5 consejos para mejorar la seguridad de tu sitio web en WordPress

WordPress es uno de los sistemas de administración de contenido más comúnmente utilizado por su versatilidad y sencillez; sin embargo, si se descuidan algunos detalles puede ser vulnerable a ataques de intrusos. En este post conocerá 5 consejos para mejorar la seguridad de tu sitio web en WordPress, incluso si eres un principiante.

1. Elija un buen proveedor de alojamiento web

En lo que seguridad de los sitios web se refiere, el proveedor de alojamiento juega un papel fundamental. Elegir un proveedor económico puede traer a la larga grandes dolores de cabeza por los ataques constantes y pérdida de información.

Se debe elegir proveedores que ofrezcan una seguridad robusta, que brinde múltiples capas de seguridad. Algunos ofrecen incluso análisis de malware 24/7 y medidas para ayudarlo a recuperar su información si su sitio si es atacado; además de ofrecer copias de seguridad automatizadas para salvaguardar el contenido de su sitio.

Igualmente un buen proveedor de hosting puede acelerar significativamente el acceso a su sitio de WordPress y este es un factor importante para asegurar que su sitio web se muestre rápidamente ya que los usuarios abandonan un sitio si tarda muchos segundos en cargarse y Google también penaliza los sitios de carga lenta colocándolos en puestos inferiores en la lista de resultados de búsqueda.

Otro factor importante a tomar en cuenta al momento de la elección es el soporte técnico que ofrecen (y en qué idiomas), tiempo de respuesta, receptividad, vías de comunicación síncronas y asíncronas, etc, porque ante algunos fallos es importante tener un respaldo rápido, eficaz y oportuno.

alojamiento-web-1 5 consejos para mejorar la seguridad de tu sitio web en Wordpress

2. Use contraseñas seguras

Lamentablemente uno de los mayores huecos en todo plan de seguridad son los usuarios y una de las mayores vulnerabilidades son usuarios y contraseñas no seguros, de allí se aprovechan los hackers para penetrar los sitios web. Las contraseñas fáciles de recordar son fáciles de hackear, esa es una norma, por tanto se debe forzar a los usuarios a colocar contraseñas complejas o mejor aún, generarlas automáticamente con combinaciones alfanuméricas.

Las contraseñas seguras deben poseer combinaciones de letras (mayúsculas y minúsculas), números, caracteres especiales y debe ser exclusiva para WordPress. Se sugiere obligar a los usuarios a elegir una contraseña segura instalando el complemento Forzar contraseñas seguras. Este complemento garantiza que cualquier persona con perfil de acceso de alto nivel al sitio web utilice una contraseña lo más segura posible. Además  de lo anterior, se debe tener por política el cambio periódico de contraseña (usualmente cada 3 meses) y no utilizar el nombre de usuario predeterminado “admin”.

Se recomienda ocultar el nombre de usuario, usando como identificación un apodo público distinto, esto aumenta la seguridad.contraseñas-seguras-2 5 consejos para mejorar la seguridad de tu sitio web en Wordpress

3. Instale complementos de seguridad de WordPress

Verificar regularmente la seguridad de su sitio web en busca de intrusiones o malware lleva mucho tiempo y se requiere de pericia para detectar en las líneas de código el malware. Para ello WordPress cuenta con complementos de seguridad para ayudar con la seguridad del sitio, buscando malware e intrusiones durante las 24 horas.

Uno de estos complementos es Sucuri.net que ofrece monitoreo y auditoría de actividad de seguridad, integridad de archivos, manejo de listas negras y firewall entre otros aspectos Indague sobre todas las opciones de monitoreo, auditoría y control disponibles para WordPress que le faciliten la vida y le ayude a tener un sitio web lo más seguro posible.

complementos 5 consejos para mejorar la seguridad de tu sitio web en Wordpress

4. Revise todas las opciones de configuración y apóyese en complementos

Uno de los principales fallos de seguridad en sitios web en WordPress es que dejan algunas opciones de configuración “por defecto”. Si bien es cierto que esto puede facilitar la vida para sitios pequeños, para sitios más complejos y con información sensible se convierten en una puerta de entrada para los intrusos. Algunas consideraciones a modificar son:

