Seguridad en WordPress: 20 medidas para mejorarla con trucos y plugins

La Seguridad en WordPress también es importante para los fotógrafos.

Puede llegar a ser un dolor de cabeza, por más que haces siempre estás expuesto a ataques.

Hay tantas medidas que puedes tomar para aumentar la seguridad en WordPress que al final es un lío monumental.

Este artículo te ayudará a evitar fallos de seguridad en WordPress y sobre todo aumentará tu tranquilidad.

Seguro que vas a cambiar cosas y por tanto tu wordpress será un lugar más seguro.

En el vídeo que hay a continuación tienes mi explicación con ejemplos y contenido extra, no te lo pierdas.

 

Problemas de Seguridad en WordPress: el vídeo

Reproduce el vídeo y escúchalo mientras trabajas. Luego puedes completar el contenido con el texto del artículo. Encontrarás enlaces interesantes de plugins y otros artículos con información complementaria.

 

.

20 Medidas de seguridad en WordPress básicas

Hay muchas más acciones que puedes tomar para evitar fallos de seguridad en WordPress. En esta lista tienes sólo las más básicas e imprescindibles.

 

Medidas para asegurar WordPress en la instalación y configuración

1 – Cambiar el prefijo de las tablas de la base de datos

Por defecto WordPress siempre asigna el mismo prefijo a sus tablas: “wp_”

Esto hace muy fácil que se pueda reconocer qué tablas y qué bases de datos contienen contenido de WordPress. Eso alerta a los atacantes y les permite preparar su artillería.

Es en el momento de la instalación, en el conjunto de opciones avanzadas, donde podremos hacer este cambio.

Basta con poner otro prefijo diferente. Con 4 a 6 caracteres será suficiente. Puedes mezclar letras o números y siempre terminarás con un guión bajo.

cambiar el prefijo de la base de datos para aumentar la seguridad en wordpress

 

2 No usar ADMIN como administrador. Ni otros nombres evidentes.

Otra de las costumbres de WordPress es proponer como administrador a nuestro amigo ADMIN.

Esto lo saben los atacantes y es el primer nombre de usuario que prueban para intentar entrar.

El siguiente nombre que intentan usar es el mismo que el dominio.

Y finalmente intentan entrar con el nombre del propietario del dominio o la empresa, web etc.

Por tanto, si tu web es fotosdelta.com y te llamas Jaime Redondo, no podrás poner como administrador estos nombres:

1 – admin

2 – fotosdelta

3 – jaimeredondo

Tendrás que ser más imaginativo.

Crear cuenta de administrador para mejorar la seguridad en WordPress

3 Usa contraseñas seguras, muy seguras

Las malas contraseñas son uno de los mayores y más habituales fallos de seguridad en WordPress.

Ni que decir tiene que no puedes usar las típicas:

– 1234

– passwordd

– contraseña

– estanoesmicontraseña

– tu fecha de nacimiento o relacionadas con tu familia

– nombres relacionados con tu persona como los de tu familia o ciudad

Los atacantes tiene una lista de contraseñas que funcionan en más del 50% de los casos, probablemente deberías revisar la tuya.

crear contraseñas seguras en wordpress para fotografos - marketing vicente nadal

Lee en mi artículo “WordPress para Fotógrafos” cómo crear contraseñas seguras

 

 

Medidas de seguridad en WordPress de la gestión diaria

 

4 – Actualiza tus plugins

Los plugins desactualizados son una llamada que lanzas a los atacantes porque les estás diciendo “venid, estoy desprevenido”

Muchas de las actualizaciones de los plugins son por problemas de seguridad, por tanto debes tenerlos siempre actualizados.

 

5 – Instala sólo temas y plugins de sitios de confianza y que no estén obsoletos.

Es igual de grave instalar algo de una fuente desconocida como instalar un tema o plugin un año desactualizado.

Una fuente desconocida te hace pensar que en ese código puede haber de todo lo malo que puedas imaginar.

Sobre todo un tema o plugin muy obsoleto no estará protegido contra ataques y te dejará desvalido.

 

6 – Actualiza tu tema

Del mismo modo tener tu tema desactualizado es un signo de descuido que llama a los atacantes. Debes estar pendiente de los avisos y tenerlo siempre al día.

 

7 – Borra todos los temas y plugins que no uses

No hay razón alguna para mantener en tu instalación de WordPress temas o plugins que no usas.

No sólo ocupan espacio sino que estás dando más oportunidades de que se cuelen por esos resquicios…porque lógicamente no los actualizarás.

Sólo hay una excepción que es el tema por defecto de WordPress. Éste tema actúa como tabla de salvación en caso de no poder cargarse el tema que has instalado.

