Todo lo que Debes Saber Sobre Seguridad en WordPress (+20 Consejos de Fortalecimiento)

Si buscas el mejor sistema de administración de contenido para impulsar a tu sitio web, no necesitas mirar más allá de WordPress.

WordPress es una plataforma excelente y segura, fuera de lo común, pero hay varias cosas que puedes (¡y deberías!) hacer, para mantener tu sitio a salvo de quienes lo acechan con malas intenciones. Muchas de estas mejoras de seguridad son fáciles de implementar y pueden ser realizadas, manualmente, en pocos minutos. Otros simplemente requieren instalar un plugin plugin específico.

En este artículo, te guiaremos a través de 20 estrategias para mejorar las defensas de tu fortaleza WordPress. Pero primero, hablemos un poco de por qué la seguridad web es vital.

¿Por Qué La Seguridad En WordPress Es Tan Importante?

Si buscas crear un sitio seguro, elegir WordPress como tu plataforma es una forma genial de comenzar. No solo es flexible y poderosa para crear sitios web — sino que también es notablemente segura, desde el inicio.

Por supuesto, no hay una plataforma que sea 100% segura, hoy en día. Por eso, hay algunas razones para pensar en la seguridad de tu sitio de WordPress:

• Popularidad – WordPress alimenta una gran parte de sitios web en Internet, así que es un objetivo para los ciberdelincuentes. Su amplio uso lo hace ser una plataforma atractiva para explotar vulnerabilidades y obtener acceso no autorizado a los sitios.
• Vulnerabilidades – Como cualquier software, WordPress tiene vulnerabilidades. Los hackers constantemente las buscan en tus temas, plugins y software principal. Que ellos puedan explotarlas, puede llevar a un acceso no autorizado, violaciones de datos, vandalismo, e incluso, al control total de tu sitio web.
• Filtración de datos – Los sitios web de WordPress suelen almacenar información sensible, como direcciones de correo electrónico, contraseñas y datos personales. Una brecha de seguridad puede exponer estos datos confidenciales, lo que lleva a robos de identidad, pérdidas financieras, e incluso a consecuencias legales. (¡Ouch!)
• Impacto en SEO – Si tu sitio de WordPress se ve comprometido, puede usarse para actividades maliciosas, como alojamiento de malware, redirección de los visitantes a sitios web dañinos, o envío de spam. Los motores de búsqueda detectan y penalizan estos sitios, así que si es el caso, tus calificaciones con ellos y tu tráfico orgánico tendrán un desplome significativo, hasta que recuperes el control de tu sitio.

• Reputación y confianza – Si tu sitio web de WordPress se ve comprometido y es usado con fines maliciosos, dañará seriamente tu reputación, como propietario del mismo. Además, socavará la confianza de tus usuarios. Piensa, por ejemplo, en una tienda en que sueles comprar. Si ellos no pueden mantener seguros tus datos personales, ¿seguirías comprándoles? De hecho, ¿alguien podría culparte si no?
• Tiempo de inactividad y pérdida financiera – Si hackean tu sitio, su tiempo de inactividad puede ser largo, mientras resuelves la brecha de seguridad. Mientras tu página esté inactiva, puedes perder negocios, reducir tus ingresos y tener un aumento en tus gastos, debido a tareas de recuperación y restauración.

Dados estos riesgos, vale la pena invertir en medidas de seguridad para WordPress; así estarán protegidos tanto tu sitio, como los datos de tus visitantes. Es mejor dedicar tiempo y esfuerzo a esta tarea, en una medida similar a la que usaste al diseñar tu sitio en primer lugar (o incluso, más). Afortunadamente para ti, querido lector, hay muchas formas simples y rápidas para mejorar la seguridad de tu sitio, así como también algunas técnicas (de corte más complejo) que te pueden venir bien — a continuación, te hablaremos de ellas.

Principales Vulnerabilidades de Seguridad de WordPress

Antes de ver sugerencias de seguridad, conoce a tu enemigo, como diría el refrán. Conoce estas vulnerabilidades comunes de seguridad, para que cuidar a tu sitio de WordPress de ellas, sea más fácil.

