SI bien WordPress de por sí es seguro, nunca está de más reforzar la seguridad de tu sitio web, que bien sabemos son horas o dinero invertido allí y no queremos que pase nada con nuestro contenido.
Bien, veremos hoy cómo podemos hacer que nuestra web sea segura con unos pocos cambios, obviamente a nivel código se pueden hacer muchas cosas en cuanto a seguridad, aquí expondré algunas, y también hay muchos plugins que pueden ayudarte.
Obviamente comienza con un buen Hosting 😉
Seguridad en nuestra contraseña
Esto es lo más básico, cuando instalamos nuestro WordPress podemos colocar una contraseña o que se genere una, está muy bien adoptar las generadas ya que son muy seguras, pero también son imposibles de recordar y esto a veces es un problema si debes ingresar desde diferentes ordenadores.
Por eso veremos cómo cambiarla y poner una que también será segura pero que podamos recordar.
Para ello nos vamos a ir al apartado de Usuarios en nuestro escritorio de WordPress.
Vamos a editar el usuario y generar contraseña.
Una vez que hacemos click en generar contraseña, automáticamente nos dará una opción, que seguro, como te dije, no podrás recordar en la vida.
¿Y cómo hacemos entonces para generar una contraseña segura y que recordemos?
Bueno aquí vamos, puedes poner palabras que puedas recordar con algún caracter especial entre medio, por ejemplo:
En definitiva, utiliza palabras que puedas recordar poniendo en medio caracteres especiales.
Seguridad en nuestro nombre de usuario
Si por defecto cuando instalaste WordPress te ha quedado el usuario admin, debes saber que debes cambiarlo ¡ya!
Es el más común, el primero que intentará cualquier ciberdelincuente y no te recomiendo que lo dejes así.
Ahora si vas a ver en tu sitio, te darás cuenta que ese usuario no puede modificarse.
¿Entonces? ¿Cómo hacemos?
Se puede hacer modificando la base de datos, o con un plugin, o también de la siguiente manera.
Nos vamos a la pestaña Usuarios y añadimos uno nuevo, con el rol de Administrador.
Una vez lo tenemos creado, con una contraseña segura como vimos en el primer paso, nos vamos a ir a usuarios nuevamente y vamos al admin que teníamos, al que no podíamos cambiarle el nombre de usuario.
Bueno, antes de hacer esto debemos salir e ingresar con el nuevo perfil administrador.
Como seguro ya tenías generado algún contenido con ese usuario, al querer borrarlo te preguntará si estás seguro, y además qué hace con el contenido generado, si lo borras o bien se lo atribuyes a otro usuario.
Obviamente seleccionaremos que se lo atribuimos al nuevo usuario con cargo de Administrador generado.
Así que resumiendo:
1º Crear el nuevo usuario con el perfil de Administrador
2º Deberás salir de la sesión en la que estás y entrar con el nuevo usuario
3º Ya con tu nuevo usuario, borras el anterior, el “admin”
Debemos tener en cuenta que además esto es positivo en el sentido que los ciberdelincuentes también saben que el ID #1 es el del administrador.
Tampoco es que sea algo sumamente importante pero cada cosa que hagamos en pos de la seguridad de nuestro sitio web, suma 😉
Si tienes muchos usuarios, debido a colaboraciones, pero ya no forman parte de tu empresa, pero no puedes borrarlos porque hay contenido asignado como autor, en ese caso puedes ponerles un rol de suscriptor. Recuerda ver este post donde te hablé de los usuarios.
Otra opción es cambiar la contraseña de esos usuarios.
Seguridad en .htacces
Como venimos viendo, cuanto más reforcemos la seguridad mejor, así que colocando el siguiente código en el archivo .htaccess impediremos el acceso de forma externa.
O sea, sólo podremos acceder desde el servidor.
# proteger wpconfig.php <files wp-config.php> order allow,deny deny from all </files> # proteger htaccess <files .htaccess> order allow,deny deny from all </files>
Seguridad en actualizaciones
Importantísimo tener actualizados los plugins, también el Tema y WordPress.
