Blindar nuestra web contra posibles ataques informáticos es más fácil de lo que puede parecer y solamente necesitas conocer los 10 consejos de seguridad Wordpress que recogemos en este post para hacer de tu web un portal más seguro.
Estos consejos de seguridad Wordpress pueden parecer una tontería, pero pueden suponer una gran diferencia entre tener una web hackeada o no. Recordaros, que a parte de estos consejos de seguridad también recomendamos contratar un servicio de hosting que genere copias de seguridad diarias y automatizadas para poder contar con ellas en caso de que nuestra web entre en contacto con malware o sea heckeada por algún pirata informático.
No blindar tu web puede desencadenar diferentes consecuencias como infecciones de malware, empeorar tu branding, acabar en Google Blacklists y posiblemente tener un gran impacto negativo en tu SEO.
Estos consejos de seguridad Wordpress se aplican a webs que usan Wordpress como CMS (en Nordic siempre usamos Wordpress para nuestras webs ya que Wordpress cuenta con más del 60% de quota de mercado y tiene una comunidad de millones de usuarios por todo el mundo).
1. NO UTILICES ADMIN COMO USERNAME
Este es quizás el consejo más evidente. Como ya sabéis todos los usuarios de Wordpress, “admin” es el nombre por defecto que usa Wordpress cuando generamos un acceso al backend de nuestra web. Pues bien, este nombre debe cambiarse, sean originales, a más complejo, mejor.
Si un pirata se dispone a hackear tu web, “admin” sea posiblemente su primer intento para acceder a las entrañas de tu sitio web.
A más complejo sean nombre y contraseña, más difícil lo van a tener.
Evidentemente, hablamos del nombre en si, y no del rol de administrador. Siempre podemos crear un acceso de tipo “Administrador” pero que éste, tenga otro nombre.
Wordpress Backend > Users > New User (Dile que quieres crear una cuenta con derechos de Administrador). Después de esto, ya puedes borrar el usuario llamado “admin”.
2. NO TODOS LOS USUARIOS DEBEN SER ADMINISTRADORES
Asigna cada usuario a su rol correspondiente y reducirás en gran medida el riesgo de ataques.
El principio activo por el que se rige esta norma es el siguiente:
“Dale permiso a aquellos que lo necesiten, cuando lo necesiten y solamente durante el tiempo en que lo necesiten”.
Utiliza siempre roles más restrictivos, a menos permisos, menos posibilidad de ataques, recuerda esta regla y si debes permitir accesos más poderosos, hazlo durante un tiempo limitado.
3. UTILIZA CONTRASEÑAS COMPLEJAS
Debes recordar las siglas CLU (Compleja, larga, única) cuando generes contraseñas. También recomendamos el uso de generadores de contraseña como son 1Password o LastPass.
Como ya sabes, estos generadores de contraseñas son sensibles a mayúsculas y minúsculas, también introducen caracteres inusuales y demás para proteger al máximo pero en caso de que prefieras generarlas tu, te recomendamos poder palabras sin sentido, letras al azar también con caracteres inusuales, mayúsculas y minúsculas. Como guía, 20 caracteres es correcto.
4. CAMBIA EL PREFIJO DE LAS TABLAS «WP» DE TU BASE DE DATOS
Por defecto, los prefijos de tablas que genera Wordpress en tu Base de Datos MySQL son “WP”.
Si los mantenemos con WP, los piratas lo tendrán más fácil, siempre probarán acceder por ahí y si no los hemos cambiado, lo tendrán demasiado fácil.
ATENCIÓN: Este ajuste debe hacerse durante el proceso de instalación, si ya tenemos nuestra web funcional, este ajuste puede desconfigurar ciertos aspectos de nuestra web y en tal caso es preferible prescindir de este consejo.
Este consejo también puede llevarse a cabo de forma automática gracias al uso de Plugins como Sucuri Scanner o All in One WP Security & Firewall. Estos plugins facilitan muchísimo la gestión de la seguridad de tu web y hacen mucho más que solamente cambiar el prefijo de tus tablas. Además gozan de buen mantenimiento y actualización por parte de sus creadores.
