Como Mejorar la Seguridad de WordPress

La Internet es un lugar peligroso. En especial si tenemos instalado WordPress o cualquier otra plataforma dinámica.

Pero no te preocupes, continua leyendo para saber como puedes mitigar el riesgo y salir bien librado.

Antes de empezar, es importante dejar en claro que es poco probable que un hacker quiera hacerse personalmente de nuestro sitio web. En la mayoría de los casos, el mayor riesgo proviene de los bots o robots. Salvo que tengamos en línea información que sea muy valiosa, las posibilidades relativamente pocas.

¿Por qué?

Esto debido a que las ganancias que alguien podría obtener no justificarían el esfuerzo de hackear un sitio web cualquiera. Sin embargo, ello no significa que debamos bajar la guarda y no contar con buenas practicas de seguridad.

Como si se tratase de una tienda física, es importante tomar consideraciones de seguridad para nuestras propiedades digitales.

Un sitio comprometido perderá posiciones en buscadores como Google. Podría incluso ser removido por completo. Esto puede generar grandes perdidas, tanto en los costos por limpiar el sitio web como por los potenciales clientes y ventas que se pueden perder.

Además de la perdida de confianza y de la credibilidad por parte de nuestros clientes. Algo que tomará mucho tiempo recuperar.

Siempre existirá el riesgo de que se pierdan los frutos de nuestro trabajo. Entradas, páginas, comentarios, todo puede desaparecer en un instante. Es por ello que mejorar la seguridad de WordPress es tan importante y critico como parte de nuestra estrategia en línea.

14 consejos para mejorar la Seguridad de WordPress

1. Mantén WordPress actualizado

Una instalación no actualizada es un desastre esperando suceder.

Como dije antes, nuestro mayor problema son los bots. Ellos están programados para realizar de tareas especificas y repetitivas rápidamente. Muchos de ellos tienen el objetivo encontrar y abusar de cualquier vulnerabilidad que encuentren, para tomar el control.

El mantener un núcleo, tema o plugin actualizado reduce el riesgo de que esto suceda.

Cuando actualizamos, se aplican parches que corrigen los problemas que son detectados. Actualizar le impide a los robots abusar de las vulnerabilidades. Cierra esas puertas de acceso que pudieran usar.

Pero si no se mantiene actualizado, eventualmente un robot encontrará esa vulnerabilidad, lo cual significa problemas.

Igualmente se recomienda que nuestro servidor cuente con las versiones más recientes de PHP, MySQL y de su sistema operativo. Si bien esto no afecta directamente la seguridad de WordPress, el contar con software desactualizado en el servidor es también un riesgo.

Lo ideal es que nuestro hospedaje tenga instalada la ultima versión de PHP 7.

Si no lo tiene, pudiera ser un buen momento de buscar nuevas alternativas para el mediano y largo plazo. O en su defecto, ponerse en contacto con el proveedor del hospedaje para que solucione el problema.

2. Remueve los plugins y temas que no uses

Cada tema o plugin que este instalado puede ofrecer una puerta de entrada para los hackers.

Teniendo esto en cuenta, es importante el desinstalar todo tema o complemento que no estemos usando. Así cerramos puertas de acceso hacia nuestro sitio web para los bots.

También hay que mantener el número de complementos al mínimo. Solo instala aquellos que sean realmente necesarios. Si descubres alguno que ya no uses, eliminalo. Esto ayuda a disminuir el riesgo.

De esta forma será más sencillo mantener nuestra instalación de WordPress actualizada y segura.

Además deberás de estar al pendiente para saber si alguno de dichos temas o plugins ya no está siendo actualizado. Si es así, se deberá de buscar una nueva alternativa antes de que se vuelva un problema.

3. Desactiva la edición desde el Panel de Control

Evita que los administradores puedan editar los archivos locales desde el Panel de Control de WordPress.

