Actualizado el viernes, 19 noviembre, 2021
Seguro que una de tus principales preocupaciones a día de hoy si tienes una página web en WordPress es su seguridad. Protegerla contra ataques y malware es algo de lo que debes estar muy pendiente.
Índice de contenidos
Ejemplos de ataques contra la seguridad de tu web
Existen muchos tipos de ataques que puede sufrir tu web en WordPress, entre los que podríamos mencionar:
- Puertas traseras: como su propio nombre indica, los malos no intentan acceder a tu WordPress desde tu página de login, sino que se buscan formas para llegar a ella por otros métodos.
- Fuerza bruta: en este caso el significado no es tan literal, no van a ir con un mazo a donde se encuentre tu página 😉 Los ataques de fuerza bruta son ataques por repetición. Introducen miles de contraseñas mediante un bot, hasta que da con la contraseña adecuada.
- Cross-Site Scripting: es una de las razones por las cuales siempre tienes que instalar plugins y temas de WordPress desde su página oficial. Si no es así, puede que estés ejecutando en tu web un código que en gran parte de los casos comparte las cookies de información de tus usuarios.
- DoS: consiste en inundar de peticiones (como por ejemplo, en el login) hasta lograr colapsar el servidor y que tu web quede caída. Aunque en este caso el principal objetivo es hacer caer tu web, es muy importante protegerte en la medida de lo posible, para que no pierdas posibles ganancias.
En este post hablaremos sobre los primeros pasos a seguir para mejorar la seguridad de tu sitio web en WordPress, sin perder de vista cómo pueden afectar a su rendimiento las modificaciones que realices.
¿Plugins sí o plugins no?
Si no tienes conocimientos en desarrollo seguramente utilices plugins para solventar muchos problemas de tu web, pero debes saber que estos consumen recursos de tu servidor y pueden derivar en que tu web vaya más lenta.
En la medida de lo posible, es importante medir muy bien la capacidad de respuesta y el uso que le vas a dar a cada plugin. ¿Es realmente necesario? ¿Ralentiza mucho mi web? A veces nos obcecamos e instalamos plugins de manera indiscriminada, cuando no son realmente necesarios.
Por ello, te aconsejamos que antes de instalar cualquier plugin valores sus pros y contras, haciendo una pequeña auditoría:
- Revisa las valoraciones de los usuarios en la propia página del plugin.
- Busca reviews externas sobre el plugin en blogs especializados.
- Instálalo y mide la respuesta de tu web con y sin el plugin (puedes ayudarte de Google PageSpeed).
Y cuando lo tengas todo claro, ¡adelante con el plugin para mejorar la seguridad de tu WordPress!
Configuraciones básicas de seguridad en WordPress
1. Revisa las actualizaciones
Los hackers siempre están estudiando formas de piratear webs y entrar en la administración de tu sitio. Por eso, lo que hoy es completamente seguro, mañana quizás no lo sea. Es muy importante que mantengas tu sitio al día (temas, plugins, core del propio WordPress…) pero sin olvidarte de que las actualizaciones requieren de un tiempo de testeo para averiguar si son realmente efectivas y seguras.
Nuestro consejo: mantén tu sitio actualizado pero sin estar siempre en la cresta de la ola, así te evitarás muchos quebraderos de cabeza.
2. Mejora el acceso y la autenticación
Aún siendo un CMS cuyo acceso requiere autenticación, WordPress no está al margen de ataques externos. Intenta ponérselo difícil a los intrusos siguiendo estos consejos:
URL de acceso
Evita que tu URl de acceso sea nombredetusitio.com/wp-admin, pues un simple bot podría generar contraseñas aleatorias hasta dar con la tuya. Con la ayuda de WPS Hide Login podrás personalizar la URL a tu manera.
Doble autenticación
Si eres lector habitual de nuestro blog ya sabrás de lo que hablo. La autenticación en dos pasos es una barrera más de seguridad en el login. Puedes seguir estas instrucciones para implementarla en WordPress o ayudarte del plugin Duo Two-Factor Authentication.
3. Añade un firewall
Un firewall o cortafuegos sirve para filtrar el tráfico hacia nuestra web, lo que permitirá evitar ataques recurrentes desde un mismo dispositivo o IP.
Si buscamos un plugin para implementar una regla de firewall en WordPress, podemos hacerlo con Ninja Firewall. Es uno de los más usados, ya que es muy ligero y realizan actualizaciones constantemente sobre él.
4. Evita el spam
Además de ser muy molesto, el spam es un consumidor de espacio y recursos de tu alojamiento. Lo primero es intentar mantener tu WordPress limpio de comentarios de spam y publicitarios no deseados.
Si tu página tiene pocas visitas, es sencillo gestionar los mensajes y comentarios de spam. Sin embargo, en sitios con muchos usuarios o visitas esto ya comienza a ser una tarea más laboriosa. Para ayudarnos está el archiconocido plugin Akismet, pero si te apetece probar algo más alternativo te recomendamos Spam protection, que ya viene con normas de firewall. ¡Dos en uno!
Me han hackeado. ¿Qué hago?
Si aún siguiendo todas las recomendaciones han conseguido vulnerar la seguridad de tu WordPress, una opción es acceder a un backup o copia de seguridad de tu base de datos desde el Panel de Control. Así podrás recuperar una versión anterior de la web en la que no haya todavía errores.
Siempre es mejor que optes por un hosting seguro para evitar males mayores. Si aun así has tenido problemas con tu web, recuerda que en dinahosting ofrecemos además un servicio de Asesoría técnica, que incluye servicio de desinfección y reportes de seguridad gratis.
Si tienes alguna consulta, no dudes en ponerte en contacto con nosotros a través del teléfono, email, chat o redes sociales.