• Software, temas, y plugins desactualizados – Usar versiones obsoletas de WordPress, temas o plugins, puede dejar vulnerable tu sitio ante conocidas fallas de seguridad.
• Nombres de usuario y contraseñas débiles – Las credenciales débiles de inicio de sesión, son una puerta abierta para los hackers. Evita nombres de usuario comunes como “admin”, y usa contraseñas sólidas y únicas, con letras, números y símbolos.
• Ataques de fuerza bruta – Los ataques de fuerza bruta son intentos repetidos de adivinar tus credenciales de inicio de sesión. Evítalos, limitando los intentos de inicio de sesión y usando la autenticación de dos factores (más sobre esto en un momento).
• Secuencia de comandos en sitios cruzados o Cross-site scripting (XSS) – Las vulnerabilidades XSS tienen lugar cuando scripts maliciosos se insertan en páginas web, comprometiendo potencialmente los navegadores de los usuarios o los datos de sesión. Muchos plugins de seguridad tienen funciones para prevenir XSS.

• Infecciones de malware – El malware puede ser insertado en tu sitio mediante vulnerabilidades, temas o plugins infectados, o archivos comprometidos. Evítalo, verificando la reputación de un plugin antes de instalarlo. Además, haz escaneos regulares, buscando malware. Hallarás infecciones, antes de que hagan daño.
• Puertas traseras – Una puerta trasera o backdoor, es el punto de entrada oculto de tu sitio web. Permite acceso no autorizado, aun después de que hayas implementado medidas de seguridad. Actores maliciosos pueden crear las puertas traseras. Pero pueden ser introducidas accidentalmente, mediante temas o plugins comprometidos, o prácticas débiles de seguridad. Establecida una puerta trasera, puede dar acceso no autorizado a un atacante, quien manipulará tu sitio, robará tus datos o realizará actividades maliciosas, sin que el dueño del sitio web tenga conocimiento alguno.

La implementación de plugins de seguridad, junto con otras buenas prácticas, protegerá tu sitio de estas vulnerabilidades. Entonces, sin más preámbulos, vamos a lo que estás esperando: 20 consejos prácticos de seguridad para WordPress.

20 Consejos de Seguridad Para WordPress

Con suerte, ya te convencí de la importancia de mantener seguro tu sitio de WordPress. Si no, tendré que inscribirme de nuevo en el Curso Básico de Escritura Persuasiva. Por favor, no me hagas hacerlo.

A través del resto de este artículo, te presentaré 20 estrategias (junto con algunos de los mejores plugins de seguridad de WordPress) para hacer tu sitio más seguro, contra algunas de las vulnerabilidades de seguridad más comunes y peligrosas. No tienes que implementar cada sugerencia en esta lista (aunque podrías), pero entre más pasos tomes para asegurar tu sitio, más bajas serán las probabilidades de que haya un desastre en tu camino.

1. Usa un Proveedor de Hosting de Calidad

Puedes pensar en tu servicio de alojamiento, como en la calle en la que vive tu sitio en internet. Así como una buena escuela importa para el futuro de tus hijos (o eso dicen; yo salí bien), la calidad de la base inicial de tu sitio web, es fundamental.

Un proveedor de alojamiento sólido puede impactar la eficiencia y confiabilidad de tu sitio, así como en cuánto puede crecer, e incluso en qué tan alto clasifica en los motores de búsqueda. Las mejores compañías de alojamiento ofrecen muchas funcionalidades útiles, excelente soporte y un servicio hecho a la medida, para la plataforma que escojas.

Como probablemente ya adivinaste, tu compañía de alojamiento también puede tener un impacto significativo en la seguridad de tu sitio. Hay muchos beneficios de seguridad, si eliges un servicio sólido de alojamiento.

Cómo el Alojamiento Web Puede Mejorar La Seguridad de WordPress:

• Una compañía de alojamiento actualiza su servicio, software y herramientas constantemente, para responder a las últimas amenazas y eliminar las potenciales violaciones de seguridad.
• Las compañías de alojamiento ofrecen varias funcionalidades específicas de seguridad, tales como certificados SSL/TLS y protección contra DDoS. También deberían darte acceso a Web Application Firewall (WAF), lo cual te ayudará a monitorear y bloquear serias amenazas, dirigidas a tu sitio.
• Tu compañía de alojamiento web probablemente te dará una forma de hacer copias de seguridad de tu sitio (en algunos casos, ella las hará por ti). Entonces, si eres hackeado, podrás revertir tu sitio fácilmente a una versión estable, previa al hackeo.
• Si tu compañía de alojamiento ofrece soporte confiable, 24/7, siempre habrá alguien para ayudarte, ante eventuales problemas de seguridad.

