Seguridad en WordPress: lista de acciones básicas para proteger tu web

Consultoría y desarrollo Web, Sin comentarios

WordPress es el CMS más popular de todo el mundo por lo que la mayoría de ataques informáticos están orientados a esta plataforma. Cuando nos lanzamos a trabajar en el diseño web de nuestra marca no sólo debemos cubrir necesidades estéticas o funcionales, sino también en materia de seguridad.

Seguridad en WordPress: lista de acciones básicas para proteger tu web

Existen varias herramientas de seguridad en WordPress que te pueden ayudar a reducir las vulnerabilidades de tu website, algunas de ellas son:

  • Prefijo wp_ para la base de datos: Al instalar WordPress el nombre por defecto de nuestra base de datos llevará el prefijo “wp_”. Es recomendable cambiarlo porque esta información es una debilidad de cara a los hackers.
  • Nombre de usuario: El nombre de usuario para acceder a este CMS también suele ser bastante común puede ser “admin” o “root”. Para blindar el acceso a nuestra web es imprescindible modificar el nombre de acceso.
  • Contraseña: Para impedir el acceso a nuestro sistema resulta básico definir una contraseña segura. Una buena contraseña contará con letras minúsculas, mayúsculas, números y caracteres especiales.
  • Actualiza tu versión de WordPress: Las versiones desactualizadas son más vulnerables a los ataques informáticos y por esta razón los hackers suelen actuar sobre webs desfasadas. Normalmente las actualizaciones se hacen de forma automática.
  • Actualiza los plugins: Revisa tus plugins de forma periódica. Un plugin desactualizado puede ser la puerta de acceso a cualquier tipo de malware.
  • Descarga componentes seguros de diseño web: Descargar temas y plugins procedentes de plataformas pirata como Torrent o eMule es un riesgo demasiado grande. La mayoría de estos archivos suelen estar infectados de todo tipo de virus. Los recursos que se utilicen en el diseño web deberán contar con unas mínimas garantías de seguridad.
  • Edita el archivo de configuración: Proteger nuestro WordPress de accesos indeseados es posible a través del archivo wp_config. Para ello podemos cambiar los permisos a 444 y añadir las siguientes reglas adicionales:<Files wp-config.php> order allow,deny deny from all </Files>
  • Genera copias de seguridad: Lo cierto es que por muchas medidas que se tomen siempre estamos expuestos a nuevas amenazas. La mejor garantía para proteger tu información es crear copias de seguridad. Para ello puedes instalar plugins como BackWPup.
  • Instala un plugin de seguridad: Existen plugins que están especializados en proteger nuestro CMS. Algunos de ellos son iThemes Security, Bulletproof o WordFence. Asegúrate de que cuentas con herramientas para bloquear cualquier tipo de modificación sobre tu site, inclusión de código y cualquier otro tipo de ataque.
  • Registra tu site en Google Search Console: La consola de Google no sólo te proporcionará información muy interesante a nivel SEO sino que además cuenta con un sistema de notificaciones cuando se producen inyecciones de código o existe cualquier tipo de problema de usabilidad.
  • Bloquea el acceso de sploggers: Si has activado un sistema de registro de usuarios en tu página web deberás protegerte de los sploggers. Se trata de usuarios que acceden a tu plataforma con el objetivo de hacer SPAM o modificar la configuración de tu site. WanGuard es un plugin especializado en la detección de este tipo de amenazas.
  • Protege tu archivo htaccess: Este archivo sirve de vía para llevar a cabo diferentes ataques dentro de tu página web. Es posible proteger dicho fichero incluyendo las siguientes líneas de código: <files .htaccess> order allow,deny deny from all </files>.

Por último y no menos importante se debe llevar un seguimiento controlado y continuo para garantizar la seguridad en WordPress. Lo más recomendable es contratar un servicio de mantenimiento sobre todo si nuestra web aloja una gran cantidad de información. Cada día aparecen nuevos métodos y fórmulas para propiciar ataques en Internet por lo que las medidas de prevención (tanto de seguimiento como de actualización) deben ser continuas.