Actualizado el jueves, 24 noviembre, 2022
Existen múltiples formas de aumentar la seguridad de tu web en WordPress y evitar ataques de hackers y malware. La mayor parte de ellas se realizan a través de plugins que, como sabrás, implican un mantenimiento y actualización constante. Por eso, en el post de hoy te explicaremos algunos consejos que puedes implementar en tu WordPress para llevarlo a otro nivel de seguridad. ¡Y sin plugins!
Índice de contenidos
Acciones en tu usuario
Contraseñas
En este apartado no te voy a descubrir la pólvora, pero vamos a activar el sentido común. ¿Sabes la cantidad de personas que tienen como contraseña 1234, password o contraseña? Por ello, aunque parezca una obviedad, te pedimos que emplees contraseñas seguras. Una contraseña segura no tiene que ser difícil de memorizar. Puede tener significado semántico y aun así seguir siendo segura.
Por ejemplo, poner tu nombre y apellidos concatenados con el signo – es una contraseña muy segura:
Nombre-Apellido1-Apellido2
Normalmente, los ataques que sufre el acceso a tu WordPress se realizan de forma bruta probando miles de combinaciones de letras y números en un breve periodo de tiempo. La combinación de mayúsculas y minúsculas (si tu idioma es el español seguramente alguno de tus datos tenga una tilde o una eñe) combinada con un símbolo hacen una contraseña completamente segura y fácil de recordar.
También es una buena práctica cambiar la contraseña periódicamente, de manera que sea más complicado todavía que llegue a estar filtrada en algún repositorio de contraseñas y cuentas. Y no te olvides de que efectúe estas reglas toda persona con acceso a tu web. No vale de nada que tu contraseña sea muy segura, y la de tu socio sea1234.
Para comprobar la fortaleza de tu contraseña frente a ataques de fuerza bruta puedes emplear la herramienta online de Karspersky.
Nombre de usuario
Al igual que la contraseña, normalmente no nos preocupamos de cambiar el nombre del usuario administrador. Tener admin, administrador o root como nombre del usuario administrador tampoco es una buena práctica. Piensa que para hackear un login se necesitan dos campos: usuario y contraseña. Si el usuario lo dejamos por defecto estamos aumentando sus posibilidades un 50 %.
Si realizas la instalación de nuestro WordPress Optimizado podrás escoger el nombre de usuario que quieras en lugar del admin que se instala por defecto. Si este no es tu caso y quieres cambiar el nombre de tu administrador puedes hacerlo sin depender de ningún plugin. Únicamente tienes que crear un nuevo usuario con un nombre original, y después borrar el primer usuario admin. Tranquilo, todo lo que hayas creado lo podrás asignar al nuevo administrador.
Gestión de usuarios
Para evitar problemas con tus usuarios y fortificar la seguridad existen dos cosas principalmente que puedes hacer:
- Gestionar los permisos correctos para cada tipo de usuario: muchas veces creamos usuarios a doquier y les damos el rol de administrador sin pensar, pero esto es peligroso. Siempre es mejor gestionar los roles y permisos según el trabajo que tenga que realizar cada persona. No tiene ningún sentido darle acceso a todo a un usuario que únicamente va a escribir entradas.
- Tener los usuarios y roles al día: ¿a qué me refiero con esto? Si tienes algún creador de contenido que ya no esté en tu empresa, pero quieres mantener su autoría del contenido creado, únicamente tienes que cambiar su rol de usuario a suscriptor. De esa manera no podrá realizar cambios a posteriori y tendrá el acceso capado al resto de cosas de la web. ¿Acaso le dejas las llaves de tu casa a cualquiera?
Mantente al día de actualizaciones de core y plugins
Mantén tu WordPress y plugins actualizados. Los hackers están en constante búsqueda de huecos o errores por los que colarse dentro del BackEnd de tu WordPress. La mayor parte de ellos son detectados por los autores de los plugins, los cuales realizan parches y actualizaciones para remediarlos.
Por ello, es muy importante que tengas tu CMS al día para evitar esas posibles puertas a malhechores. Además, si algún plugin ya no lo estás usando desinstálalo de tu repositorio. De otra forma los archivos permanecerán en tu alojamiento y podrían dar acceso involuntario a tu WordPress.
