Cómo Aumentar Seguridad de Wordpress
Wordpress es un CMS utilizado para la creación de páginas web ya sean blogs, tiendas, etc. Sin embargo, la seguridad para un sitio web es importante y si no sabes cómo tener tu página con la menor posibilidad de ser hackeado o perder tu sitio te daremos algunos consejos a continuación.
Pero antes, si tu sitio ya ha sido hackeado aprende cómo recuperar tu sitio de Wordpress.
Cambia el usuario
Al querer entrar al wordpress de alguna página te pide el usuario y contraseña, pero es muy sencillo predecir el usuario debido a que por default te pone admin y la mayor parte de las personas que crean el sitio lo dejan así.
Para mayor seguridad te recomendamos que cambies el usuario a otro y que no sea el nombre del sitio. Además, hay otra opción que para ingresar lo hagas con correo ya que es más difícil que lo adivinen y entren a tu web.
Al ocupar un email para ingresar a la web, ocupa uno que solo los miembros de la empresa conozcan. Ya que lo primero que intentarán será el correo wordpress@tudominio o wp, soporte, etc.
Url de ingreso
Todos aquellos que están familiarizados con Wordpress saben que para ingresar solo deben agregar a la url /wp-admin. Sin embargo, existen plugins de seguridad para cambiar esta url a otra que se te ocurra. Algunos de estos son WPS Hide Login y Change wp-admin login.
Por otro lado, deberás limitar el número de intentos para loguearse en la página web. Si no hay un límite se realizará un ataque con fuerza bruta y solo será cuestión de tiempo que logren ingresar a tu sitio web.
Evitar ataques de fuerza bruta al Administrador de WP
Loginizer es un plugin de WordPress que te ayuda a luchar contra ataques de fuerza bruta bloqueando el acceso de la IP después de alcanzar un máximo de intentos permitidos. Con Loginizer puedes añadir direcciones IP a la lista negra o a la lista blanca de acceso. También puedes usar otras características, como la autenticación de dos factores, reCAPTCHA, el acceso PasswordLess (sin contraseña), etc., para mejorar la seguridad de tu web.
Bloquearán por 15 minutos luego de tres intentos fallidos de acceso. Tras varios bloqueos, la IP se bloqueará por 24 horas.
Actualizar Plugins
Hablando de los plugins, estos tienden a ser la razón por la que los sitios son hackeados. Si sueles ingresar a diario a tu sitio no tendrás problema para actualizar los plugins, pero si entras muy de vez en cuando será un problema ya que estos suelen sacar actualizaciones a cada rato y si no se mantienen actualizados tu vulnerabilidad es mayor.
Por otro lado, algunos plugins suelen tener problemas de seguridad en nuevas actualizaciones por lo que debes estar al tanto de noticias sobre plugins. Podrás instalar plugins muy conocidos como Contact Form 7 y confiar en ellos pero hace poco hubo una actualización de este plugin y hubo muchas webs hackeadas por un problema de seguridad en la nueva versión por lo que ningún plugin se puede salvar de ser seguro o no.
No solo debes fijarte en tener la última versión de los plugins y de los templates sino que también debes mantener actualizado la versión de PHP que estés ocupando.
Instalar plugins de sitios externos
Muchas veces vamos iniciando un negocio y no tenemos los recursos suficientes para comprar plugins necesarios, pero evita descargar plugins sin licencia porque no solo es ilegal sino que también puede contener malware y dañar tu sitio web.
Lo mismo aplica al instalar un template, muchos de estos se pueden descargar por otros sitios web pero pueden tener virus y si en algún momento necesitas soporte no te lo podrán ofrecer. Wordpress tiene una variedad muy amplia de templates gratuitos con los que pueden iniciar tu página.
Plugins de Seguridad
Para mayor seguridad recomendamos ocupar el plugin de Wordfence Security ya que este proporciona un escaneo y seguridad constante para el sitio web.
Es de gran importancia tener este plugin o uno parecido con las mismas funciones. Este plugin también tiene una versión de pago, sin embargo, con la gratuita es más que suficiente.
Proteger Archivos
Para proteger los archivos delicados de tu sitio web puedes ingresar por FTP a tu sitio web y cambiar de directorio el archivo de web-config. Esto es porque este archivo contiene información de la instalación del sitio web y datos de acceso a bases de datos.
Para protegerlo lo único que debes hacer es cambiarlo de directorio, moverlo a una carpeta o nivel superior dentro de tu raíz. Wordpress logrará abrir el archivo aunque no esté en el mismo lugar, mientras los hackers no podrán verlo.
Activa Certificado SSL
A nadie le gusta ingresar a un sitio que dice que no es seguro por lo que debes contactar a tu proveedor para que te lo active, normalmente este se ofrece gratuitamente. Después deberás activarlo en tu sitio con el plugin Really Simple SSL para forzar que siempre direccione al sitio seguro https
Además, Google tiene muy en cuenta como factor de posicionamiento que el sitio tenga certificado SSL.
Nuevos Usuarios
Si en algún momento necesitas crear el usuario de otra persona para que ingrese al Wordpress, haz que esta persona realice todo lo que anteriormente comentamos sobre el inicio de sesión, contraseñas, etc.
También determina que rol tomará ese usuario y dale el tipo de usuario que necesite. Existen 6 en total, a continuación te los mostramos
- Super Admin: acceso a todas las funciones del sitio.
- Administrador: acceso a casi todas las funciones.
- Editor: Publica contenido tanto en las páginas como en el blog.
- Autor: Crea contenidos y administra tus publicaciones.
- Colaborador: Puede crear contenido pero no publicarlo.
- Suscriptor: solo administra su propio perfil.
Con estos consejos podrás tener un Wordpress más seguro y con menor probabilidad de hackeo.
Artículos relacionados