Los primeros ajustes que debemos realizar cuando instalamos un WordPress son relativos a mejorar la seguridad.
A continuación voy a ofrecerte una serie de recomendaciones que, si bien no van hacer que tu WordPress sea invulnerable, sí que van a aumentar tu seguridad muchísimo y vamos a evitar muchos de los intentos de hackeo:
1. Instalar el protocolo de seguridad Let’s Encrypt
Estamos hablando del protocolo ‘https’ para asegurar de que toda nuestra web funciona bajo el certificado de seguridad SSL y todas las conexiones sean seguras.
Este certificado ya viene instalado en cualquier hosting y en muchos de ellos se instala por defecto.
Casi al final de este artículo veremos un plugin que añade muchas de las configuraciones de seguridad de las que vamos hablar en este artículo.
2. Versión de PHP
Lo siguiente que debemos hacer es asegurarnos de que nuestra instalación de PHP está corriendo bajo su última versión. Esto es especialmente importante si tienes un blog con cierta antigüedad.
Las versiones de PHP se van actualizando y en muchas ocasiones debes ser tú el que actualice este lenguaje de programación sobre el que funciona WordPress. Tener la última versión instalada va hacer que tu web sea más veloz y segura.
Si tienes instalado CPanel en tu hosting, la actualización se hace con un clic. Puede que tu hosting la actualice automáticamente. Sin embargo, es conveniente que nos aseguremos de que tenemos la última versión.
3. Actualizar todos los plugins y nuestra versión de WordPress
Tanto los plugins como la versión de WordPress se actualizan de manera muy frecuente. Muchas veces se encuentran agujeros de seguridad y los desarrolladores de plugins actualizan sus versiones.
No siempre se trata de temas de seguridad cuando nos encontramos ante una actualización de WordPress o de un determinado plugin. Sin embargo, es recomendable tener todo actualizado a su última versión.
Las actualizaciones de WordPress suelen ser automáticas por defecto, a no ser que las desactives.
4. Tener una contraseña de administración fuerte
El administrador de un WordPress no siempre crea una contraseña fuerte. ¿Qué entendemos por contraseña fuerte?
- Aquella que incluye tanto mayúsculas como minúsculas.
- Aquella que incluye números y letras.
- Aquella que incluye caracteres especiales del tipo ‘%!/(*’.
- Aquella que sea larga: más de 10 caracteres del tipo que estamos nombrando.
En la sección de usuarios de nuestro WordPress, podemos hacer clic en “Editar” nuestro usuario y hacer clic en “Generar contraseña”. Por defecto, esas contraseñas automáticas que genera ese botón son seguras:
5. Moderar comentarios y desactivar Pingbacks
Esto no lo saben muchas personas.
A través de los comentarios se realizan muchas inyecciones de código malicioso. Para tener nuestro WordPress seguro de este tipo de comentarios debemos realizar 2 acciones en los ajustes de comentarios:
- Debemos desmarcar la casilla referente a admitir pingbacks y trackbacks.
- Activar la casilla de moderar manualmente todos los comentarios.
6. Eliminar el usuario de administración que crea WordPress por defecto
Cuando instalas un WordPress, éste te asigna un usuario de administración que tiene la identificación 1 en la base de datos:
Esto lo saben muchos hackers y lanzan exploits contra ese usuario para intentar identificar su contraseña. Por tanto, es muy conveniente eliminar ese usuario.
Lo que yo suelo hacer cuando instalo un WordPress es ir a la sección de “Usuarios” y crear uno nuevo con permisos de Administrador. Después, me deslogueo de WordPress y vuelvo hacer login con el nuevo usuario creado.
Es entonces cuando puedo eliminar el usuario con el id 1. Esta simple acción aumenta de forma notable la seguridad de tu WordPress.
7. Elije un nombre de usuario diferente al de “Admin”
El nombre de usuario “Admin” es el más usado en WordPress y eso también lo saben los hackers. Cuando lanzan ataques de fuerza bruta suelen usar el usuario “Admin” para intentar descifrar la contraseña.