Con esta lista, tendrás un buen punto de partida para trabajar, ya sea al buscar la compañía ideal de alojamiento para tu nuevo sitio, o al buscar el reemplazo de la que tienes hoy en día. Es importante que ofrezca todas las funcionalidades que necesitarás, además de una reputación de confiabilidad y excelente rendimiento.

DreamPress es un servicio de alojamiento administrado de WordPress que es rápido, confiable, escalable y por supuesto, seguro. DreamPress incluye un certificado SSL/TLS preinstalado y provee un WAF dedicado, diseñado con reglas para proteger sitios WordPress y bloquear intentos de hackeos. También te da copias de seguridad automáticas, soporte 24/7 de expertos en WordPress, y Jetpack Premium — un plugin que puede añadir muchas funciones adicionales de seguridad a tu sitio — sin costo adicional.

Con DreamPress podrás estar tranquilo, sabiendo que tu sitio está protegido. Nuestro servicio de alojamiento, incluso, se encarga de muchos de los siguientes pasos de mejoramiento de seguridad por ti — aunque te recomendamos seguir leyendo, para conocer otras medidas adicionales, que también te puedan servir.

2. Registra tu Dominio como Privado

Para registrar un dominio, debes brindar tu nombre, dirección y número de teléfono. Esta información es utilizada para monitorear a los dueños de los nombres de dominio y está disponible en línea, si buscas rápidamente en el directorio WHOIS.

Aunque registrar esta información es vital para la salud del internet, es razonable que no quieras tener tu información personal en línea. Aquí es donde el Registro Privado entra en escena. Al registrar un dominio con DreamHost (y suponemos que en cualquier otra plataforma de alojamiento seguro), tienes la opción de sustituir tu información personal con la información relevante de la plataforma de alojamiento — entonces, al buscar tu dominio en WHOIS, lo que aparece es la dirección, e información de contacto de DreamHost. ¡Incluso, puedes habilitar esta función de seguridad después de registrar tu dominio!

3. Cambia Tu Nombre de Usuario de Administrador

Cuando creas tu sitio web, reluciente y nuevo, se te da un Perfil de Usuario. En cualquier momento, puedes ingresar y cambiar tu ‘Apodo’ o usar tu ‘Nombre Completo’, pero si vas a cambiar tu nombre de usuario, la historia es muy diferente. Para cambiar tu nombre de usuario tendrás que crear un nuevo usuario, completamente desde cero, y dar a esa cuenta un rol de administrador. ¿Cuál es la desventaja? Que necesitas usar una dirección de correo diferente a la que ya seleccionaste con tu cuenta actual. 

Después de crearlo, puedes alterar tu nombre de usuario creando un nuevo usuario, dándole rol de administrador, y atribuyendo todo tu contenido a él, para posteriormente eliminar la cuenta original. Cuando tu nombre de usuario previo ya haya sido eliminado, podrás cambiar la dirección de correo de la nueva cuenta, si es que lo deseas.

4. Activa Una Aplicación Web de Firewall

Probablemente, ya conoces el término firewall — un programa que ayuda a bloquear ciertos tipos de ataques a tu sitio. Es más, es muy probable que tengas algún firewall en tu computador. Un Web Application Firewall (WAF) simplemente es un firewall diseñado en especial para sitios. Protege servidores, sitios web, o grupos enteros de sitios.

Un WAF en tu sitio de WordPress funcionará como una barrera entre tu sitio y el resto de la web. Un firewall monitorea actividad entrante, detecta ataques, malware y otros eventos no deseados, mientras bloquea cualquier riesgo para que accedas a tu servidor web. 

