Consejos para mejorar la seguridad en WordPress

09
May 2019

La seguridad es una de las principales preocupaciones de una marca cuando implementa un sitio web con WordPress. Como propietario de una web corporativa o comercial hay que pensar en posibles amenazas de seguridad. El 30% de todas las páginas web del mundo están hechas con WordPress. Al ser la plataforma CMS más utilizada a nivel mundial es también más vulnerable a ser atacada por ciberdelincuentes.

Como usuario de WordPress es una obligación contar con una estrategia de seguridad informática. Esto implica tener buenas prácticas como, por ejemplo, fortalecer la página de inicio de sesión o la página de administración del sitio. También se puede instalar las mejores herramientas de seguridad y complementos ofrecidos por WordPress para potenciar la seguridad del sitio de forma rápida y eficiente.

Para ello, ofrecemos algunos consejos que todo administrador de un sitio web hecho con WordPress debe saber. Estas buenas prácticas ayudarán a disminuir la vulnerabilidad de la web frente a posibles ciberataques en 2019.

Fortalece la página de inicio de sesión de WordPress y panel de administración

Consejo 1: No uses ‘admin’ como tu nombre de usuario

La página de inicio de sesión de un sitio de WordPress suele ser uno de los principales objetivos para los ciberdelincuentes. Ellos buscan acceder al sitio adivinando las credenciales para iniciar sesión (usuario y contraseña). Por lo tanto, es necesario asegurarse de no usar el nombre de usuario predeterminado (admin), ya que es muy fácil de adivinar.

En caso de haber instalado WordPress con el nombre de usuario predeterminado, se puede cambiar.  Para ello será necesario agregar una consulta SQL en PHPMyAdmin. Lo ideal será que el nuevo nombre de usuario sea único y difícil de descifrar.

Consejo 2: Crea una contraseña segura

Para fortalecer la seguridad en WordPress, el nombre de usuario debe ir acompañado de una contraseña robusta. Si la contraseña es débil, será más fácil para los ciberdelincuentes obtener acceso a la página de administrador y destruir la visibilidad online del sitio.

Para crear una contraseña segura es necesario utilizar una combinación alfanumérica de entre 10 y 15 caracteres. Los caracteres que la compongan deben tener letras, número y símbolos. Además, se puede usar el Generador de contraseñas seguras, si no se puede crear una contraseña más segura de forma particular. Por último, es recomendable cambiar la contraseña cada cierto tiempo.

Consejo: 3 Utiliza la autenticación de dos factores

Esta es una de las mejores maneras de proteger un sitio de WordPress. Con la integración de la autenticación de dos factores, se repotencia la seguridad de la página de inicio de sesión.

En este caso, para poder acceder al sitio, no solo se necesitará la contraseña sino un código de autorización que se enviará a un teléfono móvil. De lo contrario, no se podrá acceder a la página de inicio de sesión del sitio de WordPress.

Consejo 4: Personaliza la URL de inicio de sesión

Otro consejo para fortalecer la seguridad en WordPress es cambiar la dirección URL de la página de inicio de sesión. La versión predeterminada sueles ser el nombre del sitio wen y wp-login.php. Cualquiera puede escribir esa URL y acceder a la página de inicio.

Para evitar que ingresen a nuestro sitio de esa manera, se puede personalizar la URL de inicio de sesión. Se puede crear una URL personalizada como my_custom_login , o instalar el complemento iThemes Security para cambiar automáticamente las URL de inicio de sesión.

Consejo 5: Actualiza a HTTPS

Una buena práctica de seguridad es cambiar el sitio de WordPress a HTTPS para protegerlo de delincuentes informáticos.  El protocolo HTTPS cifra la conexión entre el navegador web y el servidor web para evitar la vulneración de los datos. Además, se puede proteger el sitio web de scripts ocultos maliciosos que se utilizan para robar datos de los formularios de inicio de sesión.

Esta configuración es importante no solo por seguridad, sino también por visibilidad. Google otorga una mejor clasificación en los resultados de búsqueda a aquellos sitios que tengan dicho protocolo de seguridad en WordPress.