En esto soy bastante hincha con mis clientes…
Es que es sumamente necesario y en caso que hubiera alguno que aún no deberían actualizar, les mando mensaje para que esperen.
También si tienes plugins que no utilizas, que los tienes inactivos, lo mejor es eliminarlos, ya los subirás nuevamente en caso de necesitarlos.
Ten en cuenta que, aunque estén inactivos, si esos plugins tienen vulnerabilidad, podrán ingresar a tu web.
Y por supuesto al instalar nuevos plugins revisa su fecha última de actualización, las consultas en el soporte, su calificación, las instalaciones activas que tiene, sus estrellitas, también nos dirá con qué versión de WordPress es compatible y qué versión de PHP necesita.
Debes ver que, si es un plugin muy específico o nuevo, no contará con cantidades grande de instalaciones, siempre hay que ir evaluando, incluso consultando con colegas, que en estas cosas la comunidad de WordPress siempre es genial 😉
Es verdad que hay plugins que cumplen una función concreta y no necesitan actualización, pero en ese caso deberías averiguar bien antes de instalarlo, lo recomendable es que se vaya actualizando.
También podrás ver, debajo de las valoraciones, quienes son los contribuidores de ese plugin, si haces click en su autor o contribuidores, podrás ver sus perfiles, así conocer si tiene otros plugins o desde cuándo colabora con WordPress.
Desactivar “editor” en el Escritorio de WordPress
En nuestro escritorio de WordPress encontraremos en Apariencia una pestaña que se llama Editor. Tocar eso puede llevarnos a cargarnos la web, nosotros o nuestros clientes y no hay ctrl+z que valga, por eso estos cambios es mejor hacerlo desde CPanel o por ftp, con las precauciones necesarias.
Así que lo mejor es que esa pestaña no aparezca.
Entonces, ¿cómo lo quitamos?
Para ello debemos ir a CPanel de nuestro Hosting, buscar el archivo wp-config.php y agregar lo siguiente:
define( 'DISALLOW_FILE_EDIT', true );
Cuando regresamos al escritorio, esa opción veremos que ha desaparecido.
Forzado de https al iniciar sesión
También es muy importante que determinemos el forzado de https cuando hacemos el login en la web, caso contrario esa información podría no estar encriptada y corre así riesgo la información.
Si estamos en casa puede no pasar nada, pero si estamos usando wifi de algún lugar público, o por ejemplo de un hotel si estamos de viaje, estos datos se envían sin codificar y cualquier persona que esté utilizando esa misma red podría obtener nuestros datos.
¿Solución? Colocar este código en el mismo archivo wp-config.php
define( 'FORCE_SSL_LOGIN', true ); define( 'FORCE_SSL_ADMIN', true );
Y aunque parezca muy loco, hay gente que se dedica a esto.
Así que, como dice el dicho, «más vale prevenir, que curar».
Obviamente esta configuración podrás hacerla si tienes contratado el servicio SSL en tu Hosting.
Y si no tienes aún el certificado de seguridad, te aconsejo tenerlo.
Control por IP
Esta es una opción que puede serte útil, en mi caso no porque mi dirección de IP es variable.
En tal caso en tu archivo w-config.php puedes colocar este código:
<Files wp-login.php> Order Allow,Deny Deny from all Allow from (poner tu IP) </Files>
Seguridad modificar prefijo en BBDD
Aquí debemos acceder al CPanel > phpMyAdmin
Estas son las 12 tablas que te encontrarás seguro en tu Base de Datos:
Esto va a variar a medida que WordPress se va modificando, claro.
Desde aquí es donde podremos cambiar el prefijo de la Base de Datos, seleccionando todas las casillas, click derecho, reemplazar el prefijo de la tabla, e indicando el nuevo.
Pero ojo, que ahí la web no podríamos verla, para ello necesitamos ir a CPanel > Administrador de archivos > config.php y cambiar el nombre de la tabla por el nuevo.
Si hubiese algún error, vuelves todo a como estaba, pero seguro que irá todo bien.