Tienes muchas opciones para agregar un WAF a tu sitio (WordFence es muy popular). Ahora, si tienes nuestro paquete DreamPress puedes estar tranquilo, pues no necesitarás firewall adicional. DreamPress incluye un WAF integrado que monitoreará tu sitio en busca de amenazas, bloqueando usuarios y programas maliciosos para que no puedan acceder a él. No necesitas hacer nada, por tu parte.

DreamHost, además, ofrece DreamShield, nuestro servicio interno de escaneo de malware. Al activar DreamShield en tu cuenta de alojamiento, escanearemos tu sitio cada semana, buscando código malicioso. Si vemos algo sospechoso, te notificaremos por correo.

5. Implementa la Autenticación de Dos Factores

La autenticación de dos factores (conocida también como autenticación de dos pasos, entre otros nombres) es un proceso de dos pasos, que debes seguir al iniciar sesión en tu sitio. Requiere un poco más de tiempo y esfuerzo, pero ayuda a mantener alejados a los hackers.

Ten en cuenta que la autenticación de dos factores involucra un teléfono inteligente, u otro dispositivo, para que verifiques allí tu inicio de sesión. Primero, irás a tu sitio de WordPress, e ingresarás tu nombre de usuario y contraseña como de costumbre. Luego, recibirás un código único en el dispositivo mencionado. Proporciónalo y así completarás el inicio de sesión. Con eso, demostrarás tu identidad, al mostrar que tienes acceso a algo 100% tuyo — como un teléfono o una tableta en particular.

Así como muchas funciones de WordPress, la autenticación de dos factores es fácil de agregar, con un plugin específico. Es más, el plugin Two Factor Authentication es una opción sólida — fue creado por desarrolladores confiables, es compatible con Google Authenticator, y te permitirá agregar la funcionalidad de dos factores a tu sitio sin complicaciones.

Otra opción es Two-Factor, impulsado en especial por los desarrolladores principales de WordPress y muy conocido por su confiabilidad. Así como cada plugin de esta categoría, tiene su curva de aprendizaje, pero cumplirá su función y es muy seguro. Si estás dispuesto a gastar algo de dinero, también puedes ver “Clef”, la solución premium de Jetpack.

Sea cual sea la opción que elijas, asegúrate de planificar con anticipación con tu equipo, pues habrá que recopilar números de teléfono y otros datos, para cada cuenta de usuario. Así, tu página de inicio de sesión estará segura y lista para usar.

6. Sé Consciente Al Añadir Plugins Y Temas Nuevos

Algo genial de WordPress, es su gran disponibilidad de plugins y temas para que hagas prácticamente lo que sea. Con estas útiles herramientas, no solo tu sitio lucirá perfecto, sino que podrá tener casi cualquier función que puedas imaginar y desear.

Sin embargo, no todos los plugins y temas se crean del mismo modo.

Los desarrolladores descuidados, o que no tienen el nivel adecuado de experiencia, pueden crear plugins inseguros o poco confiables — o, simplemente, de mala calidad. Pueden usar malas prácticas de codificación, las cuales dejan agujeros, que los hackers fácilmente explotan. O también, los plugins pueden interferir, sin intención, con funciones cruciales.

Entonces, ten mucho cuidado con los temas y plugins que agregarás a tu sitio. Evalúa cada uno, para asegurarte de que es una opción sólida, no dañará tu sitio, ni causará problemas. Mira aquí cómo seleccionar herramientas de calidad:

• Lee reseñas – Verifica calificaciones y reseñas de usuarios, para saber si otros han tenido una buena experiencia con el plugin o tema que te despierta interés.
• Soporte del desarrollador – Revisa cuándo fue la última actualización del plugin o tema. Si pasaron más de seis meses, puede que no sea tan seguro.
• Ve paso a paso – Al instalar nuevos plugins y temas, hazlo uno a uno. Si algo sale mal, detectarás la causa. Siempre haz una copia de seguridad de tu sitio, además, antes de lanzarte a agregarle cualquier cosa.
• Fuentes verificadas – Obtén tus plugins y temas de fuentes confiables, como Directorio de WordPress.org de Plugins y Temas, ThemeForest y CodeCanyon, y sitios confiables de desarrolladores populares.

