4 sencillos pasos para una mayor seguridad WordPress

WordPress es un sistema complejo que ha ido evolucionando con el tiempo. Como tal, hay muchos rincones y recovecos en el c√≥digo donde se pueden esconder potenciales vulnerabilidades. Para tu tranquilidad, los principales desarrolladores de WordPress son muy buenos para descubrirlos y parchearlos, pero a√ļn as√≠, ning√ļn software est√° 100% libre de posibles errores.

Debido a esta complejidad, muchos propietarios web sin gran experiencia técnica todavía se preguntan qué pasos pueden dar para mejorar su seguridad WordPress.

Afortunadamente, hay cuatro cosas f√°ciles que todo propietario de una web puede hacer, generalmente sin la ayuda de un desarrollador, para hacer que su sitio web sea m√°s seguro.

1. Cambia el nombre de usuario del administrador

Esto es muy obvio. Si todav√≠a usas admin, administrador o algo que sea realmente f√°cil de adivinar, ¬°PARA! Fijate, para acceder a tu web, un atacante necesita dos cosas, un nombre de usuario y una contrase√Īa. Si usas un nombre de usuario de administrador predeterminado, entonces les has dado la mitad de lo que necesitan. Hag√°moslo un poco m√°s dif√≠cil, ¬Ņde acuerdo?

Para cambiar el nombre de administrador, puedes hacerlo manualmente o puedes instalar un plugin. Dado que los plugins ralentizan tu web y solo lo necesitarías para hacer esto, mejor hagámoslo manualmente.

  • Inicia sesi√≥n con tu cuenta de administrador existente.
  • En “Usuarios”, haz clic en “A√Īadir nuevo”.
  • Crea una nueva cuenta de usuario y convi√©rtela en una cuenta de administrador. Pon el nombre de usuario sea el que desees, EXCEPTO Administrador, admin o tu nombre. (S√≠, los atacantes probablemente lo sepan, dado que la cuenta de Facebook de tu empresa est√° vinculada a tu p√°gina personal)
  • Cierra sesi√≥n en WordPress y vuelve a iniciar sesi√≥n con tu nueva cuenta de administrador.
  • Haz clic en ‚ÄúUsuarios‚ÄĚ para enumerar los usuarios y, en tu cuenta de administrador original, haz clic en “Eliminar”. Aseg√ļrate de seleccionar “Atribuir contenido a” y selecciona tu nueva cuenta de administrador para que no pierdas ning√ļn contenido.

Ya est√°, ahora tienes una nueva cuenta de administrador con un nombre que no es “admin”. Tu sitio ya es un poco m√°s seguro. Adem√°s, para reforzar el nivel de seguridad de inicio de sesi√≥n de tu web, aseg√ļrate de habilitar la verificaci√≥n en 2 pasos en tu WordPress.

>> Si est√°s empezando con WordPress, quiz√° te interese este v√≠deo donde descubrir√°s los “Primeros pasos de seguridad para tu web WordPress” <<

2. Refuerza el uso de contrase√Īas seguras

S√≠, a todo el mundo le encanta usar su cumplea√Īos como contrase√Īa. ¬ŅSabes a qui√©n le gusta m√°s? A los atacantes. Mira, las contrase√Īas d√©biles son f√°ciles de adivinar.

Si publicas en tus redes sociales: ‚Äú¬°Frozen II es mi PEL√ćCULA FAVORITA! ¬°Ir√© a verla ma√Īana por mi cumplea√Īos! “, le has dado a un atacante un dato fundamental. En este punto, comenzar√°n a probar contrase√Īas y nombres de usuario relacionados con la pel√≠cula.

Todo lo que hayas publicado en las redes sociales les brinda a los atacantes un poco m√°s de informaci√≥n con la que trabajar. SUGERENCIA: Utilizar el l33tsp34k (Leet Speak) o reemplazar letras con n√ļmeros tampoco enga√Īa a los atacantes. Ellos se dieron cuenta de eso antes que t√ļ.

Entonces, ¬Ņqu√© funciona? Contrase√Īas seguras. Las cadenas largas y aleatorias de letras y s√≠mbolos son excelentes. El problema con esto es que tendemos a apuntarlas porque son dif√≠ciles de recordar. Si pierdes el cuaderno o la nota donde las escribiste, un atacante tiene las llaves del reino. (Ya sea en formato f√≠sico o electr√≥nico)

WordPress ahora tiene la funcionalidad para generar contrase√Īas seguras, pero no las requiere. Sin embargo, hay plugins que lo har√°n cumplir. No tengo la costumbre de recomendar plugins de seguridad de WordPress, pero si vas a wordpress.org/plugins y buscas por ‚ÄúContrase√Īas seguras‚ÄĚ, encontrar√°s varios para elegir.

Instala uno de estos plugins.

Si tienes usuarios habituales en tu web, as√≠ como administradores, autores, etc., es posible que solo quieras aplicar contrase√Īas seguras en tus cuentas de nivel superior para reducir la complejidad que tienen tus usuarios al registrarse e iniciar sesi√≥n en tu sitio web.

¬°Ah! Y si te est√°s preguntando c√≥mo lidiar con contrase√Īas seguras sin escribirlas, invierte en un administrador de contrase√Īas. La mayor√≠a de los modernos funcionan tanto en ordenadores de mesa como en dispositivos m√≥viles y sincronizar√°n tus datos en todos tus dispositivos.