El nombre de usuario ideal es un nombre compuesto: “Daniel Cana”, “Alex Garcia”,…
Esta acción junto con la eliminación del identificador número 1, hará que sea casi imposible entrar en tu panel de WordPress.
8. Instalar un plugin de seguridad
Con esta acción ya vamos a volver casi invulnerable nuestro WordPress. Nunca podremos garantizar una seguridad del 100 % pero sí evitar los ataques más comunes que se realizan WordPress.
Existen varios plugins de seguridad. Sin embargo, yo te aconsejo la versión gratuita de iThemes Security. Existe otro plugin de seguridad muy usado llamado Wordfence Security. Sin embargo, este último ensucia bastante la base de datos.
Con el plugin iThemes Security vamos a darle la puntilla a la seguridad de nuestro WordPress y vamos a blindarlo del 99 % de los ataques. Tiene bastantes configuraciones de seguridad importantes pero voy a nombrar las tres más destacadas:
8.1. Cambiar la url de acceso a nuestro panel de administración
Por defecto es wp-admin y los ataques de fuerza bruta se dirigen a esa url. Este plugin te permite cambiar la url de acceso, es decir, en lugar de que sea tuweb.com/wp-admin que sea tuweb.com/acceder-web.
Es importante que esa parte del slug sea compuesta: acceder-web, acceso-blog, etc.
8.2. Desactivar el archivo xmlrpc.php
Este archivo es una puerta de entrada a todos los hackers del mundo. De hecho, algún hacker chino me infectó un blog entrando por ese archivo.
Ese archivo te permite crear y actualizar entradas desde tu móvil. Como el 90 % de los webmasters no crean artículos desde su móvil, es aconsejable desactivar este archivo. iThemes Security te permite desactivarlo.
8.3. Activar el “Modo reposo”
Muchos de los ataques a WordPress se realizan en horas en las que no estamos trabajando en nuestro blog. Gracias al “Modo reposo” de este plugin podemos bloquear los intentos de acceso al panel de administración de WordPress en las horas que estamos durmiendo.
9. No instalar Themes y plugins nulled
Existen muchas páginas que ofrecen themes y plugins pirateados. Muchas personas los descargan e instalan en sus webs. Lo que no saben es que esos archivos pueden venir infectados y, además, no tienes acceso a las posteriores actualizaciones de dichos archivos.
Tenemos que aplicar el sentido común en estos casos y solo instalar themes y plugins que ya estén en el repositorio oficial de WordPress o desde la página oficial del plugin o Theme, en el caso de que lo hayamos comprado.
Consejo importante si tu web ha sido infectada
Hay hackeos que son muy evidentes porque simplemente la web carga con un mensaje tipo “Hacked by…”. Sin embargo, existen infecciones mucho más silenciosas que actúan a espaldas del administrador de la web.
Es recomendable, de vez en cuando, utilizar el comando “site:tuweb.com” en Google para ver qué tipo de páginas y artículos está indexando Google. No será la primera vez que me encuentro con artículos chinos en una web.
Ante estos casos, lo más recomendable es solicitar a nuestro proveedor de hosting que nos restaure una copia de seguridad anterior al hackeo y que tomemos las medidas oportunas para que no nos vuelvan a infectar.
Aplicando estos consejos tendríamos nuestra web mucho más segura.
Conclusiones
WordPress es el gestor de contenidos más utilizado para crear blogs, webs y tiendas online. No es de extrañar que esté en el punto de mira de los hackers de todo el mundo.
Con estas simples recomendaciones que hemos abordado en este artículo, evitarás los ataques más comunes a WordPress.
Si tienes alguna duda al respecto, no dudes en escribirla en la sección de comentarios.
Autor:
Daniel Cana Flórez
Blogger desde el año 2009 y ahora trabajando como redactor de contenido para webs.
