WordPress-seguridad

Mejora la seguridad de tu WordPress

La ciberseguridad no es sólo un problema de los gobiernos y las grandes multinacionales. Todos los que tenemos una web estamos preocupados por los riesgos y amenazas a los que nuestra casa en internet está expuesta. Igual que al salir de tu vivienda cierras todas las puertas y ventanas, aquí tienes que gestionar los riesgos y vigilar las amenazas.

Si tu web es hackeada tendrás que contratar a alguien que te la desinfecte o la rehaga. Perderás ventas y clientes potenciales y puede que se deteriore tu posicionamiento y reputación, con los consiguientes costes.

Os voy a contar mi propia experiencia. Hace nueve meses un software malicioso infectó mi web creada en WordPress. Hasta el punto que tuve que rehacerla porque era menos costoso que desinfectar todos los archivos dañados y, además, podía aprovechar la ocasión para cambiar algunas cosas.

Hasta que no me avisaron del servicio de hosting, no me di cuenta de que el dichoso virus había colocado en mi página varios anuncios en ruso. Los técnicos del hosting me dijeron que el malware penetró a través de un plugin desactualizado. Esto viene a ser como si dejas las ventanas de tu casa abiertas.

Esta brecha de seguridad es bastante frecuente en las webs que utilizan el CMS WordPress, porque las actualizaciones de plugins no son automáticas.

Aunque se pueden automatizar con plugins como WP-Time capsule o Easy Updates Manager, yo recomiendo el primero pues hace una copia de seguridad antes de la actualización. Es una forma de evitar estar constantemente consultando el panel de control esperando dichas actualizaciones.

WP-Time-capsule plugins
WP-Time-capsule, plugin para crear backups

No te asustes. WordPress es seguro. Detrás hay una gran comunidad de usuarios encargados de velar por el mantenimiento y seguridad de toda la plataforma. Nuestra web está en buenas manos.

No obstante, hay que tomar precauciones, porque es el gestor de contenidos más usado y, por tanto, es normal que sufra ataques de hackers, fuerza bruta y robots.

Después de la desagradable experiencia, he estado investigando y mejorando la seguridad de mi web y quería compartir con vosotros algunas recomendaciones y herramientas efectivas para mejorar la seguridad de vuestros WordPress y ponerlos a salvo de los ladrones cibernéticos.

1. Contrata un hosting de calidad

Mi abuela decía que “no puedes tener bacalao gordo y que no pese”, pues esto pasa con tu hosting. Huye de los más baratos, con esos precios no pueden invertir mucho en seguridad. Elige uno que tenga una legión de guardianes siempre atentos a bloquear cualquier entrada de los enemigos, aunque tengas que pagar algo más, creo que merece la pena.

Cuando tengo que recomendar a mis clientes un servicio de alojamiento, no lo dudo, lo mejor en España desde mi punto de vista es SiteGround. 

Tanto por las características que ofrece, como por los tiempos de carga y por su servicio técnico, este hosting es la mejor opción. Su precio también es de lo mejor que podrás encontrar. Siempre o casi siempre, tienen una oferta de nuevos clientes del 50% que podrás aplicar a los 3 primeros años.

Digo abiertamente que formo parte de su programa de afiliados,  pero si no fuera así hablaría igual de ellos. No obstante podría estar en el programa de afiliación de otros servicios de alojamiento pero elegí este por ser el que más me convence.

No obstante también trabajo con CDmon y está muy bien también (aunque no a la altura de SiteGround).

2. Pon una contraseña a prueba de bombas

Tómate un tiempo para poner el nombre de usuario y la contraseña. Igual que en casa no tienes una puerta de cartón, aquí tu usuario no puede ser “Admin” y tu contraseña 1234.

En lo que se refiere al nombre de usuario, huye del término administrador y de sus variantes, así como de tu nombre o cualquier otro término que sea fácilmente predecible.