De esta forma evitaras que, aunque una cuenta de administrador este comprometida, pueda ser usada para ingresar código malicioso en los temas o complementos.

La limitación de esta característica se realiza declarando la constante “DISALLOW_FILE_EDIT” en el archivo wp-config.php, por lo cual deberá de agregarse la siguiente línea:

Una vez hecho, ya no será posible editar esos archivos mediante el Panel de Control.

Este tipo de limitación es muy útil si se cuenta con acceso a los archivos mediante cPanel o SFTP para compensar la limitación.

De esta forma nos aseguraremos que la cuenta comprometida no pueda ser usada para alterar los archivos del servidor. Al menos no fácilmente.

4. Usa contraseñas fuertes

Una contraseña fuerte e inusual evitará que puedan ingresar fácilmente nuestras cuentas.

En un solo día, miles de robots pueden intentar millones de combinaciones de usuarios y contraseñas en sus bases de datos. Todo esto en busca de una combinación que les permita ingresar.

Si se cuenta con una contraseña única, la posibilidad de que ingresen disminuye.

El reciclar contraseñas o usar passwords simples como “password123” o “qwerty12345” es una terrible idea. Es una invitación abierta para los intrusos.

Es cierto que una contraseña fuerte puede ser difícil de recordar, pero hay formas para lograrlo con poco esfuerzo.

Podemos ser ingeniosos o usar administradores de contraseñas como KeePass. Este ultimo es realmente útil, permitiéndote crear y organizar contraseñas de una forma fácil y segura.

5. No uses el usuario “admin”

El borrar el usuario “admin” fortalece la seguridad. Mantener esta cuenta es una terrible idea y vulnerabilidad.

Los robots saben que puede existir e intentarán ingresar a ella. Es por esto que eliminar esta cuenta es vital para la seguridad.

Normalmente será la primera que probarán. Esto debido a que el instalador sugiere dicho nombre de cuenta y muchos administradores no se molestan en siquiera cambiarla. Eso es un grave error.

Si ya contamos con el nombre de usuario “admin” en la instalación, lo mejor es eliminarla o renombrarla. Al hacerlo, se reduce de forma importante el riesgo de que el sitio web termine comprometido.

Recuerda, quizá necesites crear una nueva cuenta de administrador antes de borrar la que ya existe.

Además, se recomienda el mantener el número de cuentas con privilegios de administrador al mínimo y asegurarse de que cuenten con contraseñas fuertes.

Esto cierra cualquier puerta de entrada adicional que pudiera existir.

6. Realiza respaldos periódicamente

Mantener copias de seguridad permite recuperar un sitio web hackeado.

Una copia de seguridad puede ser la diferencia entre empezar de cero, o simplemente restaurar a un estado limpio previo.

Las copias de seguridad son muy importantes. En especial cuando se detecta que el sitio web está infectado. Con ellas, podemos regresar a un estado previo. Restaurar la instalación a un momento en el cual estaba limpio y poder recuperarse rápidamente.

Estas se pueden realizar de muchas formas. Existen plugins como Duplicator, UpdraftPlus o BackUpWordPress que te facilitarán la vida.

También podemos preguntar a nuestro hospedaje para saber si cuentan con el servicio de respaldos.

Contar con más de una copia de seguridad siempre será deseable. Esa resiliencia adicional puede ayudar si todo el servidor se encuentra comprometido o si se pierden algunos de los respaldos.

7. Escanea tu instalación constantemente

Usa herramientas que te ayuden a detectar si algún archivo se encuentra infectado.

Esto es importante, ya que muchas veces un sitio que ya se encuentra infectado no muestra problemas hasta mucho después. Cuando ya es muy tarde para hacer algo.

Realizar un escaneo rutinario es importante. Para poder detectar cualquier archivo infectado o alterado antes de que se vuelva un verdadero problema. Antes de que tenga la posibilidad de continuar propagandose.

Existen servicios que te permiten hacerlo de forma remota o puedes hacer uso de plugins como WordFence que escanearan todos los archivos localmente. No solo aquellos de la instalación.

