SI bien WordPress de por sí es seguro, nunca está de más reforzar la seguridad de tu sitio web, que bien sabemos son horas o dinero invertido allí y no queremos que pase nada con nuestro contenido.

Bien, veremos hoy cómo podemos hacer que nuestra web sea segura con unos pocos cambios, obviamente a nivel código se pueden hacer muchas cosas en cuanto a seguridad, aquí expondré algunas, y también hay muchos plugins que pueden ayudarte.

Obviamente comienza con un buen Hosting 😉

Seguridad en nuestra contraseña

Esto es lo más básico, cuando instalamos nuestro WordPress podemos colocar una contraseña o que se genere una, está muy bien adoptar las generadas ya que son muy seguras, pero también son imposibles de recordar y esto a veces es un problema si debes ingresar desde diferentes ordenadores.

Por eso veremos cómo cambiarla y poner una que también será segura pero que podamos recordar.

Para ello nos vamos a ir al apartado de Usuarios en nuestro escritorio de WordPress.

Vamos a editar el usuario y generar contraseña.

Usuario WordPress generar contrasena segura

Una vez que hacemos click en generar contraseña, automáticamente nos dará una opción, que seguro, como te dije, no podrás recordar en la vida.

¿Y cómo hacemos entonces para generar una contraseña segura y que recordemos?

Bueno aquí vamos, puedes poner palabras que puedas recordar con algún caracter especial entre medio, por ejemplo:

Usuario contrasena segura en WordPress

En definitiva, utiliza palabras que puedas recordar poniendo en medio caracteres especiales.

Seguridad en nuestro nombre de usuario

Si por defecto cuando instalaste WordPress te ha quedado el usuario admin, debes saber que debes cambiarlo ¡ya!

Es el más común, el primero que intentará cualquier ciberdelincuente y no te recomiendo que lo dejes así.

Usuario admin WordPress

Ahora si vas a ver en tu sitio, te darás cuenta que ese usuario no puede modificarse.

¿Entonces? ¿Cómo hacemos?

Se puede hacer modificando la base de datos, o con un plugin, o también de la siguiente manera.

Nos vamos a la pestaña Usuarios y añadimos uno nuevo, con el rol de Administrador.

Añadir nuevo usuario en WordPress

Una vez lo tenemos creado, con una contraseña segura como vimos en el primer paso, nos vamos a ir a usuarios nuevamente y vamos al admin que teníamos, al que no podíamos cambiarle el nombre de usuario.

Bueno, antes de hacer esto debemos salir e ingresar con el nuevo perfil administrador.

Borrar usuario admin

Como seguro ya tenías generado algún contenido con ese usuario, al querer borrarlo te preguntará si estás seguro, y además qué hace con el contenido generado, si lo borras o bien se lo atribuyes a otro usuario.

Obviamente seleccionaremos que se lo atribuimos al nuevo usuario con cargo de Administrador generado.

Confirmar borrado usuario admin en WordPress

Así que resumiendo:

1º Crear el nuevo usuario con el perfil de Administrador

2º Deberás salir de la sesión en la que estás y entrar con el nuevo usuario

3º Ya con tu nuevo usuario, borras el anterior, el “admin”

Debemos tener en cuenta que además esto es positivo en el sentido que los ciberdelincuentes también saben que el ID #1 es el del administrador.

Tampoco es que sea algo sumamente importante pero cada cosa que hagamos en pos de la seguridad de nuestro sitio web, suma 😉

Si tienes muchos usuarios, debido a colaboraciones, pero ya no forman parte de tu empresa, pero no puedes borrarlos porque hay contenido asignado como autor, en ese caso puedes ponerles un rol de suscriptor. Recuerda ver este post donde te hablé de los usuarios.

Otra opción es cambiar la contraseña de esos usuarios.

Seguridad en .htacces

Como venimos viendo, cuanto más reforcemos la seguridad mejor, así que colocando el siguiente código en el archivo .htaccess impediremos el acceso de forma externa.