Otra medida de seguridad es copiar todas las tablas, para ello las seleccionamos, hacemos click derecho y elegimos copiar tabla con prefijos.
Obviamente estas tablas se duplicarán y si algo sucede puedes, como medida rápida, cambiar el prefijo en wp_config.php o eliminar las tablas anteriores y remobrar las de las copias.
Deberás obviamente tener cuidado en tus acciones.
Cambiar nuestro nombre de usuario
Bueno ya hablamos de esto, pero no me refiero en realidad al user login, sino al use nicemane.
¡¿Pero qué es esto?!
Bueno mismo en las tablas de nuestro phpMyAdmin, encontraremos wp_users
Cuando le damos a editar veremos que el user login y el user nicename pueden ser iguales.
Y si son iguales, quien sepa nuestro nicename, sabrá nuestro usuario de login, por eso es mejor cambiarlo.
Plugins de Seguridad
Limit Login Attemps
Es un plugin con el cual no vas a tener problemas, funciona bien, y es de esos plugins que cumple su función sin necesidad de actualizarse, verás que lleva mucho tiempo sin hacerlo.
Igualmente hay otros similares si prefieres probar uno actualizado.
Solo debes instalarlo, activarlo y en ajustes te indicará los bloqueos que ha habido. Podrás determinar cuántas veces se puede probar la contraseña, determinar los minutos de bloqueo, incluso si insiste y falla, determinas que el bloqueo sea aún mayor.
Te notifica la IP que quiere ingresar a tu sitio y si quieres te informa por email.
Meta Generator and Version Info Remover
Este plugin nos sirve para ocultar la versión de WordPress, y así dar menos datos sobre nuestra web.
Entonces si inspeccionamos el código fuente obtenemos información que con este plugin evitaríamos dar.
Obviamente quien quiera saber si usamos WordPress podrá saberlo, pero son todas acciones que suman a una mayor seguridad, a ver, pongámoslo lo más poco accesible que podamos 😉
Admin Block Country
Este plugin es muy sencillo, simplemente deberás seleccionar qué países bloqueas.
Wordfence Security – Firewall & Malware Scan
Es uno de los plugins más conocidos para la seguridad de tu web.
Al instalarlo y activarlo, lo primero que saltará, al menos al momento de escribir este post, es un pop up preguntándote tu email y si quieres recibir novedades, también deberás aceptar las políticas de privacidad.
Inmediatamente te pide una API Key, pero no te preocupes, dile “no, gracias”.
Ahora listo, nos vamos a la pestaña del plugins que aparecerá en el costado lateral izquierdo del escritorio de tu WordPress.
Nos vamos a opciones globales, podremos ver que nos ha generado una clave API de nuestra versión instalada, aunque sea gratuita.
Veamos los aspectos más importantes para este plugin de seguridad.
En General Wordfence Options podemos indicar que el plugin se actualice automáticamente, si bien prefiero hacer yo las actualizaciones, si eres de los que no las hace habitualmente, quizá te convenga marcar esta casilla.
También indicaremos el email que utilizaremos.
Si dejas esa casilla marcada, ve a Email Alert Preferences y también marca que te envíe un email cuando se ha actualizado, así puedes verificar que todo funcione correctamente.
Luego podrás determinar, en esa misma pestaña, qué emails de avisos quieres que te lleguen.
En Activity Report puedes determinar cada cuánto tiempo quieres las notificaciones, si diarias, semanales o mensuales.
Al comienzo puedes activar todas y luego vas viendo cuáles te vienen bien o bien vas desactivando.
El Firewall controla el acceso al sitio web desde sitios inadecuados, por ejemplo, una IP que sea peligrosa o que exista un elevado número de intento de accesos por minuto.
Cuando lo instalas puedes dejarlo unos días en modo aprendizaje, que se refiere a las peticiones que se hacen a nuestra web, y fijar una fecha para que cambie al modo protección, por ejemplo 15 días.
No te preocupes si no te da el 100% en todos, para ello debes contar con la versión premium.