Si cuentas con cPanel, también es buena idea el hacer uso de su herramienta de Antivirus.

Con ello, podemos incluso evitar que los respaldos generados contengan código malicioso. Algo muy importante para garantizar la calidad y confiabilidad de las copias de seguridad.

8. Protege la carpeta wp-admin y el archivo wp-login.php

Controlar quien puede ver el wp-login.php o wp-admin aumenta enormemente la seguridad.

Limitar el acceso a estos recursos es una buena idea, si solo un pequeño puñado de usuarios tienen una cuenta en nuestro sitio web. En el caso de que se cuente con registros abiertos, el bloqueo de estos recursos puede causar problemas.

Todo dependerá de las propias necesidades del sitio web.

Para limitar el acceso en el servidor Apache, se hace uso de dos archivos: .htaccess y .htpasswd

Ambos cuentan con funciones diferentes. El .htaccess permite crear reglas para controlar quienes acceden a ciertas partes de nuestro sitio web. Mientras que el .htpasswd permite proteger directorios mediante contraseña. Podemos usar ambos para aumentar la seguridad.

Por ejemplo, el siguiente código impide que cualquiera pueda ingresar al área de administración por cualquier motivo. Este código va en un archivo .htaccess en la carpeta wp-admin.

No solo basta el contar con las credenciales correctas, hay que tener una IP especifica.

Esto aumenta la seguridad pero sin limitar las funcionalidades de los visitantes.

De esta forma, limitamos enormemente quienes pueden ver la zona de administración. Este método es radical, pero efectivo si sabemos que nuestra dirección IP no cambia o somos los únicos que deberían de poder ingresar.

9. Impide la indexación de Directorios

El evitar que los usuarios obtengan el contenido de los directorios en el sitio web es clave para mejorar la seguridad.

De esta forma se puede evitar que busquen por vulnerabilidades, manteniendo ocultos varios de los archivos en el servidor. Haciéndolos más difícil de encontrar.

Se puede impedir que los robots o personas sepan fácilmente los nombres de los archivos subidos, cuantos hay, sus características, etc. Podrán dar con algunos, pero no tendrán toda la información. No podrán encontrar vulnerabilidades con tan solo explorar los directorios.

En un servidor Apache, es posible desactivar esta característica con la siguiente línea en el archivo .htaccess:

Así de sencillo se puede hacer y con ello incrementamos la seguridad.

10. Usa un firewall (como CloudFlare)

Un cortafuegos evitará que los usuarios mal intencionados accedan a los recursos del servidor.

Este tipo de software es realmente importante hoy en día. Junto con herramientas como fail2ban, se puede tener un entorno el cual detecte posibles amenazas y las detenga antes de que puedan hacer mucho daño.

También hay que tener en cuenta que esta solución no es a prueba de fallos. Solo es un capa adicional de protección. La mayoría de los servidores modernos ya tienen esta configuración instalada, por lo cual nuestra opción más importante para aumentar la seguridad será agregar la solución de CloudFlare.

Con esa plataforma tendremos a nuestra disposición un proxy en reversa que permitirá filtrar el trafico malicioso antes de que llegue siquiera al nuestro sitio web.

CloudFlare ofrece muchas ventajas, en especial en las orientadas a seguridad.

Incluir este servicio aumenta sustancialmente la seguridad, ya que bloqueará las direcciones IP maliciosas. ¿Lo mejor? Cuenta con un plan gratuito.

Hay que tener en cuenta que esto puede causar algunos inconvenientes, ya que algunos usuarios pudieran necesitar validar que son humanos antes de ingresar a nuestro sitio.

11. Utiliza la identificación de dos pasos

Agregar la identificación a dos pasos ayuda a aumentar drásticamente la seguridad, haciendo uso del correo electrónico o teléfono para validar la identidad.