O sea, sólo podremos acceder desde el servidor.

# proteger wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# proteger htaccess
<files .htaccess>
order allow,deny
deny from all
</files>

Seguridad en actualizaciones

Importantísimo tener actualizados los plugins, también el Tema y WordPress.

En esto soy bastante hincha con mis clientes…

Es que es sumamente necesario y en caso que hubiera alguno que aún no deberían actualizar, les mando mensaje para que esperen.

También si tienes plugins que no utilizas, que los tienes inactivos, lo mejor es eliminarlos, ya los subirás nuevamente en caso de necesitarlos.

Ten en cuenta que, aunque estén inactivos, si esos plugins tienen vulnerabilidad, podrán ingresar a tu web.

Y por supuesto al instalar nuevos plugins revisa su fecha última de actualización, las consultas en el soporte, su calificación, las instalaciones activas que tiene, sus estrellitas, también nos dirá con qué versión de WordPress es compatible y qué versión de PHP necesita.

Debes ver que, si es un plugin muy específico o nuevo, no contará con cantidades grande de instalaciones, siempre hay que ir evaluando, incluso consultando con colegas, que en estas cosas la comunidad de WordPress siempre es genial 😉

Seguridad Plugins WordPress actualizaciones

Es verdad que hay plugins que cumplen una función concreta y no necesitan actualización, pero en ese caso deberías averiguar bien antes de instalarlo, lo recomendable es que se vaya actualizando.

También podrás ver, debajo de las valoraciones, quienes son los contribuidores de ese plugin, si haces click en su autor o contribuidores, podrás ver sus perfiles, así conocer si tiene otros plugins o desde cuándo colabora con WordPress.

Seguridad Plugins WordPress ver autores

Desactivar “editor” en el Escritorio de WordPress

En nuestro escritorio de WordPress encontraremos en Apariencia una pestaña que se llama Editor. Tocar eso puede llevarnos a cargarnos la web, nosotros o nuestros clientes y no hay ctrl+z que valga, por eso estos cambios es mejor hacerlo desde CPanel o por ftp, con las precauciones necesarias.

Seguridad editor en escritorio

Así que lo mejor es que esa pestaña no aparezca.

Entonces, ¿cómo lo quitamos?

Para ello debemos ir a CPanel de nuestro Hosting, buscar el archivo wp-config.php y agregar lo siguiente:

define( 'DISALLOW_FILE_EDIT', true );
Seguridad quitar editor de escritorio

Cuando regresamos al escritorio, esa opción veremos que ha desaparecido.

Forzado de https al iniciar sesión

También es muy importante que determinemos el forzado de https cuando hacemos el login en la web, caso contrario esa información podría no estar encriptada y corre así riesgo la información.

Si estamos en casa puede no pasar nada, pero si estamos usando wifi de algún lugar público, o por ejemplo de un hotel si estamos de viaje, estos datos se envían sin codificar y cualquier persona que esté utilizando esa misma red podría obtener nuestros datos.

¿Solución? Colocar este código en el mismo archivo wp-config.php

define( 'FORCE_SSL_LOGIN', true );
define( 'FORCE_SSL_ADMIN', true );

Y aunque parezca muy loco, hay gente que se dedica a esto.

Así que, como dice el dicho, «más vale prevenir, que curar».

Obviamente esta configuración podrás hacerla si tienes contratado el servicio SSL en tu Hosting.

Y si no tienes aún el certificado de seguridad, te aconsejo tenerlo.

Control por IP

Esta es una opción que puede serte útil, en mi caso no porque mi dirección de IP es variable.

En tal caso en tu archivo w-config.php puedes colocar este código:

<Files wp-login.php>
	Order Allow,Deny
	Deny from all
	Allow from (poner tu IP)
</Files>

Seguridad modificar prefijo en BBDD

Aquí debemos acceder al CPanel > phpMyAdmin

Estas son las 12 tablas que te encontrarás seguro en tu Base de Datos:

Seguridad Base de Datos WordPress

Esto va a variar a medida que WordPress se va modificando, claro.

