Seguridad en WordPress: 11 consejos para blindar tu web

Seguridad Wordpress.

A ver si conoces esta historia…

Un día como otro cualquiera vas a entrar tranquilamente a tu WordPress y…¡sorpresa!

De repente descubres cualquiera de estas situaciones:

  • No puedes acceder a tu panel de control porque se han apoderado de tu cuenta de administrador, te han cambiado la contraseña, etc.
  • Alguien ha entrado en tu WordPress y ha puesto en la parte pública una página hackeada que ahora no puedes cambiar o te va a llevar su tiempo hacerlo.
  • Tienes cientos o miles de comentarios en forma de spam en tu blog.

Desagradable, ¿verdad?

Pero siento decirte que la culpa no es de la persona que te ha hecho todas estas triquiñuelas.

No señor. La culpa es tuya.

Sí, has oído (o leído) bien. Tuya y sólo tuya.

¿Sabes por qué? Porque no has cuidado lo más mínimo de la seguridad de tu WordPress.

Para que esta u otro tipo de situaciones relacionadas con la seguridad de tu web se queden sólo en una historia ficticia, he preparado este post para ti con 11 consejos prácticos de seguridad para blindar tu WordPress.

Así se lo pondrás un poquito más difícil a los usuarios malintencionados que quieran perturbar la paz de tu web.

Para descubrirlos, puedes seguir leyendo o puedes ver el siguiente vídeo. Lo que tú prefieras.


Tipos de medidas de seguridad en WordPress que influyen en la protección de tu web

Principalmente son dos:

  • Seguridad del servidor: son medidas de seguridad que no dependen directamente de ti, ya que te las proporciona la empresa de hosting en la que alojes tu web. Sin embargo, sí puedes influir en ellas indirectamente, ya que eres tú y no otra persona quien elige un hosting u otro.
  • Seguridad de tu WordPress: estas son medidas de seguridad que sí tienes que tomar tú, mediante determinadas acciones, configuraciones o plugins a instalar en los ficheros o el panel de control de tu web.

La mezcla de las dos partes mencionadas anteriormente serán las que determinen finalmente si eres más o menos vulnerable a los ataques en internet. Por tanto, no deberías descuidar ninguna de ellas.

En las siguientes líneas yo te voy a hablar de las segundas (medidas de seguridad en WordPress), que son las que puedes trabajar directamente desde hoy mismo.

No utilices el usuario admin

En la instalación de WordPress, al usuario que aparece por defecto se le asigna el nombre de admin. Y hay mucha gente que lo deja tal cual.

No cambiar el nombre de este usuario es un error de libro, puesto que es el primer nombre que cualquier persona malintencionada va a probar para tratar de colarse en tu panel de administración de WordPress.

Así que ya sabes: si usas admin como nombre de usuario, ya estás tardando en cambiarlo.

Del mismo modo, cambiar el ID por defecto del usuario administrador (que normalmente tiene como valor el número 1) también es una buena medida de prevención ante ataques.

Este ID puedes cambiarlo accediendo a tu base de datos de manera manual o de forma más sencilla utilizando un plugin de seguridad que te presentaré un poco más adelante.

Utiliza una contraseña segura

Siento desilusionarte, pero la típica contraseña con tu número de teléfono, tu DNI o el nombre de tu ser más querido no es ni de lejos la mejor de las opciones de seguridad.

Contraseña de seguridad para WordPress

Para acceder a tu WordPress, la mejor práctica que podrías llevar a cabo es elegir una contraseña cuanto más complicada mejor.

Con complicada me refiero a lo siguiente:

  • Que sea larga (como mínimo yo la haría de 12 caracteres).
  • Que contenga letras mayúsculas y minúsculas.
  • Que contenga números.
  • Que contenga caracteres especiales (comas, guiones, símbolos, etc.)

Esta contraseña puedes hacerla tú mismo al azar como te parezca o también puedes utilizar un generador de claves. De hecho, WordPress trae el suyo propio, aunque también podrás encontrar muy buenos generadores de clave en tu hosting o en diferentes webs de manera online.

Cambia el prefijo wp_ en las tablas de tu base de datos

Al igual que ocurre con el usuario administrador, tampoco es recomendable dejar los prefijos de tabla predeterminados de la instalación de WordPress.

La respuesta una vez más es muy simple: el prefijo wp_ será el primero que prueben los scripts de los hackers que intentan hacerte la puñeta para colarse donde no deben.

Así que si cuando instalaste WordPress dejaste este prefijo por defecto, cámbialo cuanto antes.

No te asustes, porque no es un proceso complicado. De hecho, puedes hacerlo con el plugin de seguridad que te mostraré en el siguiente punto.

NOTA IMPORTANTE: el nuevo prefijo que vayas a utilizar no necesariamente tienen que ser sólo dos caracteres. Pueden ser más. 😉

Utiliza un plugin de seguridad en tu WordPress

Parece una medida de seguridad obvia, ¿no crees?

Si estamos hablando de cuidar de la seguridad en WordPress, lo más lógico es que instales y configures correctamente un plugin de seguridad que ponga las cosas más difíciles a los intrusos.