En este punto ya te habrás dado cuenta que la seguridad Wordpress pasa por cambiar todos los ajustes por defecto.
5. DESHABILITA EL EDITOR DE ARCHIVOS DEL BACKEND
Si un hacker consigue acceder, el editor de archivos será su diana, desde allí, no necesita acceder desde el FTP para robarte todo tu contenido o editar y borrar a su antojo a gran escala.
Deshabilitarlo es muy fácil y solamente debemos añadir una línea de código en nuestro archivo “wp-config.php”:
define( ‘DISALLOW_FILE_EDIT’, true );
Si introduces esta pequeña línea de código solamente te faltará volver a logearte para comprobar que la ventana haya desaparecido.
6. LIMITA LOS INTENTOS AL ACCEDER
Imaginemos que alguien intenta acceder a nuestra web e intenta introducirse en el sistema mediante la fuerza bruta, intentando una y otra vez con diferentes users y diferentes passwords, si limitamos los accesos, sus balas se van a agotar antes de dar con la combinación.
Camviar la url de logeo que usa Wordpress por defecto también puede resultar de gran ayuda (/wp-admin/) ya que entonces no tienen ni por donde empezar.
El Plugin que hemos citado antes “All in One WP Security & Firewall” te permite hacer las dos cosas de forma muy intuitiva, esto reducirá mucho el riesgo de ataque.
7. AÑADE LA VERIFICACIÓN EN 2 PASOS
Nosotros usamos el standard reCAPTCHA de Google, este impide el acceso si el usuario que intenta acceder no resuelve pequeños acertijos cambiantes y aleatorios. No os asustéis, es una tontería, pero impide que entren los bots.
Esto es así porque hace que el login se des-automatice ya que cada vez debes introducir datos diferentes. Es un poco pesado hacerlo cada vez que te logeas, pero es una practica recomendada por Google y realmente importante si no quieres recibir visita de indeseados.
8. HOSTING
No te quedes con la opción más barata, la opción barata no suele ofrecerte soporte si te hackean la web, y recuerda, es muy muy muy recomendable contratar un hosting que realice copias de seguridad diarias y automatizadas para contar con ellas en un momento de desespero.
Tampoco es recomendable alojar tu web en el hosting propio de la empresa que te diseña la web, esto lo explicamos en otro post, pero si alojamos la web con nuestro especialista en programación y diseño web, es posible que nuestra web se vea infectada si tienen un virus en su servidor o si nuestra web convive en el mismo hosting que otras webs.
Para alojar webs existen empresas especializadas al efecto, en Nordic siempre alojamos nuestras webs con empresas especialistas, cada uno debe hacer aquello que sabe y si diseñas webs, es mejor que te dediques 100% a ello y delegues el hosting a un profesional de hosting web.
9. Plugins y Themes (gratis)
Debes ser muy cuidadoso con los Plugins y los Themes que le pones a tu web, revisa las reseñas y las valoraciones así como la cantidad de valoraciones. 5 estrellas y 4 valoraciones es muy poco comparado con 5 estrellas y 1.000 valoraciones.
Si un Plugin lleva 2 años sin ser actualizado, Wordpress te lo va a chivar. Aunque puede ser que el Plugin sea 100% funcional y no necesite revisión, siempre debes fijarte en la versión de Wordpress con que el Plugin trabaja, si no es la actual, no lo uses.
También debes recordar mantener un equilibrio en los plugins y no usar más de los indispensables ya que esto podría perjudicar en mucho tu page speed. Aunque te recomendemos la instalación de plugins, debes ser tu quien valore si es verdaderamente necesario instalar.
10. RECOMENDAMOS EL PLUGIN SUCURI SCANNER PARA TU SEGURIDAD WORDPRESS
Solamente con la instalación, ya estaremos mejorando muchos aspectos de nuestra seguridad Wordpress y además permite automatizar muchos de los consejos que se citan en este post.
Ahora ya lo sabéis, a blindar vuestra web como si no hubiera un mañana gracias a estos 10 consejos de seguridad.
Si tenéis cualquier duda o queréis ayuda, no dudéis en contactarnos.