Si WordPress no puede abrir tu web con tu tema usa este a modo de último recurso, pero para eso debe de estar instalado.

Si tu wordpress es de los que al instalarse te carga varios temas y no sabes cuál dejar te recomiendo que dejes Twenty Fifteen como tema de emergencia. Es el más probable que busque WordPress en caso de emergencia.

 

8 – Actualiza el motor de WordPress

Las actualizaciones de WordPress no siempre son para tapar errores de seguridad, pero la mayoría sí.

No debes dejar pasar muchos días antes de actualizar tu WordPress, como sabes es un aviso a los atacantes.

 

Si tienes muchas actualizaciones que hacer de golpe este es el método que yo te recomiendo:

1 – haz copia de seguridad completa de la web

2 – actualiza los plugins uno a uno. Así, si falla uno, sabrás cuál es.

3 – vuelve a hacer copia de seguridad

4 – actualiza el tema

5 – vuelve a hacer copia de seguridad

6 – actualiza WordPress

 

9 – Haz copias de seguridad periódicas de tu web y base de datos

Las copias de seguridad son obligadas:

1 – una vez a la semana completas de toda la web

2 – cada día de la base de datos

3 – antes de una actualización masiva de plugins

4 – antes de actualizar el tema

5 – antes de actualizar WordPress

Así podrás recuperar la web si algo falla, que por desgracia suele pasar.

Es importante que las copias de seguridad las puedas almacenar fuera de tu servidor, en la nube. Si el atacante puede acceder a tu web también puede hacerlo a tus copias de seguridad e infectarlas.

Puedes completar este contenido con el artículo de Raiola Networks 10 plugins de backup para WordPress

 

Medidas de seguridad para WordPress con plugins

10 – Instala un plugin de seguridad

El plugin más usado como cortafuegos es Wordfence. Tiene una versión gratis que es muy interesante y te permite una configuración bastante potente.

Este plugin además de crear ese cortafuegos es capaz de analizar todos tus archivos y encontrar modificaciones sospechosas.

Está claro que hay más plugins de seguridad pero este es bastante habitual y funciona bien. Si tienes curiosidad busca en la red y encontrarás más opciones.

Puedes aprender a configurar Wordfence en este artículo.

Puedes ver éste y otros plugins de seguridad para WordPress en este artículo

 

11 Limita el número de intentos de login

Uno de los modos más sencillos de defender de los ataques es limitar el número de fallos al hacer login.

Se supone que tú sí conoces tu usuario y contraseña pero el atacante no. Esto le llevará a hacer muchas pruebas y por consiguiente a fallar repetidas veces.

Tú puedes evitarlo limitando a 3 veces los intentos de hacer login. Al tercer fallo se bloquea la IP de ese usuario que ya no podrá volver a intentarlo.

Esta penalización suele ser temporal. Tú decides cuánto tiempo debe pasar antes que ese usuario pueda volver a intentarlo.

Puedes limitar los intentos de login con Wordfence o con Limit login attempts

Esto lo puedes combinar con plugins que de comprobación humana  que evitan los accesos indeseados de bots.

Un plugin muy común para esto es reCaptcha

 

12 Evita los comentarios de Spam con Akismet

En los comentarios también se puede inyectar código malicioso por eso es conveniente que tomes medidas.

Principalmente moderando todos los comentarios. Adicionalmente configurando el plguin gratuito Akismet que controla los mensajes entrantes.

En mi artículoWordPress para Fotógrafoste explico cómo crear una cuenta gratis en Akismet.

13 – Evita registros de usuarios indiscrimandamente

Un modo de ataque es intentar registrarse en tu web y, una vez dentro, hacer diabluras.

Para evitar esto tienes el plugin WangGuard que te permite controlar y eliminar la amenaza del registro de atacantes.

 

 

Medidas para aumentar la seguridad en WordPress: configuración avanzada

14 – Protege tu archivo de configuración

El archivo wp-config.php contiene información sensible de tu servidor con datos referentes a:

– el nombre de la base de datos

– el nombre del usuario  de la base de datos

– la contraseña de la base de datos

– el prefijo de las tablas de la base de datos

Por eso es muy importante protegerlo de las miradas indiscretas y de modificaciones maliciosas.

 

Para protegerlo puedes hacer varias cosas

1 – Moverlo en tu servidor a una carpeta de nivel superior

mover-wpconfig

Como ves en la captura de pantalla de mi web de pruebas, originariamente lo tengo en la carpeta “public_html”.

Debería copiarlo a la carpeta superior, al raíz del servidor.

2 – Modificar los permisos de lectura y escritura del archivo prohibiendo su modificación. Es lo que en términos de gestión de archivos FTP se conoce como nivel de permisos 444.

