In WordPress
Seguridad WordPress ¿Como conseguirla en 10 pasos?
4.43 (88.57%) 7 votos

Seguridad WordPress: en 10 pasos

 

Hola amigo lector!

Como ya sabrás, WordPress es uno de los gestores de contenidos más usados hoy en día. (por algo nos gustá tanto ¿no?)

De ahí que también es él CMS que más ataques de hackers se lleva.

Es algo que todos sabemos, pero ¿es seguro tu WordPress?

Esa es la gran pregunta.

Si hay algo que no le deseo a nadie es quedarte sin tu trabajo de largos meses por culpa de una contraseña sencilla o un plugin de pago que te descargaste desde las tipicas páginas nulled 😉

Hoy quiero enseñarte 10 pasos para mejorar la seguridad de tu WordPress.

seguridad-wordpress

1. Elige un buen Hosting

No esperes milagros si estás en un hosting de “pacotilla”.

SUSCRIBETE YA A MI BLOG Y RECIBE EN TU CORREO 2 EBOOKS GRATUITOS

¡ÚNETE YA A MI PEQUEÑA TRIBU!

Te mandaré al instante los 2 Ebooks que he preparado para ti :)

Uno de los puntos a mirar siempre a la hora de contratar un hosting, es la seguridad que te ofrece de cara a posibles ataques de hackers.

Si hay algo que me gusta de Webempresa.com es que desde que estoy con ellos no he tenido ni un solo problema de seguridad. Por algo es el hosting que recomiendo siempre.

Además, busca siempre un hosting que haga automáticamente copias de seguridad cada X horas.

 

2. Actualiza tu WordPress

Lo peor que puedes hacer es no ir actualizando el propio WordPress.

Hace cosa de un mes y medio salió la nueva versión de WordPress 4.2.2. Pues aún entro en algunas web’s de clientes y veo que siguen sin haber actualizado el WordPress.

Es una de las cosas más sencillas de hacer, saben hacerlo, pero supongo que por pereza no lo hacen.

Vale, me parece perfecto. Pero entonces cuando un día te des cuenta de que has sufrido un ataque por parte de un hacker, no pretendas que no te vaya a decir el ya famoso: Te lo dije!

 

3. Actualiza tus plugins!

A ver, no es por ser pesado, pero es que a veces es de risa. Como es posible que en ciertas páginas entras en el admin y tienen 30 actualizaciones pendientes?

Lo primero, el número de 30 plugins ya me da miedo. Pero, ¿como demonios no los actualizas? ¿Es tan difícil darle al botón de Actualizar Todos?

Misterios de la vida 😛

Uno de los principales factores a la hora de aumentar las posibilidades de que te hackeen es por no actualizar el propio WordPress, los plugins o la plantilla que uses. En cada actualización se añaden cosas, se mejoran otras, y se arreglan errores de seguridad que hayan sido señalados. Por eso es tan importante mantenerlo todo actualizado.

 

4. Tu contraseña

La contraseña es un aspecto vital a tener en cuenta a la hora de aumentar la seguridad WordPress.

Pero hay varias cosas a tener en cuenta.

A) Contraseña aleatoria

Pues sí, has leído bien. Esa contraseña que es tan fea y difícil de recordar. Pues esa es la que deberías de escojer siempre. No olvides copiarla en algún documento preparado para guardar todas tus contraseñas (ya que no van a ser pocas si quieres empezar en esto del blogging :p)

B) Cambiar la contraseña cada cierto tiempo

Otra buena manera de aumentar la seguridad de tu contraseña es cambiarla cada cierto tiempo. Mi consejo es cambiarla cada 2 meses y siempre por otra contraseña aleatoria. Además yo le hago siempre alguna alteración por si acaso 😛

seguridad-wordpress-contraseña

 

5. Nombre de usuario

El nombre de usuario de tu blog nunca puede ser el que viene por defecto. (admin)

Tampoco es buena idea poner tu nombre,etc…

Es como si al ladrón le dejases un manojo de llaves en la puerta para que pruebe!

Intenta siempre cambiarlo y que contenga mayúsculas, números o signos (que siempre son buenos)

 

6. Haz copias de seguridad

Más vale prevenir que curar ¿no?

