12 formas de mejorar la seguridad en WordPress

Cuidar la seguridad en WordPress es una de las tareas que no debes dejar aparcadas si quieres mantener a salvo tu proyecto web y proteger la seguridad de tus clientes.

Al igual que cuando sales de casa te aseguras de dejar las ventanas y la puerta bien cerrada, en WordPress tienes que hacer lo mismo. Si quieres proteger tu web, tienes que asegurarte de no dejar ni un resquicio por el que cualquier usuario malintencionado pueda acceder a tu web.

¿Dispuesto a poner a punto tu web? Aquí te mostramos 12 formas de mejorar la seguridad de WordPress. ¡Sigue leyendo!

12 formas de mejorar la seguridad de WordPress

1. Protege wp-admin y wp-login

Protegiendo el login de WordPress estarás generando un pre-login que no permite a ningún usuario acceder al panel de acceso de WordPress sin antes introducir un usuario y una contraseña.

¿Cómo hacerlo? El archivo .htaccess te permite habilitar o deshabilitar algunas configuraciones de tu servicio con el objetivo de mantener o mejorar la seguridad de tu web. Entre estas funciones, está la de proteger cualquier directorio, así que puedes proteger el directorio wp-admin. Si utilizas cPanel es muy simple:

1º. Accede a cPanel y, en la sección Archivos, pulsa sobre “Privacidad del directorio”.

2º. En la nueva ventana, verás una lista de carpetas. Selecciona la carpeta “public_html”.

3º. Ahora simplemente escribe el directorio que quieres proteger. En este caso, escribimos el nombre del directorio, es decir, “wp-admin” y pulsamos sobre “Salvar”. A continuación, creamos un usuario y una contraseña segura y volvemos a pulsar sobre “Salvar”.

Si todavía estás empezando con tu web y todavía no te manejas muy bien, a continuación te explicamos una buena alternativa a ello: cambiar la URL de acceso a WordPress.

2. Cambiar la URL de acceso a WordPress

Es muy habitual que, cuando instalamos WordPress accedamos siempre a nuestra aplicación a través de la URL que nos dan por defecto. Algo del tipo: www.tudominio.com/wp-admin/

Cuando un hacker intenta acceder a tu web, lo primero que va a hacer es intentarlo a través de esa URL de acceso, así que por qué no cambiarla y establecer algo como: www.tudominio.com/entrar-web/

Puedes hacerlo desde el archivo .htaccess, pero si buscas algo más sencillo, el plugin WPS Hide Login es fantástico para ello.

3.  Usuario “admin”, ¡jamás!

¿Por qué ponérselo tan tan fácil a los ciberdelincuentes? Modificar el usuario admin de WordPress no te llevará ni 10 segundos (sí, literalmente). Cuando estés instalando tu aplicación, en cuanto te pida incluir un usuario, elimina “admin” y escribe uno diferente.

4. Utiliza una contraseña fuerte

Sí, en la imagen anterior ya ves como WordPress califica del 0 al 100 la seguridad de tu contraseña, así que asegúrate de hacerla lo más fuerte segura. Por ejemplo, en LastPass puedes generar contraseñas con caracteres especiales, mayúsculas, números… ¡De hasta 2048 caracteres! Al fin y al cabo, si utilizas un gestor de contraseñas te dará igual copiar y pegar 8 caracteres que 20 🙂

Además de crear una contraseña fuerte y no algo como “123456” o “abc123”, también es recomendable que las actualices con relativa frecuencia y que no uses la misma contraseña en todas tus cuentas.

Puede interesarte: Cómo cambiar la contraseña de WordPress.

5. Limita los intentos de acceso fallido

Seguro que si un usuario legítimo intenta acceder a su cuenta y se confunde al introducir su usuario y contraseña, no es capaz de realizar 80 intentos en un solo minuto, ¿no crees?

Limitando el número de accesos fallidos, estarás protegiendo tu web frente a intentos masivos que realizan los ciberdelincuentes. Aunque algunos plugins de seguridad ya incluyen esta opción como Wordfence o un sistema de Captcha, nosotros ya lo hemos incluido por defecto en nuestros servidores. Por tanto, ante varios intentos de acceso fallidos desde una misma IP, ese usuario será bloqueado para evitar el acceso a tu web.

6. Cuidado con los plugins

No es la primera vez que te hablamos de esto. Antes de instalar un plugin es necesario que sigas algunas recomendaciones, pero esto no acaba aquí. Una vez que tienes tus plugins instalados en WordPress tampoco puedes olvidarte de ellos. Recuerda:

• Limita su uso. No instales plugins por instalar.
• Mantén los plugins siempre actualizados.
• Si algún plugin ya no lo necesitas, elimínalo de tu aplicación.

7. Mantén siempre actualizada la versión de WordPress

Cada vez que se detectan vulnerabilidades en el código de WordPress, la enorme comunidad que está detrás de este CMS no tarda nada en repararlo y lanzar una nueva actualización. Además de mejoras a nivel de seguridad, cada actualización corrige errores e incorpora mejoras que pueden mejorar el funcionamiento de tu web.

Volviendo al ejemplo que te pusimos al comienzo de este post, utilizar una versión antigua de WordPress es como dejar una puerta con la cerradura estropeada por la cual pueden acceder más fácilmente a tu aplicación.

En ocasiones se discute sobre el tiempo que debe transcurrir entre que se libera una nueva versión y la actualizamos. Por ejemplo, a principios de febrero cuando se liberó la versión de WordPress 4.9.3 apenas duró unas horas, se detectaron problemas de seguridad en el registro de cambios del Personalizador y pronto sacaron la 4.9.4.

