Seguridad de WordPress, 5 fácil pasos básicos para aumentar la seguridad de tu sitio web

Posted on 20 Abril, 2017

Seguridad de WordPress, no solo hay que hacer, si no también NO hacer

Cuando hablamos de mejorar la seguridad de un sitio web, especialmente en seguridad de wordpress, muchos dueños de sitios web o web master algo más nuevos en esto creen que es solo cosa de ‘añadir’, o agregar plugins para mejorar la seguridad de wordpress, pero no se trata solo de eso también podemos mejorar esta última evitando cometer errores dentro de nuestro sitio, o dejar claros hoyos de seguridad que puedan ser explotados.

#1 Que no hacer, instalación, configuración y otros

seleccionando mi usuario Administrador y Autor

Seguridad de WordPressAlgo muy común y a mi gusto principal error a la hora de levantar un sitio web con wordpress, es confiarte demasiado en la facilidad que te da para crear un portal web y dejar por defecto el usuario que wordpress aconseja, así que en este caso nuestro primer paso para mejorar la seguridad de wordpress es eliminar o editar el usuario “admin” y remplazarlo por uno propio.

Luego lo que haremos será crear un segundo usuario con el nivel que requiramos, ya sea de autor o editor, y con ese una vez que estemos creando nuestras entradas o páginas usar como autor del mismo, eso quiere decir que tenemos nuestro usuario Administrador JohnDoe“, y creamos nuestro usuario Autor EnzoValdivia” con el cual dejaremos como usuario autor en todas nuestras entradas y páginas, para así evitar listar a nuestro usuario administrador en eventos no esenciales como la creación o autoría de Post.

Configuración básica inicial

 #2 Limitando intentos de Login

Lo que haremos inmediatamente después de elegir un nombre de usuario para nuestro administrador y nuestro usuario autor es impedir ataques de fuerza bruta, a mi gusto este es lo minimo que hacer a la hora de evaluar la seguridad de wordpress eso es evitando que el número de intentes para el login para que no puedas ingresar 15 intentos seguidos para el mismo usuario, para esto si utilizaremos un plugin, actualmente hay varios dando vueltas, la mayoría funciona de la misma forma y son bastante ligeros para no recargar tu sitio de plugins, puedes mirar Brute Force Login Security, Spam Protection & Limit Login Attempts u otros algo más simples como wp limit login attempts.

#3 Seleccionando un Template

Antes de hacer cualquier cosa, escribir cualquier línea de código o incluso instalar cualquier plugin, lo primero que haremos será asegurarnos de elegir un Template de confianza y no cualquiera que se encuentre en internet, especialmente y algo que es muy común y mucha gente cae es en template de pago que encuentran gratuitos en internet pero que han sido modificados a veces con código malicioso u otras con simplemente basura, así que antes de hacer cualquier cosa lo primero es asegurarnos de no instalar un template lleno de basura.

#4 Editando .htaccess

Para empezar y antes de empezar a instalar un montón de plugins de seguridad en mi opinión lo mejor es tocar (muy poco y solo si tienes suficiente confianza en lo que haces) el .htaccess del sitio, para restringir acceso a ciertos ficheros, redirigir algunos otros y evitar intentos innecesarios.

.htaccess por defecto

Bloquear php.ini y otros ficheros necesarios

Bloquear HotLink

Bloquear la carpeta wp-includes, es una carpeta necesaria para el correcto funcionamiento del sitio, pero no debería recibir cambios, ni generar, solo carga librerías necesarias.

Con el código anterior puedes hacer que desde el exterior la carpeta WP-INCLUDES sea completamente impenetrable.

#5 Crea respaldos de tus ficheros y base de datos con regularidad

Seguridad de WordPressUno de los puntos más importantes y uno de los “errores” más comúnes a la hora de evualuar la seguridad de wordpress es no tener un respaldo automatico de tu sitio, si tienes el tiempo o pasciencia para hacerlos de manera manual, pues aún mejor, personalmente uso una serie de diferentes plugin para crear backup automaticos desde muy simples que respaldan ficheros, hasta otros que hacen versiones y puedes elegir que respaldar y que no, personalemente utilizo UpdraftPlus, que tiene una gran gama de opciones, y si quieres usar la versión PRO tienes aún más para poder respaldar de manera automatica y muy segura

 

# Menciones Honrosas en Seguridad de WordPress

Como medida extra toda acción que ayude a mejorar la seguridad de wordpress en tu sitio y no tenga tantos cons es una buena idea, otras medidas muy buenas son por ejemplo:

  • Instalar un CDN en tu sitio (cloudflare, etcétera)
  • Mantener actualizado tu sitio y plugins
  • No instalar todos los plugins que veas (especialmente en gente recién empezando con wordpress y para que hablar de seguridad de wordpress, terminan instalando demasiados plugins)
  • Elegir un buen servidor
  • Mantener a los usuarios y el spam a raya, si tienes formulario de contacto, agregar un sistema de captcha, si aceptas comentarios usar un sistema de terceros (disqus, etcétrera).

 

Sígueme!

Enzopiero Valdivia O.

Desarrollador Web at Pandamonios
Desarrollador web de profesión, Amante de la fotografía y los videojuegos, actualmente trabajando como desarrollador en PHP. trato de escribir de tecnología, fotografía y otros teman que me interesan.
  • PS3: Eddie--MW
  • Origin: Edd1eMW
  • Steam: EddieMW
Sígueme!