Pues nunca mejor dicho, yo mismo pasé por este problema. Y te puedo asegurar que no es plato de buen gusto el descubrir un día que tu página web no funciona, y lo que es peor, que no tienes nada guardado!

Siempre recomiendo tener un plugin para ello, (mi preferido es UpdraftPlus Backup And Restoration, aquí tienes una guía para su uso) pero recuerda que si elegiste bien el hosting, también deberían de tener copias de seguridad de tu web automáticas.

 

7. Nada de plugins “nulled”

Sé que estamos en tiempos de crisis, pero muy pocas veces podrás encontrar plugins de pago en descarga gratuita.

Parece tonto, pero seguro que a tí también te ha pasado.

Quieres un plugin muy chulo para tu web/blog pero cuesta 20$.

¡Vaya por dios! Y tú sin pasta ahora…

Una pequeña busqueda en google tipo descargar plugin wordpress gratis

Y voilá! Allí lo tienes, listo para que les des a descargar y ahorrarte 20$ ¿no?

PUES NO!

¿A caso encuentras televisiones con 3d, led, full hd, smart tv y gratis esperándote tiradas en medio de la calle?

Pues esto es lo mismo, esos plugins lo más probable es que estén infectados con algun malware que hará que tu página web caiga en las manos inadecuadas.

Lo mismo pasa con las plantillas.

Mi consejo, compra siempre los plugins y descargalos siempre de la página del autor, de codecanyon o del repositorio de plugins de WordPress.

Si quieres tener la versión PRO o Premium de algún plugin, COMPRALO!

Ahorrarás en disgustos.

seguridad-en-wordpress

 

8. Contrata un Portero Anti-Hackers 24h para tu web

Hombre, no podía faltar.

Si quieres estar más tranquilo asegurate de tener en la puerta de tu web al Portero por excelencia.

No, no me he vuelto loco. Estoy hablando de un Plugin de seguridad para WordPress.

Puedes elegir entre varios, iThemes Security, WordFence, etc…

Pero elige uno YA e instalalo!

Gracias a estos pequeños plugins (ironía mode off) podrás estar más tranquilo.

Yo personalmente uso WordFence y no he tenido ningún problema en este año. Cuando ocurre algo te avisa por email (en la versión de pago te avisa al móvil! :o)

Las principales funciones que deberías tener en cuenta son:

  • Que tenga protección ante los ataques de login
  • Firewall
  • Posibilidad de bloquear por IP (útil para el SPAM)

 

9. Latch de ElevenPaths

Supongo que conocerás a Chema Alonso, el hacker español que nos está dando tantas alegrías en el mundo entero ¿verdad?

Si no te as enterado de nada, enciende la tele algún día macho! Que Maligno Alonso está presente en las mejores conferencias de España! Y hasta a salido en el hormiguero! 😛

Pues por si no lo sabías, el equipo de ElevenPaths ha creado un sistema para ponerle un candado a tu WordPress.

Sí, me has oído bien.

Latch es una aplicación que sirve de candado para servicios online. Y como no, WordPress está presente en Latch.

Si estás interesado en usar Latch en WordPress sigue este enlace 😛

 

10. Solo te queda rezar

Si has seguido todos los pasos, solo te queda rezar. Se puede decir que se lo has puesto más difícil a los hackers, pero no imposible!

 

Conclusiones

Sinceramente, soy de los que piensan que este tema es de fácil solución. Solo hay que tener un poco de sentido común.

No puedes dejar tu WordPress en la versión 3.9, ni tampoco dejar los plugins sin actualizar.

No deberías darle tus contraseñas a nadie, ni entrar en tu web estando en una red Wifi publica o no segura.

En fin, tantas cosas tan sencillas y que luego nos pueden costar tanto.

Termino diciendo, cuida de tu negocio de una vez!

¿O dejarías abierto tu local por las noches?

 

¿Me he dejado algo? ¿Usas otro método que no he citado para proteger tu WordPress?

Si has llegado hasta aquí me gustaría que me dieras tu opinión sobre el post.

Hasta la próxima!

