Actualizado el lunes, 14 diciembre, 2020
Te presentamos algunas ideas de lo más efectivas para securizar tu WordPress. La seguridad es un requisito obligatorio para cualquier web, desde un simple blog a un gran portal. WordPress por sí solo ya es un sistema con directrices de seguridad en su núcleo, sin embargo, hay más cosas que podemos (y debemos) hacer para ampliar ese alcance e impedir eventuales dolores de cabeza.
Mantener tu WordPress bien seguro es mucho más fácil de lo que te pueda parecer. Presta atención porque en unos minutos tendrás tu WordPress preparado para (casi) todo lo que venga 🙂
Índice de contenidos
Actualizaciones de WordPress, plugins y temas
WordPress se actualiza constantemente. Esto significa que se corrigen errores y se añaden recursos. Muchas de las correcciones pueden estar relacionadas con problemas de seguridad, por lo tanto, mantén siempre tu instalación actualizada.
Tampoco te olvides de mantener tus temas y plugins en su última versión. Es muy recomendable que actives las actualizaciones automáticas, que aparecerán en tu área administrativa de WordPress;)
Otra de las causas para que las webs sean atacadas es la “basura”. Borrar los plugins y temas que no uses es una muy buena forma de securizar tu WordPress, dejando solo el contenido necesario para que funcione tu web.
Define los privilegios de las personas usuarias
Crea un perfil para la administración de tu web y utilízalo solo cuando necesites hacer tareas de mantenimiento. Recuerda que en muchos blogs con WordPress este perfil es “Admin”. Lo recomendable es crear un nuevo perfil con otro nombre y darle permisos de administración para evitar ataques de fuerza bruta. Después inicia tu sesión con el nuevo perfil y borra el antiguo “Admin”.
Para escribir, utiliza un perfil con permisos de “Editor”, tendrás acceso a todas las funciones de edición, creación y exclusión de artículos pero sin acceso a las herramientas administrativas.
Si quieres mayor seguridad puedes crear un perfil “Autor”, para personas que colaboren en tu web. Así, solo tú podrás alterar, editar o excluir tus artículos.
Securizar tu WordPress con una contraseña segura
Para hacer que tu web sea segura, lo recomendable es que tu contraseña sea fuerte, con dos o más palabras, números y caracteres especiales. Por ejemplo: Dcs@rÑH37. En este artículo te contábamos algunos tips para que tu contraseña sea más segura.
Refuerza la seguridad de la zona de login
Instala algún sistema de bloqueo temporal de login para intentos de acceso fallidos. Un plugin “Limitador de intentos de login” te dará buen resultado.
Utilizar captcha en el área de login es una buena manera de securizar tu WordPress. El objetivo del captcha es que el sistema sepa distinguir a una máquina de un ser humano, y de este modo impedir que los robots accedan por eso previenen estupendamente de los ataques de fuerza bruta porque siempre están hechos por bots. Uno como el que provee el plugin Captcha es válido y no tienes ni que configurarlo.
Los captcha también previenen de comentarios automáticos como SPAM. Ten en cuenta que los captchas visuales dificultan la accesibilidad a personas con dificultades visuales así que evita en lo posible su uso. «La Web no solo conecta máquinas, conecta personas», recuerda. Akismet es un muy buen plugin para evitar el SPAM en los comentarios de tu blog.
Si tienes una IP que no cambia, puedes restringir el acceso al área de administración desde IP determinadas. Haciendo esto conseguirás que solamente tú puedas acceder al área de administración. Actívalo desde el Panel de Control accediendo desde Hosting > Seguridad > Protección de carpetas.
También podrás proteger con doble contraseña el login del WordPress. Cuando accedes al área de administración de tu WordPress, nos pedirá el usuario y clave. Para aumentar la seguridad establece otra contraseña a nivel directorio wp-admin.
Otra buena opción es restringir archivos tipo wp-uploads para evitar hackeos. Para ello debes crear un archivo .htaccess dentro de la carpeta wp-content para establecer las reglas de acceso, añadiendo simplemente este código:
Order deny,allow
Deny from all
<Files ~ ".(xml|css|js|jpe?g|png|gif|pdf|docx|rtf|odf|zip|rar)$">
Allow from all
</Files>
Plugins WordPress que pueden ayudarte con la seguridad
Te comentamos algunos plugins que pueden ayudarte a proteger tu web:
- Wordfence Security: uno de los mejores plugins para la seguridad de WordPress. Incluye un servidor de seguridad, escaner anti-virus, sistema de autenticación en dos pasos mediante token (móvil), análisis de enlaces maliciosos y tráfico en tiempo real incluyendo rastreadores.