Consejo 6: Directorio seguro wp-admin

Una vez reforzada la seguridad de la página de inicio, es necesario hacer lo mismo con el directorio wp-admin. Dado que el panel de administración es un factor clave del sitio web, suele ser una de las partes más propensas a ser vulnerada por los ciberdelincuentes.

Para garantizar la seguridad del panel de administración, lo ideal es utilizar una contraseña diferente a la asignada para la página de inicio.  Esta es una excelente manera de proteger el panel de administración de un sitio de WordPress.

Mejora la seguridad de los temas y complementos de WordPress

Consejo 7: Eliminar los temas y complementos no utilizados

Una manera de potenciar la seguridad en WordPress, es eliminar todos los temas y complementos que no se utilicen. Dichos temas y complementos no solo hacen que su sitio sea lento sino que también lo hacen vulnerable a ataques de seguridad.

Dejar plugins sin actualizar, permite que los atacantes informáticos encuentren una brecha dentro del elemento obsoleto. Para combatir esta situación, es mejor desactivarlo y eliminarlo del panel de administración de WordPress.

Consejo 8: Actualiza los temas y plugins

Las actualizaciones son necesarias para reducir el nivel de vulnerabilidad del sitio web de WordPress. Como hacer las actualizaciones de forma manual es muy trabajoso, lo ideal es automatizar el proceso. Se pueden configurar actualizaciones automáticas para temas y complementos insertando algunas líneas de código en wp-config.php.

seguridad wordpress

Fortalece la seguridad de la base de datos

Consejo 9: Cambia el prefijo de la base de datos WordPress

De forma predeterminada, WordPress emplea un prefijo de tabla «wp_» para todas las tablas de base de datos de un sitio. Por eso, lo ideal es cambiar el prefijo de la tabla de la base de datos predeterminada por una más confiable.

Un prefijo de tabla personalizado hace que sea difícil para los hackers adivinarlo, lo que a su vez protege el sitio web. Para personalizarlo, es necesario acceder al archivo wp-config.php.  Normalmente, el prefijo de tabla predeterminado es:

$ table-prefix = ‘wp_’;

Se puede cambiar por algo como:

$ table-prefix = ‘wp_ZXJ89 & BB ”;

Consejo 10: Realiza una copia de seguridad con regularidad

Una buena práctica de seguridad es hacer siempre una copia de seguridad del sitio de WordPress. De esta manera, en caso de una pérdida de datos, será fácil recuperarlos. Para realizar una copia de seguridad regular se puede utilizar VaultPress, BackUpWordPress o BackWPUp.

Asegura el entorno de alojamiento de WordPress

Consejo 11: Elige un hosting confiable

Implementar buenas prácticas de seguridad es una parte del trabajo. Pero, ese esfuerzo no sirve de nada, si el proveedor de alojamiento o hosting no es confiable.

Según cifras de WordPress, el 41% de los sitios web de WordPress fueron atacados debido a una vulnerabilidad de seguridad disponible en el servidor del hosting. Esto significa que la selección de los proveedores de hosting adecuados importa mucho cuando se trata de la seguridad de WordPress.

Consejo 12: Asegura el archivo wp-config.php

El archivo wp-config.php contiene toda la información confidencial relacionada con la instalación del sitio de WordPress. Dado que es uno de los archivos más importantes de la página web, es vital fortalecer su seguridad.

Para proteger el archivo wp-config.php, es necesario agregar el siguiente fragmento de código en al archivo .htaccess:

# proteger wpconfig.php

order allow,deny

deny from all

Consejo 13: Deshabilita listados de directorios

Nunca coloque su archivo index.html en el nuevo directorio de su sitio de WordPress. Como los visitantes pueden acceder fácilmente a su lista de directorios completa que está disponible en ese directorio en particular, es mejor deshabilitar su lista de directorios con el archivo .htaccess.

Para eso, deberá insertar el siguiente fragmento de código en su archivo .htaccess:

Options All –Indexes

Si deseas mejorar tu rendimiento en el entorno digital, contáctanos para obtener una asesoría personalizada. En TUYÚ Technology estamos interesados en ayudarte a mejorar los resultados de tus acciones de marketing.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.