3. Fuerza HTTPS

Sinceramente, este ya lo deber√≠as estar haciendo. Desde hace ya un par de a√Īos Google sostiene que si tu sitio no se ejecuta en https, lo posicionar√° por debajo de otros sitios que s√≠ lo hacen. Sin embargo, aparte del SEO, https mantiene todo tu tr√°fico encriptado y alejado de miradas indiscretas.

Si no usas SiteGround, esto implica trabajar con tu proveedor de hosting para comprar e instalar un certificado seguro. Luego, deber√°s pedirle a WordPress que cambie tu URL a HTTPS.

Sin embargo, si SiteGround es tu proveedor de hosting, todo lo que necesitas hacer es usar el Gestor de SSL para obtener un certificado gratuito “Let’s Encrypt”. Una vez que el panel de control de SiteGround lo obtenga e instale el certificado por ti, todo lo que necesitas hacer es hacer clic en “Forzar HTTPS” y listo, todo tu sitio web estar√° encriptado.

>> Descubre en este vídeo cómo instalar gratis el certificado SSL en SiteGround <<

4. Mantén tus plugins actualizados

No me refiero solo a los principales, me refiero a cada plugin que hayas instalado en su sitio, cada vez que haya una actualización.

En estos d√≠as, es realmente f√°cil, simplemente haz clic en el enlace de actualizaci√≥n autom√°tica en la mayor√≠a de ellos y luego olv√≠dalo. Cuando comenc√© a trabajar con WordPress, para actualizar los plugins era necesario descargar un archivo zip, enviarlo por FTP a su servidor, descomprimirlo y colocarlo en su lugar. Luego cruzabas los dedos y le rogabas al Se√Īor que la actualizaci√≥n no rompiera nada. (Muchas veces lo hac√≠a de todos modos)

¬ŅPor qu√© es importante mantener actualizados los plugins?

La raz√≥n principal es, por supuesto, la seguridad WordPress. Los buenos desarrolladores de plugins abordan los problemas de seguridad cuando se les informa y lanzan los parches tan pronto como pueden. Si tienes activada la actualizaci√≥n autom√°tica, ni siquiera tienes que hacer nada, obtendr√°s el nuevo c√≥digo. Si no, haz lo que todos los propietarios de sitios de WordPress han hecho durante los √ļltimos a√Īos: tan pronto como inicies sesi√≥n, observa qu√© actualizaciones hay pendientes, ve a “plugins”, haz clic en los botones de actualizaci√≥n, observa c√≥mo se actualizan y luego intenta recordar por qu√© iniciaste sesi√≥n en primer lugar. (Ok, tal vez esa √ļltima parte sea solo yo)

Un paso m√°s.

  • S√≠, es muy importante que mantengas WordPress actualizado.
  • S√≠, es muy importante que mantengas tus temas actualizados.
  • S√≠, es muy importante que mantenga actualizados tus plugins.

Pero hay otro paso. En alg√ļn momento dentro del mundo del c√≥digo abierto, los autores se cansar√°n de dar soporte a un paquete y lo abandonar√°n. A veces son amables y le cuentan a la gente sus planes y hacen arreglos para que alguien se haga cargo. Si no es as√≠, el c√≥digo se queda sin actualizar. Debes asegurarte de que los plugins en los que conf√≠as est√©n en desarrollo activo.

La forma m√°s sencilla de hacerlo es saber qui√©n est√° detr√°s del plugin. Si hay una empresa o un equipo detr√°s de √©l, las posibilidades de que se convierta en “abandonware” son mucho menores que si hay un solo programador.

Si tu web WordPress es solo una colección de imágenes que compartes con tu madre (no te rías, en realidad tengo una SOLO para eso), entonces puede que no sea tan importante que lo mantengas actualizado y solo confíes en plugins desarrollados activamente.

Si, por otro lado, puedes medir el tiempo de inactividad en d√≥lares, entonces s√≠, vale la pena tu tiempo para asegurarte de estar siempre en la √ļltima y mejor versi√≥n de todo y de que los plugins importantes de tu sitio web se mantengan de forma constante.

Estos cuatro sencillos pasos te ayudar√°n a mantener tu sitio web un poco m√°s seguro. El secreto de la seguridad web es que no se trata de una gran cosa, se trata de hacer muchas peque√Īas cosas. Cada capa de seguridad que a√Īadas en tu web hace que sea un poco m√°s dif√≠cil para los atacantes entrar en ella. No es necesario tener una web totalmente segura para estar seguro, solo tienes que darle m√°s trabajo al atacante de lo que le vale la pena romper. Los atacantes terminan por cansarse y pasan a objetivos m√°s f√°ciles … aquellos sitios cuyos propietarios no han le√≠do este art√≠culo.

>> ¬ŅQuieres saber m√°s? Aqu√≠ puedes descargarte el ebook gratuito “22 pasos para mantener tu WordPress seguro” <<

author avatar
Cal Evans

PHP Evangelist

Una de las personas m√°s admiradas de la comunidad PHP, que ha dedicado m√°s de 16 a√Īos a construir la incre√≠ble comunidad PHP y asesorar a la pr√≥xima generaci√≥n de desarrolladores. Nos sentimos extremadamente honrados de que √©l tambi√©n sea un amigo muy especial de SiteGround.

WordPress

Iniciar discusión

¬ŅListo para iniciar tu web?

¬°Elige un plan de hosting, crea o migra tu web en unos clics y haz crecer tu presencia online!

Primeros pasos Chatea con un experto