting para WordPress o cloud administrado para WordPress para que desactive esta práctica y no ponga en riesgo la seguridad de tu WordPress. Es un fallo muy común que se suele pasar por alto.
Y hasta aquí los 10 consejos para mejorar la seguridad de WordPress. ¿Añadirías alguno más?