Cómo mantener seguro tu WordPress

A lo largo del año, miles de WordPress se ven amenazados por hackeos realizados por piratas informáticos. Si no quieres perderlo todo, mantener seguro tu WordPress es de vital importancia. En esta entrada te informamos de los pasos a seguir para que tu WordPress sea como una fortaleza.

A más de uno nos ha pasado eso de visitar tu propio sitio web y ver que algo no funciona como debería, tienes un banner con una música atroz con un mensaje que dice algo sobre unos turcos o simplemente tu página no carga. Y piensas, ¿qué ha podido pasar si yo no he tocado nada en la web? Enhorabuena, has sido oficialmente hackeado. Un pirata informático se ha apropiado de tu blog aprovechándose de algún punto débil en el core de WordPress. Han editado los ficheros de tu web inyectándoles código malicioso incapacitándola e incluso borrando toda tu información. No hay una finalidad establecida en los hackeos. Hay veces que lo hacen para hacer mailing desde tu servidor, otras simplemente por hackearte e incluso otras para albergar información. Sea cual sea la finalidad, el caso es que tu página no funciona como debería funcionar.

Si has llegado hasta aquí, fijo que te ha pasado más de una vez y ya vienes escarmentado. Seguro que vienes buscando una solución para que no te vuelva a ocurrir. Si tienes conocimientos de programación es posible que hayas podido contrarrestar el hackeo y limpiar el sitio tú mismo, pero si no, habrás tenido que pagar por ello y no resulta nada barato dichas tareas de mantenimiento. Muchos administradores de WordPress restan importancia a la seguridad de su sitio web pensando que estas cosas nunca les pasarán a ellos. Hasta el día que les pasa…

Como mantener seguro tu WordPress
Fuente: David Goehring

Prácticas para mantener seguro tu WordPress seguro

  1. Ten tu WordPress SIEMPRE actualizado. Actualizar WordPress significa en muchos casos solucionar bugs de su núcleo, por eso siempre es recomendable actualizar tu blog. Por dichos bugs los hackers se cuelan para impregnar su sello en tu web por lo que, si queremos estar prevenidos, lo mejor es actualizar WordPress. Solucionando las vulnerabilidades de nuestro WordPress impediremos que nadie se cuele dentro.
  2. Instala plantillas siempre de sitios de confianza. Es una práctica habitual en los administradores novatos el comprar themes gratuitos de cuestionable calidad estética y que, pasadas unas semanas, nuestro blog sea hackeado. Con esto no estoy diciendo que no adquieras plantillas gratuitas, pero desconfía. Más que nada porque los themes comprados ofrecen parches para subsanar vulnerabilidad y actualizaciones para implementar nuevas mejoras. Eso un theme gratis dudo que lo ofrezca…
  3. Instala plugins del repositorio o plugins de pago. En el repositorio de plugins de WordPress hay una comunidad detrás que analiza los plugins y te alerta si algo va mal. Aparte de puntuar los plugins y ver cuándo ha sido la última actualización del mismo. En cuanto a los plugins de pago o Premium, lo mismo que os he dicho antes. Estos ofrecen actualizaciones para reparar posible bugs por donde entrarían los hackers.
  4. Cada 3 meses cambia tu contraseña FTP. Puede que tu WordPress sea seguro, pero puede que tu servidor no. Toma como rutina el cambiar la contraseña FTP de tu sitio web para que nadie entre por dicho protocolo. Asegúrate de cambiarla por una compleja de más de 12 caracteres y que sea alfanumérica y con símbolos. Existen páginas como password.es que te ayudan a confeccionar contraseñas y te indican su nivel de seguridad.
  5. Contraseñas complejas para todos los usuarios. Lo mismo de antes lo podemos aplicar para los usuarios. Procura tener una contraseña fiable y segura.
  6. No uses nunca el usuario admin. El usuario admin es el superadministrador de tu sitio WordPress. Se que ahora se pueden crear más superadministradores, pero los piratas buscarán ese usuario y desvelarán la contraseña por la fuerza bruta. Cámbia la contraseña del admin por una extensa (mínimo 25 caracteres) y complícaselo a los hackers. Si tienes más usuarios con rol de administrador, aplícales la misma regla.
  7. Ten copias de seguridad automatizadas. Habla con tu proveedor del hosting web para WordPress y consúltale por el servicio de realización de backups automatizados. En el caso de que tu página sea hackeada, podrás repararlo todo restaurando una copia del día anterior. Yo lo recomiendo aunque tenga una cuota. Te sacará de muchos apuros.
  8. Mueve el wp-config.php a un nivel superior. Esta medida de seguridad es muy poco conocida, pero eso no quita que sea poco efectiva. Se trata de mover el archivo de configuración wp-config.php a un nivel superior en el directorio raiz de la web. Es decir, si contamos con un cPanel consiste en hacer este cambio: /home/usuario/public_html/wp-config.php => /home/usuario/wp-config.php. Asi se lo dificultaremos un poco más al rufián que intente entrar en nuestro sitio para apropiarse de los datos de configuración.

Con esto sería más que suficiente para que nuestro WordPress sea una autentica fortaleza. Existen plugins para WordPress como BulletProof Security o Acunetix WP Scan que nos ayudan en las tareas de seguridad de nuestro blog e impiden la infiltración de código malicioso. Pero eso ya es cosa de ir probando y adaptándose cada uno a la solución que mejor le convenga.

¿Y tú? ¿Te han hackeado tu WordPress alguna vez? ¿Qué medidas tomas habitualmente para mantener seguro tu WordPress?

Scroll al inicio