La seguridad en wordpress es uno de los temas más importantes a tener en cuenta si trabajas con este sistema de CMS. Por lo menos por prevención ya que WordPress suele ser seguro si lo mantienes actualizado.
¡Cuidado!
Constantemente incorpora medidas de protección, de otro modo es propenso a vulnerabilidades de seguridad. Las malas prácticas de usuarios despreocupados pueden llevar al caos a tu wordpress y por defecto a tus proyectos.
Software y plugins desactualizados
El mantenimiento de WordPress deficiente o la falta de conocimientos en seguridad web en esta tecnología puede ser un blanco perfecto de los hackers. Hasta los más expertos son propensos a este tipo de ataques cibernéticos.
Para los menos expertos con menos conocimientos en seguridad de WordPress he preparado este artículo. Te daré algunos consejos basados en mi propia experiencia en el tema que espero te puedan ser de utilidad.
El entorno
No importa si tienes un blog donde pretendes generar algunos ingresos, o si tienes una tienda online o un proyecto personal. Te guste o no estas expuesto a ataques de hackers que intentan entrar en tu web, aunque solo sea para hacerte perder el tiempo.
Lo mínimo en seguridad wordpress
Existen algunos consejos mínimos que tienes que tener en cuenta para mantener un WordPress seguro. Si utilizas plantillas o temas pirateados YA ESTAS EXPUESTO a cualquier tipo de infección que puede llevar todo tu trabajo al traste.
Dedica un tiempo a “dar una vuelta” por tus instalaciones aun cuando solo sea para ver si existe alguna actualización de cms o de los plugins y temas que estas utilizando.
Cambia la contraseña de tu WordPress con frecuencia e intenta que esta sea fuerte para evitar ataques de fuerza bruta.
Casos típicos de seguridad en WordPress
Según las estadísticas de W3Techs de febrero de 2023 WordPress es utilizado por el 42.4% de todos los sitios web en internet. Esto significa que hay millones de sitios web creadas con WordPress en todo el mundo.
Se estima que más de 75 millones de sitios utilizan WordPress como plataforma. Incluye desde blogs personales hasta sitios web empresariales y de comercio electrónico. De la misma manera crece la curiosidad de los hackers que también aumenta.
Nota; Según el informe de Seguridad en Internet de Akamai correspondiente al tercer trimestre de 2021 se detectaron más de 8,4 millones de intentos de ataques web cada día.
1) Lo más común es dejar el login de tu blog de wordpress tal cual está en una instalación normal (wp-admin). Este dato es el primero que van a utilizar los hackers para intentar entrar en tu cuenta.
2) Al igual que el anterior es dejar el acceso a tu panel de wordpress tal cual te indica cualquier instalación base de wordpress (admin). Esta es la segunda forma que utilizaran para intentar tener acceso a tu panel.
3) La contraseña es otro de los puntos importantes a tener en cuenta sobre la seguridad en WordPress. Por lo general se ponen algunas series de números que sean fáciles de recordar como la fecha de tu cumpleaños u otras similares y esto es uno de los grandes errores que puedan facilitar el acceso.
Como proteger el login para mejorar la seguridad wordpress
Puedes cambiar el acceso al login modificando el htaccess, pero entiendo que este es un tema puede ser un poco complicado para muchas personas que no tienen los conocimientos necesarios.
Una forma fácil es utilizar un plugin especial que facilite todo el proceso. “Move login” es un plugin para WordPress fácil de usar con el que puedes cambiar el acceso al login en unos simples clics.
Video; Cambiar URL de acceso WordPress
*** En el video de Webempresa sobre seguridad en WordPress te indica cómo hacerlo.
La seguridad web en tu panel de wordpress
En este caso puedes cambiar los accesos al usuario y contraseña de WordPress de varias maneras. Desde el panel de administración de wordpress te diriges a “usuarios” y creas uno nuevo que cumpla los requisitos mínimos comentados.
Para el nuevo usuario hay que darle permisos de administrador. Una vez creado vas de nuevo a “usuarios” y borras aquellos datos que ya no sean útiles incluyendo el usuario “admin”. Los artículos del antiguo usuario los pasas para el nuevo que has creado.
Notas; Al cambiar el usuario continúas teniendo un problema de Url donde te aparecerá el verdadero. Para solucionarlo debes ir a tu base de datos (MySQL) y cambiarlo desde la tabla wp_users.
Más opciones para proteger el acceso y el usuario
1) Proteger wp-admin desde el panel de control.
Vas a directorios protegidos en tu panel de administrador de tu hosting y buscas debajo del todo “seguridad” y seleccionas “directorios protegidos por contraseña”. Seguidamente seleccionas “wp-admin” y pones el nombre de tu blog asignándole una nueva contraseña.
Bien, ahora vas a tu cpanel de wordpress y te pedirá que pongas los datos que habías elegido para tener acceso a tu panel de administración de wordpress. Una vez los pongas debes entrar en el panel de administración de wordpress y poner de nuevo tu usuario y contraseña.
