Cómo mejorar la seguridad de WordPress
En este post te cuento como, con unas medidas muy sencillas, puedes mejorar la seguridad de WordPress y evitar que tu blog sea hackeado.
Si tienes un blog, seguramente querrás que a medida que vaya pasando el tiempo tu blog tenga más y mejores contenidos. Querrás que sea un blog que enganche, y que cada vez tenga más seguidores.
Pues bien, en esta carrera por ganar tráfico, a menudo descuidamos algo tan imprescindible como es la seguridad de nuestro blog.
Un ataque a nuestro blog puede echar por tierra meses o años de trabajo. En el mejor de los casos, si tenemos una copia de seguridad más o menos reciente, podremos restaurar casi todo el contenido una vez que hayamos recuperado el acceso de nuestro blog.
El problema es que, además de las molestias que nos haya ocasionado el hacker de turno, y de las vueltas que hayamos tenido que dar para recuperar el acceso a nuestro sitio y restaurar su contenido, la reputación de nuestro blog puede verse seriamente dañada. Además, puede verse penalizado el posicionamiento de nuestro blog en los buscadores, lo que implicará menos tráfico.
Es por todo esto por lo que la seguridad de nuestro blog es un tema que no podemos tomar a la ligera.
Medidas de seguridad sencillas e imprescindibles
Si tienes un blog con WordPress.org, en este post te voy a contar que medidas de seguridad puedes adoptar para que tu blog sea mucho más seguro y a prueba de hackers.
Todas estas medidas son muy sencillas de llevar a cabo, por lo que si no las has adoptado aún te recomiendo que lo hagas cuanto antes.
1. Haz copias de seguridad
Haz copias de seguridad de forma periódica. La frecuencia dependerá de cada cuanto publiques nuevos posts, pero al menos deberías hacer una copia de seguridad por semana. En mi caso, a pesar de que no publico con la frecuencia que me gustaría, hago una copia de seguridad diaria.
Lo mejor es que automatices la copia de seguridad y que no te tengas que preocupar de lanzarla tú manualmente. Lo único que debes hacer es verificar cada cierto tiempo que la copia de seguridad se está realizando correctamente.
Hay muchos plugins para hacer copias de seguridad de forma automática con la frecuencia que elijamos. Para este blog utilizo el plugin BackWPup que me permite dejar la copia de seguridad en Dropbox, y que me envía un correo electrónico en el caso de que se haya producido algún error al realizar la copia.
2. Mantén actualizada la instalación WordPress
Para evitar que los hackers puedan aprovechar las vulnerabilidades de seguridad que se hayan detectado en las versiones más antiguas de WordPress, es totalmente necesario que mantengas la instalación WordPress de tu blog actualizada a la última versión estable, ya que de esa manera utilizarás una versión que incorpora la corrección de las vulnerabilidades de seguridad detectadas en las versiones previas.
Por el mismo motivo deberás también mantener actualizados los plugins y los temas de WordPress.
También es muy importante que únicamente instales plugins y temas del repositorio oficial de WordPress o bien temas de pago o soportados.
3. Utiliza contraseñas fuertes
Tener contraseñas fuertes para los usuarios es imprescindible para garantizar la seguridad de tu blog.
Una contraseña debe cumplir las siguientes reglas para que sea segura:
- La longitud debe ser de al menos 8 caracteres. Cuanto más larga sea la contraseña más segura será.
- Debe ser una combinación de mayúsculas, minúsculas, números y caracteres especiales (!@#$%&?+-*/)
Además de que sean fuertes, es altamente recomendable que las cambies frecuentemente.
4. Cambia el usuario por defecto
El usuario para el acceso al panel de administración de WordPress que se crea por defecto en la instalación de WordPress es el usuario admin. Es muy recomendable cambiarle el nombre porque la inmensa mayoría de los intentos de acceso no autorizado al panel de administración lo intentan con ese nombre de usuario.
Por lo tanto, si cambias el nombre por defecto del usuario de administración de tu WordPress estarás frustrando la gran mayoría de los intentos de acceso no autorizado.