7. Actualiza WordPress Regularmente

Mantener WordPress actualizado, es de lo más importante que puedes hacer para asegurar tu sitio. Sus pequeñas correcciones y actualizaciones de seguridad se implementarán de modo automático, pero puede que debas aprobar, independientemente, las actualizaciones fundamentales. (No te preocupes, es muy sencillo) Tal vez no haga falta decir esto, pero DreamHost se encargará de estas actualizaciones por ti, así que no te preocupes.

Pero tu trabajo no estará completo, al actualizar WordPress. Hay más a tener en cuenta.

Es vital actualizar plugins, temas y otras instalaciones de WordPress regularmente, para asegurarte de que funcionen bien en conjunto y estén protegidos contra amenazas recientes. Afortunadamente, esto también es muy fácil — solo ve a tu panel de WordPress, allí a la opción ‘Plugins’ en el menú lateral, busca las notificaciones en rojo, que indican que hay temas o plugins a actualizar y haz clic en ‘Actualizar ahora’, junto a cada uno.

También, puedes actualizar tus plugins en grupo, seleccionándolos todos. Luego, selecciona ‘Actualizar’ en el menú superior que dice ‘Acciones en lote’ y luego haz clic en ‘Aplicar’.

8. Configura Permisos de Archivo

Pongámonos técnicos por un minuto.

Mucha información, datos y contenido de tu sitio de WordPress, se almacenan en una serie de carpetas y archivos, ubicados en su backend. Y se organizan en estructura jerárquica; es decir, cada uno tiene su propio nivel de permisos. Hablando de permisos, cuando un archivo o carpeta de WordPress los tiene, determinan quién puede verlo y editarlo. Úsalos para permitir acceso a cualquier persona, dejarlo solo para ti, o encontrar un punto medio.

Los permisos de archivo se representan por un número de tres dígitos en WordPress. Cada uno tiene su significado. El primer dígito representa a un usuario individual (tú, como dueño del sitio), el segundo dígito, al grupo (como los miembros de tu sitio) y el tercero, a todos en el mundo. El número en sí mismo, significa que el usuario, grupo o mundo:

• 0: No tiene acceso al archivo.
• 1: Solo puede ejecutar el archivo.
• 2: Puede editar el archivo.
• 3: Puede editar y ejecutar el archivo.
• 4: Puede leer el archivo.
• 5: Puede leer y ejecutar el archivo.
• 6: Puede leer y editar el archivo.
• 7: Puede leer, editar y ejecutar el archivo.

Entonces, si por ejemplo, asignas un nivel de permisos de 640 a un archivo, significa que tú, como usuario principal, puedes leerlo y editarlo. El grupo, por otro lado, puede leerlo, pero no editarlo. Y el resto del mundo no puede acceder a él, en absoluto. Asegúrate con cuidado de que cada persona solo tenga el nivel de acceso que tú desees.

La recomendación de WordPress es establecer los permisos de las carpetas en el nivel 755 y los archivos en el nivel 644. Con estas pautas estarás seguro, aunque puedes configurar la combinación que desees. Solo recuerda que es mejor no dar a nadie un acceso mayor del que realmente necesita, especialmente si hablamos de archivos principales.

Ten en cuenta, además, que la configuración ideal de permisos dependerá de tu servicio de alojamiento, así que es mejor consultar las recomendaciones de tu proveedor.

Nota: Ten mucho cuidado al hacer cambios a tus niveles de permisos — si eliges valores equivocados (como el temible 777) puedes hacer que tu sitio sea inaccesible.

Y ya que hablamos de esto, ten en cuenta que WordPress viene con su editor de código incorporado, el cual permite que sus usuarios editen archivos de temas y plugins desde su panel, directamente. Esto es útil cuando lo necesitas, pero implica un riesgo de seguridad, si tu sitio cae en manos equivocadas. Por eso, es mejor desactivar la edición de archivos, con un plugin como Sucuri.

9. Mantén El Mínimo Posible de Usuarios de WordPress

Si eres el único que administra tu sitio web de WordPress, no necesitas preocuparte por este paso. Simplemente, procura no dar una cuenta a nadie más en tu sitio. Así, serás la única persona que pueda realizar cambios en él.