Con estos permisos nadie podrá modificarlo, sólo leerlo.

Proteger archivo wp-config.php - permisos 444

3 – Modificando el archivo .htaccess con las siguientes líneas de código que lo protegerán.

<Files wp-config.php>

order allow,deny

deny from all

</Files>

Te recomiendo este sencillo artículo que explica qué es el archivo .htaccess

 

15 – Proteger la carpeta de subida por defecto wp-content

Esta carpeta se puede proteger por dos vías. Por un lado podrías moverla a otro sitio y por otro lado puedes limitar el tipo de archivos que se puede subir.

Moverla es complejo y puede darte problemas por lo que es más sencillo limitar el tipo de archivos que se puede subir indicando la extensión y tipo de los mismos.

Esto lo puedes hacer añadiendo el siguiente código al archivo .htaccess:

<Files ~ “.*\..*”>

Order Allow,Deny

Deny from all

</Files>

<FilesMatch “\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|key|zip|rar)$”>

Order Deny,Allow

Allow from all

</FilesMatch>

 

16 – Proteger el archivo .htaccess

De nada sirve tener una puerta acorazada en tu casa si dejas las llaves puestas en la cerradura.

Pues del mismo modo de nada sirve proteger tu web configurando el archivo .htaccess si luego no lo proteges.

Para ello tendrás que añadir en el mismo archivo .htaccess el siguiente código:

<files .htaccess>

order allow,deny

deny from all

</files>

 

17 – Protege contra escritura tus carpetas y archivos

Parece evidente que si tus archivos y carpetas están desbloqueados y cualquiera puede modificarlos estás dejando un agujero de seguridad importante.

Para evitar esto debes de eliminar el permiso público de escritura de archivos y carpetas. Lo has de limitar para que sólo tú como administrador puedas hacer esos cambios.

Esto puedes hacerlo desde tu panel de control (cPanel o similar) o con un programa de FTP cualquiera.

Los archivos deben de tener permiso 644 y las carpetas 755. Si miras las capturas de pantalla lo entenderás mejor.

permisos 644 para aumentar la seguridad en wordpress

permisos 755 para aumentar la seguridad en wordpress

 

 

18 – Evita la navegación por las carpetas de tu WordPress

No es bueno que cualquiera pueda sacar un listado de tus carpetas y que se ponga a navegar por ellas. Es como si le dejaras los planos de tu casa y le dieras la llave.

Para impedir eso sólo tienes que añadir una línea de código a tu archivo .htaccess, esta:

Options All -Indexes

 

Medidas de seguridad en WordPress externas a tu web

19 – Crea tu cuenta de Google Search Console

Antes llamado Herramintas de Google para Webmasters, esta cuenta te ayuda en muchas cosas.

Por un lado permite que Google te avise directamente si detecta virus en tu web. A mi me ha pasado y se que es cierto.

También te da información de tu web sobre:

– la velocidad de carga

– el estado de la indexación

– las palabras clave detectadas

– los enlaces entrantes o backlinks

– información sobre el ranking de tus páginas y el tráfico que reciben

y otras funciones más que hacen de esta una herramienta especialmente relevante para tu SEO y tu seguridad.

 

20 – Contrata un hosting de confianza que te proteja

No todos los servicios de hosting son iguales por lo tanto es importante escoger bien.

Si contratas un servicio barato puedes encontrar más fallos de seguridad en el mismo servidor. Tendrás menos protección que en uno de calidad y además menos servicios y garantías.

Pagar un poco más en un hosting de calidad está totalmente justificado para tener tranquilidad para tu web.

 

 

 

 

CONCLUSION

La seguridad en wordpress no sólo es vital sino que es fácil de incrementar.

Revisa tu WordPress y tu hosting y mira qué elementos has de revisar para aumentar la seguridad de tu web.

Tu Web es tu casa y tu negocio, si está desprotegida tú también lo estás.

 

Cuéntame ¿cómo tienes tu web? ¿tienes muchos agujeros de seguridad? ¿se te ocurre algo más que podamos hacer fácilmente para incrementar la seguridad de WordPress?

Deja tus comentarios y tu valoración del post y compártelo en tus redes sociales.

 

Resumen
Título
Seguridad en WordPress: 20 medidas para mejorarla, trucos y plugins
Descripción
Como evitar los fallos y problemas de seguridad en WordPress y aumentar tu tranquilidad con 20 medidas basadas en trucos y plugins.
Autor
Autor de la publicación
Marketing para Fotógrafos
Logo del autor

1 COMENTARIO

Deja un comentario

  • Claridad
    0.0
  • Utilidad
    0.0
  • Originalidad
    0.0