La opción de Protection Level, requiere la modificación del archivo .htaccess y si algo sucede la resolución puede no ser sencilla si no tienes conocimientos técnicos, así que no te recomiendo tocar esto o bien descárgate el archivo desde el botón que te proporciona el mismo plugin.
Real-Time IP Blacklist podrás utilizarlo si tienes una versión premium, es para poner una lista de direcciones IP que sabemos son peligrosas.
En ese mismo apartado luego verás Brute Force Protection, que siempre debemos tener activo para impedir accesos e intentos de ingreso con contraseñas erróneas.
Generalmente las activaciones por defecto del plugin ya te servirán para la seguridad de tu web, luego puedes ir ajustando lo que consideres conveniente.
Igualmente, en este apartado, bajaría las cantidades de intentos de ingreso y subiría el período de bloqueo.
En rate limiting si bien viene activado, sino actívalo, deberás hacer ajustes ya que no determina el numero de veces que se puede acceder, si haces click en el signo de interrogación podrás ver información sobre cada punto y así determinar lo que consideres colocar.
Respecto al escaneo, se recomienda tener activado el Standard, ahora si crees que estás frente a un posible hacheo, puedes seleccionar High Sensitivity.
En General options de la sección de escaneo, como en las partes vistas anteriormente, vienen ya por defecto algunas activas, te recomiendo activar las que no lo estén.
Y en Performance options puedes dejar los que vienen ya estipulados y en Advance ya es más avanzado y puedes hacer que no se revisen determinados ficheros.
Con este plugin de seguridad podremos hacer muchos ajustes y cuidar nuestro sitio web.
Te recomiendo probarlo, es el que suelo usar en mis proyectos.
Si quieres conocer más sobre Wordfence te recomiendo este post super completo de Gerardo.
Y si quieres ver un tutorial, te dejo este de Álvaro Fontela 😉
Conclusión
Hay muchas formas de mantener nuestro WordPress seguro, muchas de las que te indico en el post te recomiendo que tengas cuidado al tocar o puedes liarla, siempre haz pruebas en una web que tengas para ese fin antes de echar mano en una web que ya esté online.
Tampoco es que sea necesario utilizar todos los plugins, es más NO deberías usar todos para que no haya conflictos.
Y si no te das maña, tranquilo, para mí es primordial tener un buen Hosting para cuidar la seguridad de tu web y si puedes ir reforzando con todos estos pasos que hemos visto.
De más está decir que no utilices plugins o temas de sitios que no sean seguros, siempre compra al desarrollador.
¿Qué otras acciones conoces o has tomado en cuanto a seguridad?
Madre. Consultora de Marketing Digital y Diseñadora web. Enamorada del Marketing Digital y las acciones que pueden hacer crecer tu negocio de manera online. En el Blog encontrarás información sobre ello, WordPress y diferentes herramientas que te serán útiles para tus proyectos digitales.
Hola María!
Buen post!
Yo añadiría también instalar el WPS Hide login para evitar el wp-admin como url de acceso, así puedes elegir otra url y hacer algo más difícil llegar a introducir las credenciales para entrar en la web, ya sea por fuerza bruta o por mero conocimiento.
Esa alternativa junto con Limited logins attempts la verdad es que complica algo el acceso!
Hola Francisco!!! Estoy de acuerdo contigo, es más, no sé cómo se me ha pasado ya que lo utilizo en varios sitios 😉 Gracias por tu observación. Saludos!!
Muy útil tu artículo Maria Vale 😉
Hay unas cuantas cositas que no conocía como el plugin Meta generator plugin y algún código PHP. Al final, cuanto más barreras de seguridad poner mejor. ¿Tu pondrías todo verdad?
Hola Gabriela!! Todos, la verdad a veces no, pero lo que SÍ es seguro y siempre, busco para mis webs y las de clientes, es un hosting de calidad, que ya de por sí brinde seguridad y que haga back ups diarios también. Wordfence como plugin me gusta mucho. Saludos!!
¡Gran artículo, María! Me ha parecido muy interesante y lo guardo en favoritos.
Hola Alex!! Muchas gracias!!! 🥰 Besos!!