Sin embargo, puede que sí necesites agregar otra cuenta de usuario a tu sitio: es posible que desees permitir que otros autores contribuyan a tu sitio con sus contenidos, o que requieras una ayuda de terceros a la hora de editar y gestionar el contenido de tu sitio. Incluso, es posible que tengas un equipo completo de usuarios, que accedan regularmente a tu sitio de WordPress y hagan, cada uno, sus propios cambios.

Esto puede ser beneficioso (incluso necesario). Pero también es un riesgo potencial para la seguridad.

Entre más personas tienen acceso a tu sitio, será más elevada la probabilidad de que alguien cometa un error, cause problemas, o simplemente sea un problema. Por eso, mejor mantén el número de usuarios en tu sitio lo más bajo que puedas, sin limitar, claro, su crecimiento. En especial, limita el número de administradores y otros roles de usuario de altos privilegios.

Aquí hay algunas buenas prácticas adicionales:

• Da a cada usuario solo los permisos que necesita para realizar su trabajo.
• Anima a los usuarios a utilizar contraseñas seguras.
• Intenta mantener solo un administrador, junto a un pequeño grupo de editores.
• Elimina usuarios que han abandonado el sitio, o que ya no necesitan acceso.
• Cierra la sesión de los usuarios inactivos con regularidad (¡El plugin Inactive Logout es ideal para esto!)
• Considera la utilización de un plugin como Members, que brinda una interfaz de usuario para el sistema de roles y capacidades de WordPress.

10. Limita los Intentos de Inicio de Sesión

Todos hemos olvidado nuestra contraseña. ¡Pero tenemos buenas noticias! Por defecto, WordPress permite un número ilimitado de intentos. 

Pero, ¿eso sí es realmente una buena noticia? 

Los ataques de fuerza bruta; es decir, aquellos en los que un hacker intenta muchas combinaciones de contraseñas, una y otra vez, son de los métodos más comunes que estos criminales usan para acceder a cuentas privadas. Sin límite en los intentos de inicio de sesión, un hacker o un bot podría probar todas las contraseñas posibles, sin consecuencias.

En primer lugar, revisa tu Firewall de Acceso Web (WAF) para reducir la cantidad de intentos permitidos de inicio de sesión, por usuario. Si tienes tu firewall ya configurado, seguro habrá un límite establecido por defecto. ¡Sin embargo, hay plugins adecuados para esto! Tanto Login Lockdown como Cerber Limit Login Attempts almacenan la dirección IP y la marca temporal de cada intento fallido de inicio de sesión, permitiéndote limitar el número de intentos fallidos permitidos, durante un cierto período de tiempo. 

También, con estos plugins podrás bloquear las direcciones IP que excedan el límite. Ambos son gratuitos, pero Login Lockdown es más simple y amigable con usuarios sin experiencia, o principiantes. Ya si requieres un sistema más sólido, Cerber Limit Login Attempts es el camino a tomar, ya que no solo tiene su lista blanca/negra de direcciones IP, sino que también notifica a los administradores si se alcanza un cierto número de bloqueos.

11. Mide La Actividad En Tu Área Administrativa

Si tienes varios perfiles con privilegios de usuario, es una buena idea estar al tanto de lo que cada uno hace en tu sitio. Medir la actividad en tu área administrativa de WordPress te ayudará a identificar cuando otros usuarios hagan algo que no deberían en tu sitio — y a detectar cuando usuarios no autorizados accedan a él.

Pero, también necesitas una herramienta para ver quién está detrás de ciertas actividades en tu sitio — como cuando hay cambios no autorizados, o instalaciones sospechosas. Para eso, necesitas otro plugin. Simple History hace honor a su nombre, pues crea un registro simplificado y fácil de entender del historial de cambios y eventos en tu sitio.

Para funciones de monitoreo más completas, revisa WP Security Audit Log, que mide casi todo lo que sucede en tu sitio y además ofrece servicios adicionales premium.

12. Protege tu Página de Inicio de Sesión con Contraseña

Tu página de inicio de sesión, puede ser la vía más usada por los hackers para intentar acceder a tu sitio; protegerla, es una excelente manera de cuidar todo tu sitio. Esto puede ser algo técnico, pero vale la pena aprenderlo. Con este tutorial, aprenderás a crear un archivo .htaccess y añadir una solicitud de contraseña a tu página de inicio de sesión. Un inicio de sesión para tu inicio de sesión — ¿Qué se les ocurrirá después?