Desde aquí es donde podremos cambiar el prefijo de la Base de Datos, seleccionando todas las casillas, click derecho, reemplazar el prefijo de la tabla, e indicando el nuevo.

Seguridad modificar prefijo Base de Datos

Pero ojo, que ahí la web no podríamos verla, para ello necesitamos ir a CPanel > Administrador de archivos > config.php y cambiar el nombre de la tabla por el nuevo.

Modificar tabla Base de Datos en CPanel

Si hubiese algún error, vuelves todo a como estaba, pero seguro que irá todo bien.

Otra medida de seguridad es copiar todas las tablas, para ello las seleccionamos, hacemos click derecho y elegimos copiar tabla con prefijos.

Obviamente estas tablas se duplicarán y si algo sucede puedes, como medida rápida, cambiar el prefijo en wp_config.php o eliminar las tablas anteriores y remobrar las de las copias.

Deberás obviamente tener cuidado en tus acciones.

Cambiar nuestro nombre de usuario

Bueno ya hablamos de esto, pero no me refiero en realidad al user login, sino al use nicemane.

¡¿Pero qué es esto?!

Bueno mismo en las tablas de nuestro phpMyAdmin, encontraremos wp_users

Modificar user en base de datos

Cuando le damos a editar veremos que el user login y el user nicename pueden ser iguales.

Y si son iguales, quien sepa nuestro nicename, sabrá nuestro usuario de login, por eso es mejor cambiarlo.

Modificar user login en Base de Datos

Plugins de Seguridad

Limit Login Attemps

Es un plugin con el cual no vas a tener problemas, funciona bien, y es de esos plugins que cumple su función sin necesidad de actualizarse, verás que lleva mucho tiempo sin hacerlo.

Igualmente hay otros similares si prefieres probar uno actualizado.

Seguridad Plugin Limit Login Attempts

Solo debes instalarlo, activarlo y en ajustes te indicará los bloqueos que ha habido. Podrás determinar cuántas veces se puede probar la contraseña, determinar los minutos de bloqueo, incluso si insiste y falla, determinas que el bloqueo sea aún mayor.

Te notifica la IP que quiere ingresar a tu sitio y si quieres te informa por email.

Meta Generator and Version Info Remover

Este plugin nos sirve para ocultar la versión de WordPress, y así dar menos datos sobre nuestra web.

Seguridad Plugin Meta Generator and Version Info Remover

Entonces si inspeccionamos el código fuente obtenemos información que con este plugin evitaríamos dar.

Obviamente quien quiera saber si usamos WordPress podrá saberlo, pero son todas acciones que suman a una mayor seguridad, a ver, pongámoslo lo más poco accesible que podamos 😉

Admin Block Country

Seguridad Plugin Admin Block Country

Este plugin es muy sencillo, simplemente deberás seleccionar qué países bloqueas.

Wordfence Security – Firewall & Malware Scan

Seguridad Plugin Wordfence Security

Es uno de los plugins más conocidos para la seguridad de tu web.

Al instalarlo y activarlo, lo primero que saltará, al menos al momento de escribir este post, es un pop up preguntándote tu email y si quieres recibir novedades, también deberás aceptar las políticas de privacidad.

Inmediatamente te pide una API Key, pero no te preocupes, dile “no, gracias”.

Ahora listo, nos vamos a la pestaña del plugins que aparecerá en el costado lateral izquierdo del escritorio de tu WordPress.

Nos vamos a opciones globales, podremos ver que nos ha generado una clave API de nuestra versión instalada, aunque sea gratuita.

Veamos los aspectos más importantes para este plugin de seguridad.

En General Wordfence Options podemos indicar que el plugin se actualice automáticamente, si bien prefiero hacer yo las actualizaciones, si eres de los que no las hace habitualmente, quizá te convenga marcar esta casilla.