Es algo así como poner dos veces usuario y contraseña y es un poco lio hasta que te acostumbres, pero será solo una vez. Lo importante es proteger tu trabajo o ponérselo más difícil a los hackers para evitar daños mayores.
2) Limitar los intentos de login.
Esta es otra de las acciones recomendables para proteger los accesos a tu wordpress y lo puedes conseguir utilizando algunos plugins de forma sencilla como; Limit login attempts o Login Lockdown que son dos que puedo recomendar.
Plugin de seguridad en wordpress
Bien, los pasos anteriores ayudan bastante a evitar accesos indebidos y pueden ser suficientes para mantener un WordPress seguro. Sin embargo, si quieres saber si realmente tienes accesos o no tienes un plugin que te da dicha información además de otras utilidades.
Wordfence Security es un plugin muy conocido y eficaz que te ayuda con la seguridad en wordpress. Monitorea cualquier tipo de acción relacionada con tu blog, bloquea accesos indebidos y te muestra una serie de datos muy interesantes como la IP, el número de accesos, país o las páginas de entrada.
El “Scan” es la utilidad que te va a decir exactamente cuáles son los puntos débiles de tu WordPress, los más importantes que deberías de modificar o las acciones no autorizadas que has tenido en tu blog.
Las primeras recomendaciones que vas a encontrar son que elimines los archivos “wp-config-sample.php, léame y archivos de licencia” que son colocados automáticamente por wordpress cada vez que realizas una nueva actualización.
Claro que puede ser un poco aburrido eliminarlos manualmente y es por ello que puedes utilizar el plugin “WP Core Update Cleaner”. Este plugin te eliminara automáticamente dichos archivos cada vez que actualices tu wordpress.
Life traffic es otra utilidad de Wordfence que te indica datos como los accesos a tu blog, desde donde se hicieron, los nombres de usuarios que utilizaron y te permitirá bloquear aquellas Ips que consideres fuera de lo normal.
Si quieres tener más detalles sobre esta herramienta de seguridad en wordpress puedes ver este artículo súper interesante que te muestra todos los detalles del plugin Wordfence.
Claro que existen otras formas de hackear tu wordpress, la pregunta del millón seria para que tanto hacker. Mi opinión al respecto es que si tienes un blog común o crees que no puede ser muy importante este tema, aun cuando tengas dicho pensamiento, protege como mínimo aquellos aspectos generales e importantes de tu blog.
Un resumen
Actualizaciones; Una de las mejores maneras de mantener tu sitio de WordPress seguro es mantenerlo actualizado. Asegúrate de instalar las actualizaciones de WordPress y de los plugins y temas que utilizas.
Las actualizaciones a menudo incluyen correcciones de seguridad importantes.
Contraseñas; Las contraseñas son una parte importante de la seguridad de cualquier sitio web. Asegúrate de utilizar contraseñas seguras y de cambiarlas regularmente. Evita utilizar la misma contraseña para varias cuentas.
Plugins y temas; Los plugins y los temas te dan una gran flexibilidad en WordPress, pero también pueden ser una fuente de problemas de seguridad. Asegúrate de descargar plugins y temas de fuentes confiables y que se actualicen regularmente.
Nota importante; Desinstala cualquier plugin o tema que no estés utilizando.
Copias de seguridad; Realizar copias de seguridad periódicas de tu sitio web es importante para proteger tus datos en caso de problemas de seguridad o de un error del sistema.
Hay muchos plugins disponibles para WordPress que facilitan esta tarea de realizar copias de seguridad de tu sitio.
Seguridad del servidor; Asegúrate de que tu servidor tenga medidas de seguridad adecuadas como un cortafuegos y un software antivirus.
Si tu sitio web está alojado en un servidor compartido es importante asegurarse de que otros sitios web alojados en el mismo servidor no puedan comprometer la seguridad de tu sitio de WordPress.
Seguridad de acceso; Limita el acceso a tu sitio de WordPress. Utiliza contraseñas seguras y no compartas tus credenciales de acceso con nadie. Además, limita el número de usuarios que tienen acceso al sitio y utiliza roles de usuario para controlar el acceso.
SSL; Utiliza un certificado SSL para encriptar la comunicación entre tu sitio de WordPress y los usuarios que lo visitan.
Esto es especialmente importante si tu sitio web recopila información confidencial como nombres de usuario y contraseñas.
Recursos;
- Ebook OSINT Básico para comenzar a investigar por Internet
- Cual es el mejor Hosting para montar una web
Francisco González es Administrativo, autor libros de No-ficción (su pasión desde pequeño) y experto en ventas y marketing digital. Puedes ver más en; A cerca de. Aquí todos mis Libros. Sígueme en Mastodon. @dineroenblog
Descubre más desde Marketing De Afiliados Con Tu Blog
Suscríbete y recibe las últimas entradas en tu correo electrónico.