Y si alojas contenido que no todos necesitan ver, puedes protegerlo solo a él con contraseña. Protege las entradas del blog y otras páginas con contraseña, en ‘Páginas’> ‘Todas las entradas’. Luego, ve a ‘Editar’ y verás la opción para cambiar la visibilidad a ‘Protegida con contraseña’. Solo publica y “ta-ra”, ¡Tendrás tu página bien protegida!

13. Oculta Tu Página de Inicio de Sesión

Agregar una contraseña a tu página de inicio es genial, pero que los hackers no puedan encontrarla es aún mejor. Cambiar las páginas wp-admin y wp-login es fácil, y ayuda a disuadir a los hackers. Es que ellos pueden encontrar tu página de inicio de sesión muy fácilmente, si dejas la configuración predeterminada de WordPress.

Hay varios plugins para redireccionar la página de inicio de sesión por defecto, hacia la página que desees. Muchos plugins ofrecen esto, como parte de paquetes más grandes (como Defender, que también trae un escáner de malware y un firewall). Pero, si buscas algo más simple, prueba WPS Hide Login, que simplemente ocultará tu inicio de sesión. Eso sí, no olvides marcar como favorita tu nueva página, o tal vez después no logres hallarla.

14. Actualiza Tu PHP

Actualizar WordPress no es suficiente para mantener seguro tu sitio — también necesitas verificar que estés usando la última versión disponible de PHP.

Normalmente, cada versión de PHP tiene soporte por dos años luego de su fecha de lanzamiento (al menos), así que los ingenieros que desarrollaron su código abordan sus vulnerabilidades. Pero si el código se vuelve obsoleto (alcanza su EOL, o el “fin de su vida”), actualiza. Si no, corres el riesgo de quedar expuesto a fallas de seguridad, disminución del rendimiento y errores varios.

Para ver cuál versión de PHP tienes actualmente, ve a tu sitio de WordPress y selecciona ‘Herramientas’ > ‘Site Health’. Luego ve a ‘Información’ y a ‘Servidor’. Ahí podrás ver tu versión PHP actual.

15. Asegura La Base de Datos de Tu Sitio De WordPress

Dejar cualquier elemento predeterminado en la configuración de tu sitio, es una puerta abierta para los hackers. Por defecto, WordPress usa wp_ como el prefijo de tus tablas relacionadas. ¡Pero hay buenas noticias! Si usas el Instalador de Un Clic, ya tendrás un prefijo de letras y números aleatorios. Si trae un guión bajo al final, será una buena señal. 

Si ya instalaste WordPress, puedes acceder a este Instalador de un clic, siempre y cuando tu sitio esté completamente alojado y cumpla con una serie de pautas adicionales.

Solo ten en cuenta que si falta algo tan simple como un guión bajo, todo se puede romper. Afortunadamente, tendrás una versión predeterminada del archivo wp-config.php en WordPress Core, así que podrás reconstruir todo rápida y fácilmente — así hayas intentado cambiar el prefijo de la base de datos por tu cuenta, o usando servicios como phpMyAdmin.

16. Agrega Preguntas de Validación de Seguridad

Las preguntas de seguridad a menudo se pasan por alto, pero dan un impulso adicional a tu seguridad. Según el plugin que elijas, podrás elegir entre usar preguntas de seguridad ya existentes, o crear las tuyas propias.

17. Oculta Tu Versión de WordPress

Seguridad por Oscuridad — ¡Si no pueden encontrarla, no pueden hackearla! 

Oculta la versión de WordPress que usas (o esconde si usas WordPress en sí), alterando el código de su encabezado. Si eso suena muy técnico para ti y tus habilidades, no hay problema. Usa un plugin como WPCode. Solo asegúrate de modificar el código y no solo editar la información de visualización que verás en la configuración de tu tema — pues esos fragmentos de código solo se actualizarán durante la siguiente actualización del tema.