En este sentido, yo te recomiendo utilizar el plugin Ithemes Security, que es el que utilizo tanto en mis proyectos personales como en las webs de mis clientes.

Los mejores plugins para WordPress: Ithemes Security.

De hecho, con él vas a poder poner en marcha mucho de los consejos que ya te he dado en este post (y muchos de los que me quedan por darte en los siguientes puntos).

Obviamente, esto no significa que sea el único buen plugin de seguridad que existe. Por ejemplo, otro plugin muy utilizado y con muy buenas valoraciones por parte de los usuarios es Wordfence.

Usa un plugin anti spam

A ninguno nos gusta entrar en nuestro WordPress y ver que todo el apartado de comentarios se ha llenado de publicaciones en ruso (u otro idioma) con enlaces sospechosos y en la que no entendemos ni papa de la que nos están diciendo, ¿cierto?

La reacción inmediata cuando ves una lista con más de mil comentarios de este tipo es algo parecido a esto:

Seguridad en WordPress contra el spam.

Sé de lo que hablo porque hace poco me encontré la web de un cliente así y tuve que tomar medidas inmediatamente.

Esto que te comento, si bien parece que no es demasiado importante o que no te afecta mucho porque piensas: «Bah, con borrar los comentarios de spam, arreglado», lo cierto es que sí lo hace y te llega a afectar más negativamente de lo que piensas.

Este tipo de comentarios no genera una buena imagen cuando una persona de carne y huesto entra a tu plataforma. Por no hablar de que estos bots con sus visitas y comentarios consumen recursos en tu hosting, con lo cual también te están perjudicando en este sentido.

Para combatir el spam, el plugin que mejor me ha funcionado, que siempre recomiendo y del que ya te hablé cuando abrí para ti mi caja de herramientas es WP Spamshield.

Este plugin es totalmente gratuito y puedes encontrarlo en el repositorio de WordPress. Así que no tienes excusa para instalarlo hoy mismo.

Los mejores plugins para WordPress: WP-Spamshield

Modificar la URL de acceso a tu panel de administración

Me voy a repetir más que el ajo, pero ser un poco cansino seguro que hace que el mensaje cale un poquito más hondo. 🙂

En WordPress, dejar las opciones por defecto no es buena idea.

Al igual que te he dicho con el usuario o el prefijo de las tablas en la base de datos, dejar abierto al público la típica URL miweb.com/wp-admin no es para nada recomendable.

Lo mejor es que cambias ese wp-admin del final por otra palabra o secuencia de caracteres diferente.

Podrás comprobar por ti mismo que hacer esto es sumamente fácil si me has hecho caso anteriormente y has instalado ya Ithemes Security. Echando un ojo a sus opciones avanzadas, verás lo sencillo que es llevar a cabo esta tarea. 😉

No des permisos de administrador a otros usuarios con acceso a tu WordPress

Bueno, matizo esta afirmación.

No des permisos de administrador a otros usuarios que no sea tu diseñador y/o desarrollador web. 😛

Con “otros usuarios” me refiero a autores invitados, personas que te ayuden a escribir o editar artículos, etc.

Esas personas no necesitan ese rol de administrador. Ten en cuenta que si por alguna razón termina tu relación profesional con esta persona de mala manera o a alguno se le cruza el cable te la puede liar bien liada.

Si les das permiso de administración, les estás dando opción a que instalen, desinstalen, configuren o borren todo lo que se les antoje.

Eso incluye hasta tu propio usuario administrador. ¡Podrían echarte de tu propia web!

Así que ya sabes: los administradores de tu web debéis ser únicamente tú y tu diseñador / desarrollador web. Nadie más.

Mantén actualizados tanto tu tema como tus plugins

Como ya te expliqué en este post, es de vital importancia que tus plugins se encuentren actualizados a su última versión siempre que sea posible y sepas que no hay ningún error a la vista en estas nuevas actualizaciones.

Cuando el desarrollador de un plugin o una plantilla lanza una actualización para su producto, no es sólo para hacer mejoras “visibles” si no que, en muchas ocasiones, corrigen también problemas de seguridad.

Una cosa más: huye en la medida de lo posible de plugins que llevan sin actualizarse mucho tiempo o que ya no cuentan con nuevas actualizaciones.

Por regla general, estos plugins tienen muchas más probabilidades de convertirse en importantes agujeros de seguridad.

Huye de los sitios de descarga ilegal de plugins y themes

Puede que ya sepas que una plantilla gratis se te queda corta y no es lo más recomendable para tu proyecto o que necesitas un determinado plugin de pago para desarrollar una funcionalidad específica en tu web.

Y quizás también te estás viendo tentado a conseguir ese tema o plugin que necesitas en sitios poco éticos que cuentan con descargas ilegales en las que no tienes que pagar por conseguirlos.

Seguridad en WordPress: temas y plugins descargados ilegalmente.
Imagen cedida por Shutterstock

Un consejo: huye de ellos.