Alex Sanchez
Entusiasta, emprendedor, amante del buen fútbol y loco por los bull terrier. Me apasiona lo que hago, las tecnologías y el deporte. Si buscas contenido interesante sobre WordPress, Prestashop, Marketing, y algo de SEO este es tu blog.
Recommended Posts
Showing 4 comments
  • Roberto Sotelo
    Responder

    Hola Alex,
    Soy nuevo por aquí, no se como viene a caer aquí pero me gustaron tus artículos y tengo un buen rato leyendo sin cansarme jaja.

    Interesantes puntos, muy correctos de cara a asegurar nuestro wordpress, aunque me da miedo el punto 10 la verdad es que es la realidad, al final solo estamos poniendo las cosas más difíciles pero no estamos seguros al 100%, nada en internet es seguro al 100%.

    Yo quiero aportar mi granito de arena, veo que no hablaste sobre librarse del ataque de fuerza bruta, y aunque a día de hoy no sea tan efectivo, cuando lo recibamos haremos que nuestro servidor web trabaje demasiado cosa que nos podría pasar la factura.

    La solución que yo le dí a este problema es instalar el plugin Google Captcha (reCAPTCHA) by BestWebSoft, que hace aparecer el Captcha V2 de Google, así nos libramos de los ataques de fuerza bruta.

    Además esto tiene otro beneficio, que hace aparecer el captcha en todos los forms por lo tanto también nos libramos de los cientos de mensajes spam que ralentizan nuestro wordpress (ojo que algunos plugins no bloquean los mensajes spam, solamente los ponen como spam, pero los mensajes siguen guardados en la base de datos y esto ralentiza la carga del sitio).

    Es lo que uso y me funciona muy eficazmente, espero que les sirva a ustedes también.

    Un saludo.

    • Alex Sanchez
      Responder

      Mil gracias por tu comentario Roberto.

      Me alegra saber que te haya gustado mi blog.

      Buen apunte el del reCaptcha, la verdad que si que cansan los comentarios de SPAM jejeje!

      Un saludo!

  • Manel
    Responder

    Buenas,

    Muy buen post. Solo matizar que la parte de actualizar pluggins y versión WordPress en mi caso no es tan fácil.

    Realizo web totalmente a medida coin WordPress, programando muchas cosas a mano, todo y trabajar con plantillas child y casi nunca tocar la programación de los pluggins, cuando actualizo un WordPress puede que se me rompa la web.

    El tema ‘deprecated’ que consiste en que una función en versiones más nuevas ya no funciona em más de una ocasión me a dado muchos dolores de cabeza.

    Asi que en mi caso planifico las actualizaciones tanto de WordPress y pluggin a nivel de cambios de mini-version de un nivel, me refiero que si se pasa de la versión 3.8 a la 3,8.3 no actualizo, sino que actualizo cuando sale la 3.9.

    Solo como anecdota en los últimos meses ubieron muchos ataques por culpa de un pluggin llamado ‘Revolution Slider’ que los desarrolladores cada vez que les atacaban sacaban una nueva versión, conseguian estable el pluggins unas 2-3 semanas y les volvian a atacar. Por lo que recomiendo que no lo useis.

    • Alex Sanchez
      Responder

      Hola Manel, exactamente como bien dices el plugin de Revolution Slider tiene bastantes fallos de seguridad. Yo me he pasado a LayerSlider, mucho mejor para mi gusto.
      Aunque como bien dice mi amigo Oscar Fernández, recomendaría eliminar los slider…

      En tu caso es mejor hacer las actualizaciones como las haces, y más aun si te sientes cómodo así… Pero para los “nuevos” usuarios es mejor ir actualizando a medida que van saliendo las actualizaciones ya que será siempre más fácil y dará menos problemas.

      ¡Todo esto habiendo hecho antes copias de seguridad!

      Muchas gracias por pasarte Manel, espero verte pronto por aquí.

      Un saludo!

Leave a Comment

Contacta conmigo

Envíame un email con lo que necesitas y te enviaré un presupuesto ajustado a lo que buscas en menos de 48 horas.

Not readable? Change text.

Start typing and press Enter to search