18. Previene El Hotlinking

¿Qué es Hotlinking (o enlace directo de imágenes)? Es el acto de robar ancho de banda, al usar archivos alojados en un sitio y enlazándolos con otro. Por ejemplo, alguien dibuja un ingenioso cómic y un sitio quiere publicarlo, a pesar de no tener el permiso para ello. Su administrador puede hacer hotlink del comic, en lugar de alojarlo en sus propios servidores, lo que le ahorraría ancho de banda y, por ende, más dinero.

Para prevenir el hotlinking, puedes rechazar ciertos dominios, permitir otros, o restringirlos a todos. Esto, mediante cambios en tu archivo htaccess. Incluso, puedes incluir un fragmento a este archivo, que redirija todos los intentos de hotlink a una página o imagen de tu elección — si te animas, esta podría decir algo como: “¡Deja el hotlinking, aprovechado!”

19. Protección contra DDoS (Desactiva el XML RPC)

Un Ataque de Denegación de Servicio Distribuido (o DDoS), sucede cuando un hacker usa múltiples sistemas para enviar demasiada información, buscando abrumar a su objetivo. Esto ralentiza al objetivo y hace que caiga — piensa por un momento en tu sitio, enfrentando a un gran trancón, capaz de retener y evitar a todo el tráfico legítimo que busca visitarte.

Sabemos que la paciencia en línea no es una virtud, así que un usuario promedio solo esperará 3 segundos para que cargue una página, o se irá. Entonces, cuanto antes puedas identificar y resolver un ataque a tu sitio web, será mejor.

Prevenir un ataque DDoS puede parecer desafiante, pero una de las primeras medidas que puedes tomar, es eliminar o desactivar cualquier plugin antiguo, o que no uses. Los plugins son muy útiles, pero al aumentar su funcionalidad, tienen un acceso a tu sitio web especial, que puede ser explotado por manos criminales. Entonces, por una vez en la vida, descargar más plugins no siempre es la respuesta.

XML-RPC permite el acceso a WordPress, mediante su aplicación en tu dispositivo móvil. Si no usas tu teléfono inteligente para hacer cambios en tu sitio de WordPress, puede que no necesites habilitar esta función. Desactivarla, implica agregar un pequeño fragmento de código a tu archivo htaccess, pero estarás más seguro de ese modo.

20. Escaneo en Busca de Malware

El malware (abreviatura de software malicioso) se esconde tras aplicaciones seguras, para que el usuario no sepa que su sitio o computador, resultaron infectados.

El escaneo de malware es una defensa importante, que funciona mediante el software anti-malware para hallar y aislar archivos sospechosos, mientras decides eliminarlos. Si se detecta una amenaza, un buen escaneo de malware la eliminará de tu computador, lo antes posible. Afortunadamente, algunos plugins de firewall traen escaneo de malware incorporado, así que asegúrate de verificar tus plugins de seguridad para ver si lo ofrecen.

Si DreamHost es tu plataforma de alojamiento, puedes activar DreamShield; se encargará del escaneo semanal de malware por ti.

Seguridad de WordPress: Asegurándolo Todo

Si hackean tu sitio web, puede que pases horas (o hasta días) tratando de reparar el daño. Puedes perder datos permanentemente, o ver comprometida tu información personal — o algo peor: la de tus clientes.

Por eso, es mejor dedicar una buena cantidad de tiempo y energía a verificar que tu sitio esté bien protegido. Si no, corres el riesgo de perder negocios y tiempo, ambos activos invaluables, e imposibles de recuperar.

Los consejos de seguridad de WordPress que te dimos en esta guía, seguro te ayudarán. Algunos solo son pequeños ajustes, mientras que otros afectan a todo tu sitio. Pero si buscas un cambio impactante, hoy mismo, que te permita mantener seguro tu sitio web, mejor asegúrate de tenerlo alojado en un proveedor seguro de WordPress.

El alojamiento de DreamPress (con migración gratuita de WordPress) está diseñado específicamente para el entorno de WordPress. Además, si llegas a tener un problema de seguridad, te ayudaremos con copias de seguridad automáticas diarias, un escaneo semanal de malware y un equipo de soporte, conformado por expertos en WordPress. ¿Listo para proteger tu sitio de amenazas y vulnerabilidades? Aprende más sobre el alojamiento de DreamPress, aquí.