Por regla general, estos sitios incorporan a todas sus descargas códigos propios que, en muchas ocasiones, son maliciosos y sirven como agujeros de seguridad en Tu WordPress, dando vía libre a, por ejemplo, realizar modificaciones en el código de tu web que podrían perjudicarte notablemente.

La decisión está en tu mano. Pero yo personalmente me tomo mi negocio muy en serio y no me la juego por ahorrarme unos pocos euros o dólares. Tú mismo.

Actualiza también tu WordPress a la última versión

Si no actualizar los plugins o la plantilla supone un problema…¿que crees que sucederá si no actualizas tu WordPress?

Obvio: eso es aún peor.

WordPress es un CMS utilizado en el 25% de las webs mundiales porque es buenísimo. Pero el precio de la fama también implica que, al ser un gestor de contenidos tan popular y con ficheros comunes en todas sus instalaciones, esté en el punto de mira de muchos hackers, bots, etc.

Las nuevas versiones que salen periódicamente para WordPress permiten precisamente ir combatiendo las vulnerabilidades del CMS y los nuevos tipos de ataque que van surgiendo con el paso del tiempo, por lo que esta tarea de implementar dichas nuevas versiones es algo que no debes dejar caer en saco roto.

Protege las carpetas y archivos de WordPress al máximo

Como te he mencionado en el punto anterior, todas las instalaciones de WordPress tienen carpetas y ficheros con nombres y características similares.

Estos ficheros son precisamente los que más hay que cuidar y sobreproteger, ya que son la base del funcionamiento de tu gestor de contenidos.

Lo malo de estos ficheros es que no se puede cambiar su nombre como sí sucedía con el prefijo de la base de datos o el usuario administrador.

Por ello, no está demás que los hagas lo menos visible posible, evitando su indexación o el acceso de los bots de Google a ellos, así como tirando una vez más de Ithemes Security para acorazarlos en la medida de lo posible.

Conclusión

Con estas medidas de seguridad WordPress que te he presentado en este post puedo asegurarte que estarás mucho más despreocupado frente a sorpresas desagradables en forma de hacking.

Estas y otras tareas en materia de seguridad y/o rendimiento precisamente son las que aplico día a día para mis clientes en mi servicio de soporte técnico para WordPress, los cuáles duermen tranquilos todos los días respecto a este tema.

Si necesitas que me encargue de todas estas tareas por ti o contar con una persona con perfil técnico especializado en WordPress ante futuros problemas que puedan surgir en tu día a día como emprendedor online, puedes ver las características de este servicio a fondo en el siguiente enlace:

Si por el contrario, te ves capaz de llevar todo esto por tu cuenta…¡manos a la obra! Ahora que ya tienes unas nociones básicas de seguridad en WordPress, no pierdas más el tiempo y ponte a aplicar todo lo aprendido en este artículo. 🙂

Imágen de cabecera cedida por Shutterstock

¿NECESITAS AYUDA PARA CREAR UNA WEB QUE TE GENERE NEGOCIO?
Si estás buscando un diseñador web profesional que, además de una web bonita y con personalidad, te haga una web que capte clientes y ventas por internet, cuéntame que es lo que necesitas y definamos un plan a medida para tu caso.

3 comentarios en «Seguridad en WordPress: 11 consejos para blindar tu web»

  1. Hola José Antonio
    Gran artículo útil, práctico y fácil de aplicar, todos los puntos que mencionaste estan justo en el punto, yo añadiría uno más que se entendería por sabido, pero no está por demás nombrarlo y es de crear backups de forma periódica para que en el peor de los casos la web haya sufrido un ataque poder recurrir a un respaldo anterior y no perder infromación, eso no más diría yo. Gran aporte

    Responder
    • Hola Dantes Peak,

      Pues llevas toda la razón. Eso es un punto importantísimo. Lo he dado tan por sentado que ni lo he puesto. Lo añadiré cuando tenga un ratito para actualizar la información del post.

      Gracias por tu aporte! Un abrazo!

      Responder
Deja un comentario

José Antonio Carreño Rodríguez solicita tu consentimiento para publicar y moderar los comentarios. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal. En todo caso, los datos que nos facilitas están ubicados en servidores cuya sede se encuentra dentro del territorio de la UE. En el caso de no pertenecer a la UE, se informa previamente y sólo se realiza mediante el consentimiento expreso del usuario o mediante cláusulas contractuales tipo para la transferencia de datos personales entre responsables del tratamiento a un tercer país, o bien, por adhesión al EU-US Data Privacy Framework (DPF). Por motivo del uso de Google Fonts, es posible que algunos de sus datos (como la IP) sean tratados con la finalidad de prestar el servicio adecuado del mismo. Tiene derecho a acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional.

descubre cómo son lAS WEBS DE LOS NEGOCIOS QUE CONSIGUEN VENDER POR INTERNET

Ebook "11 claves para crear una web que venda", de José Antonio Carreño

José Antonio Carreño

Diseñador web para negocios online

Avatar de José Antonio Carreño.
Te ayudo a crear una web para tu negocio que te genere negocio