En cuanto a la contraseña, recuerda a mayor longitud y complejidad, mayor seguridad. Siempre más de ocho caracteres y mezcla números, mayúsculas, minúsculas y símbolos. Además, toma una precaución extra –ya sabes, persona precavida vale por dos– para poner una barrera a los ataques por fuerza bruta, limita el número de logins fallidos.

3. Actualiza los plugins, temas y el nucleo de WordPress

Un software no actualizado es una puerta de entrada para los hackers. Ten en cuenta que el contenido de muchas de las actualizaciones se refiere a cuestiones de seguridad. Por eso, debes preocuparte de que tu versión de WordPress, tu tema o plantilla y tus plugins estén actualizados. En cuanto a la versión, no hace falta que te tomes demasiadas molestias, la actualización es automática.

Caso distinto es el de los plugins, siendo estos cuando están desactualizados, una de las principales vías para que penetren los malvados, como pasó en mi web. WordPress lo sabe y ya tiene un sistema de avisos y actualizaciones automáticas, así que haz caso a las indicaciones y llamadas y, mantente alerta.

Actualiza-WordPress
Actualizaciones de WordPress

Igual pasa con los temas, utiliza temas con licencia para poder recibir las actualizaciones. La media de precios de un tema de WordPress son unos 50 €, por supuesto es una de las mejores inversiones que puedes hacer.

Al hilo de lo anterior, revisa periódicamente tus plugins. Desinstala los que ya no utilices y sustituye los que se queden obsoletos (en muchas ocasiones los desarrolladores abandonan los plugins dejando de ofrecer mantenimiento, soporte y actualizaciones) por otros nuevos que estén preparados para las amenazas que día a día surgen.

Un consejo de regalo, fíate más de los plugins con muchas descargas, mira los comentarios de otros usuarios (esto es una comunidad) y fíjate bien cual es la fecha de su última actualización, si hace mucho que no se actualiza es probable que no sea fiable.

4. Evita el SPAM

Otra de las puertas de entrada de los elementos maliciosos que infectan tu web es el spam, los hackers utilizan los comentarios y formularios para inyectar sus códigos y poner en peligro tu sitio.

Hay muchas alternativas para protegerte, la más sencilla es configurar los comentarios para que deban ser aprobados previamente, pero también puedes añadir un sistema de comprobación humana Captcha, instalar el plugin Akismet (puedes ver una recomendación de los plugins que mas usamos en este post “mejores plugins para WordPress“), o emplear un sistema de comentarios externo como Disqus o Google+.

Akismet-antiespam plugins
Akismet, pluin antispam

5. Importante, haz Backups

Incorpora a tus hábitos cibernéticos dos costumbres muy útiles para mejorar la seguridad de tu WordPress, periódicamente tienes que hacer un backup de tu web (igual que cuando estás escribiendo un trabajo importante pulsas regularmente la tecla F6) y cambiar tus contraseñas. Nada te garantiza que no existan riesgos y amenazas y en caso de ataque, debes tener guardado tu contenido para poderlo recuperar de forma rápida.

Además de todo lo anterior, como aquí no es posible contratar una alarma con Securitas Direct, te recomiendo que refuerces tu seguridad instalando, iThemes Security o WordFence, encontrarás ambos plugins en versiones free o premium y te aseguro que la versión gratuita es muy potente. Estos plugins te ayudarán de manera sencilla a reforzar la seguridad de tu web, ahorrarte imprevistos e impedir que tu activo digital se vea comprometido.

I-themes-security plugins
I themes security, plugin de seguridad

Espero que los anteriores consejos te sean de utilidad.

No descuides la seguridad de tu WordPress es tan importante como el SEO o el diseño de tu web.

Apasionado del diseño, siempre en busca del equilibrio entre lo estético y lo práctico. Me encanta patinar, la escalada y prefiero la montaña a la playa. Lo admito, soy un friky de WordPress.

Todos los post de Jesús González

Newsletter

Comparte

Entradas relacionadas