Limitar el número de intentos de inicio de sesión en cierto tiempo. Por defecto WordPress permite a los usuarios intentar iniciar sesión más veces de las seguras. Al limitar el número de intentos de inicio de sesión los usuarios se bloquearán temporalmente si sobrepasan ese número y esto lo protegerá contra los ataques de fuerza bruta ya que el atacante quedará bloqueado antes de lograr su cometido. Hay numerosos complementos que pueden hacer esto por usted si no puede hacerlo de forma manual.

Cambiar la URL de inicio de sesión de administrador. Por defecto WordPress utiliza la dirección URL “susitio.com/wp-admin” y esto todos los hackers lo saben. Al cambiar esa dirección por defecto hace que su sitio web sea un poco más difícil de descifrar para un intruso por ataques automáticos de fuerza bruta que buscan páginas de inicio de sesión predeterminadas para atacar. Igualmente que en el caso anterior, este cambio puede hacerse manual o mediante complementos como WPS Hide Login

Instalar certificado SSL (Single Sockets Layer). El SSL es prácticamente una norma de seguridad para todos sitios web que procesan información confidencial como contraseñas, pagos, etc y no viene instalado por defecto. Sin SSL la información se transfiera entre su navegador y su servidor sin encriptar, lo cual es capturado y descifrado por los hackers. SSL encripta los datos antes del envío, dificultando la lectura y haciendo que su sitio sea más seguro.

complementos-de-seguridad-de-WordPress-1024x512 5 consejos para mejorar la seguridad de tu sitio web en Wordpress

Cambiar a HTTPS. Por defecto WordPress utiliza HTTP como protocolo, el cual es fácil de interceptar y descifrar por un atacante sin que el emisor o el receptor se den cuenta. La seguridad en el intercambio de datos mejora al cambiar a HTTPS porque mantiene el tráfico seguro mediante el uso de certificados SSL como se explicó anteriormente.

Deshabilitar la edición de archivos. Por defecto WordPress le permite editar remotamente su tema y complemento. Si esto sigue habilitado, cualquier hacker puede obtener acceso a su panel de administración e inyectar código malicioso en su tema y/o complemento. Se recomienda también monitorear los archivos en busca de modificaciones no autorizadas, para ello existen complementos como WordPress File Monitor que detectan actividad no autorizada.

Además de estas sugerencias existen otras que usted como administrador deberá estudiar y estar atento.

5. Mantenga todo actualizado

Aunque parece el consejo de seguridad más básico que existe no está de más recordarlo porque es uno de los más importantes. Al mantener WordPress y todos los complementos que haya instalado actualizados, usted se cuida de tener corregidos los huecos de seguridad y otros fallos que se hayan encontrado a los mismos y que probablemente ya los hacker conozcan, además de gozar de las mejoras que se le hagan.

La mejor manera de mantener actualizado su sitio WordPress es asegurarse de tenerlo configurado para descargar y aplicar actualizaciones automáticamente, pero además deberá revisar periódicamente porque algunas de ellas tienen que instalarse manualmente.

actualizar 5 consejos para mejorar la seguridad de tu sitio web en Wordpress

Debe recordar que no podrá recibir actualizaciones ni soporte de temas si utiliza versiones piratas (nulled themes) de los temas premium de WordPress; además del riesgo que representan porque pueden contener oculto código malicioso.

En conclusión, la seguridad de su sitio WordPress es crucial para el éxito del mismo, mantenerla no es difícil y se puede hacer sin gastar dinero, sólo prestando atención a medidas básicas de seguridad. Sin embargo, es recomendable hacer copias de seguridad periódicamente porque ninguna medida de seguridad es 100% infalible y se debe tener la precaución de contar con copias que permitan restaurar y no perderlo todo en caso de algún fallo.

Deja un comentario