- Security Audit Log: este plugin genera un informe de todas las actividades de tu web, desde registros de personas usuarias, intentos de login y actualizaciones, las configuraciones modificadas o nuevos post publicados.
- WP Security Scan: detecta vulnerabilidades en tu instalación y realiza el cambio de prefijo de la base de datos automáticamente.
- Clef: un plugin de verificación en dos pasos, que tras la instalación de una simple app te permite loguearte en tus webs desde tu smartphone.
Cuida tu web, ¡vale más prevenir que remediar! 🙂
Si quieres una web con WordPress en dinahosting te ofrecemos alojamiento 100% compatible donde puedes crear tu sitio en un clic. Echa un vistazo a nuestro Hosting Apps, para crear una página sencilla o decídete por un Hosting Profesional, si necesitas programación. Todos nuestros planes administrados te permiten crear planes específicos de WordPress.
¿Te quedas con dudas? Llámanos y lo vemos. Nos puedes encontrar en el 900 854 000 completamente gratis a cualquier hora y desde la red fija o móvil.
15 comentarios
Quiero que el blog de la web que tengo creada con CREOWEBS sea de wordpress… como puedo hacer esto?
Gracoas,
¡Hola Belén! Lamentablemente lo que comentas no es posible. Ponte en contacto con Soporte para que puedan asesorarte sobre la mejor solución para tu proyecto. Un saludo.
Excelente artículo. Nunca es suficiente cuando de seguridad se trata. WordPress es una excelente herramienta para gestionar contenidos pero si la seguridad falla, de nada sirve. Un saludo.
Buen Artículo, pero molaría que os metiérais con algo más avanzado, como HtAccess, cambio de tablas WP_, y algún consejo más al margen de simples plug-ins.
Si lo hacéis avisad.
¡Muchas gracias por tu comentario, Iñaki! Seguro que publicaremos más tips y trucos como este en los que iremos entrando en cuestiones más avanzadas. No dejes de proponernos aquellos temas que te parecen interesantes y los tendremos en cuenta 🙂 ¡Un saludo!
¿Me podríais indicar qué permisos hay que dejar en los directorios de wordpress? Gracias
Hola, Jordi
En un servidor Linux las definiciones recomendadas para carpetas y archivos son:
Gracias por la información. Es importante sin embargo tener en cuenta que, a la hora de desarrollar una página web, hay más opciones aparte de WordPress. Precisamente si hablamos de seguridad, WordPress puede no ser la mejor opción… Gracias de nuevo.
Hola Sonia,
Muchas gracias por tu comentario. Tienes razón, existen múltiples opciones a la hora de construir tu sitio en Internet. En dinahosting tenemos muchos autoinstalables para desarrollar tu web https://dinahosting.com/hosting/autoinstalables, como Magento, Joomla o Prestashop.
Disfruta del día 🙂
Soy un ignorante y no quiero ser ciego defensor de uno u otro CMS (ni mucho menos) pero, en general, el eslabón más débil en la seguridad somos las personas y las decisiones que tomamos. No es más segura una puerta blindada que una barata convencional si en la primera dejamos las llaves colgadas por fuera porque nos hace bulto llevarlas en el bolsillo.
Cada problema tiene su solución más o menos ajustada. En esta ocasión se trata de, habiendo ya elegido WordPress, conocer algunas buenas prácticas para minimizar sus posibles puntos vulnerables.
A ver, creo que está bien difundir que también existen otras posibilidades. Pero nunca he entendido esa costumbre de: cuando estoy hablando de bicicletas, me contesten que los aviones vuelan más alto; son soluciones diferentes para problemas diferentes, aunque ambos sean formas de transporte.
Un saludo. 😉
Hola Lukas, ¿qué tal?
Muchas gracias por comentar. ¿Compartes con nosotros tus trucos para securizar WordPress?
Ya sabes que todas las aportaciones son muy bien recibidas 🙂
Un saludo y disfruta del fin de semana 😉
Más que trucos, un apunte. El cifrado. Debería ser obligatorio cifrar las conexiones, como mínimo en la parte de administración. Nunca sabes quién puede estar intentando ver tu tráfico y una contraseña compleja a la vista, no vale para nada. 😉
Un saludo.
Muchas gracias Lukas 🙂 Un apunte muy interesante.
¡Que tengas un muy buen día!
Muchas gracias por el artículo, cada año se incrementan los ataques en WordPress y otras plataformas, la esencial es fundamental.
WordPress es una excelente herramienta y cada vez más popular, por lo que siempre es bueno estar al día cuando se trata de mantener su seguridad.
¡Gracias por comentar!