También indicaremos el email que utilizaremos.

Wordfence actualizaciones automaticas

Si dejas esa casilla marcada, ve a Email Alert Preferences y también marca que te envíe un email cuando se ha actualizado, así puedes verificar que todo funcione correctamente.

Luego podrás determinar, en esa misma pestaña, qué emails de avisos quieres que te lleguen.

En Activity Report puedes determinar cada cuánto tiempo quieres las notificaciones, si diarias, semanales o mensuales.

Al comienzo puedes activar todas y luego vas viendo cuáles te vienen bien o bien vas desactivando.

El Firewall controla el acceso al sitio web desde sitios inadecuados, por ejemplo, una IP que sea peligrosa o que exista un elevado número de intento de accesos por minuto.

Cuando lo instalas puedes dejarlo unos días en modo aprendizaje, que se refiere a las peticiones que se hacen a nuestra web, y fijar una fecha para que cambie al modo protección, por ejemplo 15 días.

Wordfence modo aprendizaje

No te preocupes si no te da el 100% en todos, para ello debes contar con la versión premium.

La opción de Protection Level, requiere la modificación del archivo .htaccess y si algo sucede la resolución puede no ser sencilla si no tienes conocimientos técnicos, así que no te recomiendo tocar esto o bien descárgate el archivo desde el botón que te proporciona el mismo plugin.

Wordfence protection level

Real-Time IP Blacklist podrás utilizarlo si tienes una versión premium, es para poner una lista de direcciones IP que sabemos son peligrosas.

En ese mismo apartado luego verás Brute Force Protection, que siempre debemos tener activo para impedir accesos e intentos de ingreso con contraseñas erróneas.

Wordfence brute force protection

Generalmente las activaciones por defecto del plugin ya te servirán para la seguridad de tu web, luego puedes ir ajustando lo que consideres conveniente.

Igualmente, en este apartado, bajaría las cantidades de intentos de ingreso y subiría el período de bloqueo.

En rate limiting si bien viene activado, sino actívalo, deberás hacer ajustes ya que no determina el numero de veces que se puede acceder, si haces click en el signo de interrogación podrás ver información sobre cada punto y así determinar lo que consideres colocar.

Wordfence rate limiting

Respecto al escaneo, se recomienda tener activado el Standard, ahora si crees que estás frente a un posible hacheo, puedes seleccionar High Sensitivity.

Wordfence scan options

En General options de la sección de escaneo, como en las partes vistas anteriormente, vienen ya por defecto algunas activas, te recomiendo activar las que no lo estén.

Y en Performance options puedes dejar los que vienen ya estipulados y en Advance ya es más avanzado y puedes hacer que no se revisen determinados ficheros.

Con este plugin de seguridad podremos hacer muchos ajustes y cuidar nuestro sitio web.

Te recomiendo probarlo, es el que suelo usar en mis proyectos.

Si quieres conocer más sobre Wordfence te recomiendo este post super completo de Gerardo.

Y si quieres ver un tutorial, te dejo este de Álvaro Fontela 😉

Conclusión

Hay muchas formas de mantener nuestro WordPress seguro, muchas de las que te indico en el post te recomiendo que tengas cuidado al tocar o puedes liarla, siempre haz pruebas en una web que tengas para ese fin antes de echar mano en una web que ya esté online.

Tampoco es que sea necesario utilizar todos los plugins, es más NO deberías usar todos para que no haya conflictos.

Y si no te das maña, tranquilo, para mí es primordial tener un buen Hosting para cuidar la seguridad de tu web y si puedes ir reforzando con todos estos pasos que hemos visto.

De más está decir que no utilices plugins o temas de sitios que no sean seguros, siempre compra al desarrollador.

¿Qué otras acciones conoces o has tomado en cuanto a seguridad?

¡Haz clic para puntuar esta entrada!
(Votos: 3 Promedio: 5)
Diseno Web - disenemos juntos

Pin It on Pinterest