Los temas que uses también es importante que estén actualizados, ya que suelen ser otra puerta de entrada para los malhechores. Cuanto más cerrado esté tu WordPress más difícil se lo pondrás a los hackers. Si tienes temas que no utilizas, no los dejes desactivados dentro de tu WordPress. ¡Elimínalos!
Personaliza el fichero htaccess
Ya te hemos hablado en otras ocasiones de la protección de tu WordPress mediante el archivo htaccess. Con él puedes restringir el acceso a partes de tu hosting para que no sean accesibles desde el exterior. De esta manera evitaremos ataques a archivos de nuestro core.
Recuerda que el archivo .htaccess es dependiente de tu servidor Apache, por lo que es importante que lo modifiques con cuidado. En caso de haber metido la pata recuerda que nuestro servicio de atención al cliente está disponible las 24 horas, los 365 días del año.
Para no arriesgar, introduce las siguientes líneas que te indico para proteger directorios concretos. Además de los directorios indicados en el post anterior, también podríamos restringir:
Directorio wp-includes
# No dejamos acceder a wp-includes
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>No permitir ver los directorios de nuestro hosting en el navegador
Options -Indexes Restringir por IP
Además, con el htaccess puedes restringir los accesos por IP al wp-admin. Esto solamente te será útil si tu IP no es dinámica y si te conectas siempre desde el mismo sitio.
<Files wp-login.php>
Order Allow,Deny
Deny from all
Allow from ip
</Files>Personaliza el fichero wp-config
Al igual que el htaccess, el wp-config es un fichero que añadiendo un par de líneas de código, o modificando algunas de las que ya existen te ayudarán a proteger tu web y a mantener tu hosting seguro. El archivo se encuentra en la carpeta de archivos (www) de tu alojamiento web.
Este archivo tiene toda la configuración de la conexión entre nuestro WordPress y la base de datos. En este caso, vamos a añadir dos líneas para forzar que la comunicación en la pantalla para hacer login siempre sea a través del protocolo seguro HTTPS. De esta manera, la información de nuestro usuario y contraseña siempre irá encriptada, y no será visible para posibles espías que estén capturando todo el código que enviamos.
Para ello únicamente hay que incluir al final del archivo estas dos líneas:
define( 'FORCE_SSL_LOGIN', true );
define( 'FORCE_SSL_ADMIN', true );Administra bien tu Base de datos
Todo lo que podamos modificar para evitar configuraciones por defecto, nos ayudará a proteger nuestro WordPress de ataques de fuerza bruta. En este último apartado modificaremos aspectos de nuestra base de datos. Recuerda que para poder acceder a ella, desde dinahosting ofrecemos la aplicación phpMyAdmin. Con ella modificar las tablas en la base de datos te será muy sencillo.
Para acceder al phpMyAdmin de la base de datos únicamente tienes que ir al hosting que te interese, luego a Bases de datos y allí pulsar Abrir. Te redireccionará a una vista parecida a esta:
Todas las tablas que se ven ahí incluyen toda la información de tu web en WordPress. Puede parecer muy complicado, pero no te preocupes. Modificaremos cosas muy concreta, para aumentar la seguridad y no complicar el funcionamiento de la base de datos.
Cuando instalas un plugin, normalmente además de incluir los archivos en tu directorio wp-includes, también suele crear tablas en la base de datos para guardar variables de configuración que añadas sobre él. Por ello, si ves alguna tabla del estilo wp_nombre-del-antiguo-plugin, puedes borrarla. O si encuentras algo sospechoso que no te suene de nada. No está de más anotar en algún sitio las tablas que tienes para de vez en cuando ir comprobando que no haya ninguna tabla a mayores que te puedan haber colado.
¡Y esto es todo! Con estos pequeños cambios como la modificación de líneas de código y el sentido común, mejorarás mucho el nivel de seguridad de tu WordPress.
¿Tienes algún otro tip de seguridad a mayores? Cuéntanos en los comentarios.
Deja una respuesta