Para cambiar el nombre por defecto del usuario de administración de WordPress tienes dos opciones:
- Desde el panel de administración de WordPress. Lo primero que tienes que hacer es crear un nuevo usuario con privilegios de administración. Una vez creado accedes al panel de administración de WordPress con el nuevo usuario y eliminas el usuario admin. Te preguntará si quieres eliminar los posts del usuario admin o bien asignarlos al nuevo usuario. Obviamente debes asignarlos al nuevo usuario.
- Modificando el usuario admin en la base de datos de WordPress. En este caso debes acceder a la base de datos, por ejemplo mediante phpMyAdmin desde el panel de control de tu alojamiento web, seleccionar la tabla de usuarios, que normalmente se llama wp_users, y modificar para el usuario admin el campo user_login cambiando admin por el nuevo nombre.
5. Limita el número de intentos de inicio de sesión
Otra buena medida para evitar accesos no autorizados al panel de administración de nuestro WordPress es limitar el número de intentos de inicio de sesión. A partir de un determinado número de intentos de inicio de sesión fallidos desde una dirección IP, WordPress bloqueará el acceso desde esa dirección IP al panel de administración durante un tiempo determinado.
Existen varios plugins que permiten limitar el número de intentos de inicio de sesión. Para este blog utilizo Login LockDown, que permite configurar el número de reintentos de inicio de sesión permitidos, y el tiempo de bloqueo una vez que se han alcanzado los reintentos permitidos.
6. Utiliza las herramientas para webmasters de Google
Créate una cuenta en las herramientas para webmasters de Google para tener información sobre cómo Google indexa tu blog. Entre las distintas funcionalidades que proporcionan las herramientas para webmasters de Google puedes comprobar si tu blog tiene algún problema de seguridad en el contenido debido a una intrusión.
En el caso de que tu blog haya sido hackeado, las herramientas para webmasters de Google te dan instrucciones de cómo solucionarlo.
Una vez que hayas recuperado el control de tu blog, puedes informar a Google desde las herramientas para webmasters de que tu sitio está limpio.
7. Elimina archivos innecesarios de la instalación de WordPress
Algunos de los archivos que se incluyen con la instalación de WordPress no son necesarios para su funcionamiento, y pueden proporcionar a los hackers información que les ayude a colarse en nuestro blog. Cuantas menos pistas demos sobre nuestra instalación WordPress más seguro estará nuestro blog.
Debes eliminar los siguientes archivos:
- readme.html
- license.txt
- licencia.txt
- wp-config-sample.php
8. Cambia el prefijo por defecto de la base de datos de WordPress
Uno de los métodos de ataque que utilizan los hackers es la inyección SQL. Este tipo de ataque consiste en ejecutar operaciones en la base de datos aprovechando alguna vulnerabilidad en la validación de las entradas de una aplicación.
Una de las medidas de seguridad más efectivas que puedes adoptar para evitar este tipo de ataques es cambiar el prefijo por defecto de la base de datos de WordPress. Este prefijo, si no lo cambias en la instalación, es wp_.
El prefijo de la base de datos de WordPress se puede cambiar manualmente en el archivo wp-config.php, y luego en la base de datos de WordPress renombrando las tablas y modificando las tablas wp_options y wp_usermeta. El problema es que este cambio no está exento de riesgo y requiere de una cierta destreza con la herramienta PHPmyAdmin.
Otra opción mucho más sencilla es utilizar el plugin Change DB prefix. Lo único que tienes que hacer es instalarlo, activarlo y cambiar el prefijo en la página de ajustes del plugin. Una vez cambiado el prefijo puedes desinstalar el plugin.
###
Y tú, ¿qué otras medidas de seguridad adoptas en tu blog que crees que son imprescindibles? Cuéntanoslo en los comentarios o si tienes alguna duda sobre lo que te he contado en este post, no te cortes y pregunta.
Si este post te ha parecido útil, compártelo en las redes sociales. Muchas gracias.