Esto se puede lograr con extensiones o plugins en WordPress, los cuales implementan servicios de Google u alguno otro proveedor con esta finalidad. De esta forma se evita que un hacker o robot pueda acceder aun si ya cuenta con el usuario y contraseña de un administrador.

Con ello añadimos una capa más de seguridad, a cambio de consumir un poco más de tiempo a la hora de ingresar. Pero esto puede valer la pena en cuestión de seguridad.

12. No use temas o plugins pirateados

Usar software pirata en un sitio web le abre la puerta a los hackers.

Sabemos que es tentador el poder contar con plugins y temas premium totalmente gratis, pero no lo haga. Si lo hace, podría estarle dando la oportunidad a un hacker de tomar control de su sitio web.

El software premium que se distribuye de forma “gratuita” por terceros no autorizados puede contener código malicioso.

Nada garantiza que ese software se encuentre limpio y libre de problemas. Quien lo distribuye puede haberle instalado “puertas traseras“. Esto permitirá que él, o cualquier bot, se haga del control de nuestro sitio web en cualquier momento.

No importa que medidas de seguridad estén implementadas, ese código le permitirá evadirlas o eliminarlas fácilmente.

13. Evita el acceso al archivo xmlrpc.php (opcional)

Este archivo permite que cualquier aplicación pueda comunicarse con WordPress, pero puede representar un riesgo.

Si usas un plugin como Jetpack, no es recomendable el desactivar esta funcionalidad. Esto debido a que dejarás de contar con muchas de sus características. Incluso podrían dejar de funcionar otros complementos.

Si no usamos programas externos o plugins que necesiten comunicarse con nuestra instalación de WordPress, desactivar este archivo es entonces una opción viable y recomendable. Ya que así evitaremos cualquier riesgo de seguridad que pudiera presentarse.

Su desactivación dependerá mucho de las necesidades con las que contemos. Ya que en algunos escenarios es deseable que este archivo se encuentre funcional pero asegurado. Plugins como WordFence o Akismet pueden ayudarnos con esa tarea, manteniendo una parte integral de WordPress asegurada y funcional.

14. Instala un certificado SSL (recomendado)

Encriptar la comunicación entre el servidor y navegador evita que alguien se pueda robar nuestras credenciales.

Este método aumenta la seguridad al evitar que cualquiera pueda ver el usuario y contraseña ingresadas en lo que viajan por la Internet.

Mientras viajan los datos, estos pueden ser interceptados o copiados en cualquier momento. Esto normalmente puede suceder en casa o si pasan por un servidor comprometido.

Si la comunicación entre nuestro servidor y el navegador es segura, haciendo uso de HTTPS, el riesgo será mucho menor. Esto no evita que nuestro sitio web sea hackeado, pero cierra una posible puerta.

Además el uso de SSL trae beneficios, como mejores posiciones en los diferentes buscadores de Internet.

Conclusión

Puede parecer que mejorar la seguridad de WordPress es una tarea monumental.

Esto considerando todos los detalles que deben de tenerse en cuenta para lograrlo. Pero con el suficiente tiempo y dedicación es posible mantenerlo seguro ante los embates de los riesgos de la Internet.

En el caso de que no sepa donde comenzar o los pasos necesarios parezcan abrumadores, siempre es una buena idea el contratar a un profesional para que se haga cargo por uno. De esa forma podrá enfocar sus esfuerzos a otras tareas u objetivos importantes.

Al final del día, mientras más importante sea nuestro sitio web, será más critico el mantenerlo seguro y libre de cualquier potencial amenaza.

Tomar estas medidas de seguridad puede ser la diferencia entre salir bien librado o terminar siendo un desastre.

Como Mejorar la Seguridad de WordPress
4 (80%) 1 vote
Licenciado en Comunicación, me gusta mucho escribir, diseñar sitios web y de solucionar problemas de forma creativa y efectiva. Siempre dispuesto a tomar retos.

¡Comparte lo que piensas!