No es algo que pase habitualmente, pero es necesario estar siempre alerta y tener una copia de seguridad en tu web. En el siguiente apartado te explicamos el por qué.

8. Ten siempre copias de seguridad en tu web

Sobre esto no hay ningún tipo de debate. Hacer copias de seguridad o backups de tu web regularmente es fundamental y seguro que te salvarán en más de una ocasión. Algunas de estas situaciones son más habituales de lo que crees:

• Me han hackeado la web, ¿qué hago ahora?
• Actualicé WordPress, pero uno de mis plugins no era compatible con esta nueva versión y mi web no funciona.
• ¡Necesito volver atrás! He aplicado cambios en mi web y los resultados no se parecen en nada a como yo me lo imaginaba.

Importante: No almacenes las copias de seguridad en tu cuenta de hosting. Utiliza una unidad de almacenamiento externo como Dropbox o descárgalas en tu PC o en un disco duro. Además, asegúrate siempre que la copia que has hecho está completa y es válida para restaurar tu web.

9. Utiliza un plugin de seguridad para WordPress

Un plugin de seguridad para WordPress podrá ayudarte a mantener a los hackers a raya. Recientemente en nuestro blog te hemos mostrado una lista con los mejores plugins para WordPress, entre los que incluíamos algunos plugins de seguridad como Wordfence Security o iThemes Security.

Si haces una búsqueda en el repositorio de WordPress seguro que encuentras muchísimos más, pero estos son algunos de los más utilizados y valorados. Te permiten realizar escaneos de tu sitio, te envía notificaciones si detectan algún movimiento sospechoso, bloquean ataques de fuerza bruta, etc. Es una buena forma de darle un plus de seguridad a tu web.

10. Cambia el prefijo de la base de datos

En la base de datos se guarda toda la información (datos) de tu web, así que también debes protegerla. Si algún usuario malintencionado quiere hacerse con tu información, es probable que empiece por aquí.

Por defecto, el prefijo de la base de datos es wp_ , de manera que tus tablas se mostrarán como wp_comments o wp_posts, así que debemos de cambiarlo por algo como hk_ o cualquier otro prefijo que se te ocurra.

Si instalas WordPress en uno de nuestros planes de hosting, verás que nosotros ya lo hemos modificado por defecto. De todas maneras, si utilizas otro servicio podrás hacerlo fácilmente desplegando la sección “Advanced Options” en el proceso de instalación de WordPress:

11. Mantén tu web libre de spam

¿Sabes qué son los sploggers? Son usuarios falsos que se registran masivamente en webs o blogs con el objetivo de intentar acceder a tu configuración e introducir de manera masiva contenido de spam en tu web o blog. Además, en ocasiones, se utilizan los formularios de contacto o comentarios para inyectar código malicioso, así que protégete.

Por ejemplo, un plugin como Akismet (ya viene instalado por defecto en WordPress) detectará los comentarios publicados por bots e impide su publicación. Además, incluir un sistema de verificación como Really Simple CAPTCHA puede suponer una gran barrera para los hackers.

Te puede interesar:

• Cómo evitar el registro de usuarios spam en WordPress
• Cómo evitar comentarios spam en WordPress

12. Contrata un hosting de calidad

Otro aspecto fundamental si quieres mejorar la seguridad de WordPress. De nada te sirve que apliques todas estas medidas, si los cimientos de tu web no son buenos.

Todos nuestros planes de hosting web incluyen medidas de seguridad anti-hackeo y anti-spam para proteger tu web al máximo. Además, gracias al sistema CageFS, todas las cuentas del servidor están virtualmente aisladas. Es decir, no te verás afectado por un mal uso de cualquier otra persona, por lo que conseguimos una plataforma mucho más estable y segura.

¿Por qué debo aplicar estas medidas? ¿No es seguro WordPress?

Cuando decimos que debes mejorar la seguridad en WordPress, no queremos decir que sea un software poco seguro o de buena calidad. Realmente, es uno de los mejores CMS para crear una página web, de hecho actualmente WordPress supone más de un 30% de todas las webs publicadas en Internet, que no es poco.

Precisamente, que sea el software más utilizado en todo el mundo hace que se convierta en uno de los objetivos principales para los ciberdelincuentes y tú debes asegurarlo. Al igual que cuando te haces con una tienda para montar tu propio negocio y semanalmente realizas tareas de mantenimiento para tenerla siempre a punto, con una web pasa lo mismo. Y entre alguna de estas tareas, está la de cuidar y mejorar su seguridad.

Además, si quieres optimizar tu web (WPO), es necesario que tu sitio sea seguro. Tus visitas y tu SEO te lo sabrán agradecer 🙂

Recapitulando…

Mejorar la seguridad de WordPress es una de las tareas que no puedes dejar de lado si quieres mantener la integridad de tu web y la seguridad de tus clientes. Además, si quieres tener una web optimizada es fundamental que sea seguro navegar por ella y que en ningún momento se ponga en riesgo toda tu información y los datos de tus clientes.

Por suerte, hay muchas formas de asegurar WordPress al máximo, ¡toma nota de las que hemos hablado en este post!

1. Protege wp-admin y wp-login
2. Cambiar la URL de acceso a WordPress
3. Usuario “admin”, ¡jamás!
4. Utiliza una contraseña fuerte
5. Limita los intentos de acceso fallido
6. Cuidado con los plugins
7. Mantén siempre actualizada la versión de WordPress?
8. Ten siempre copias de seguridad en tu web
9. Utiliza un plugin de seguridad para WordPress
10. Cambia el prefijo de la base de datos
11. Mantén tu web libre de spam
12.  Contrata un hosting de calidad

Y tú, ¿qué otras medidas tomas en tu web para mejorar la seguridad de WordPress?