15 medidas para aumentar la seguridad en WordPress sin complicaciones

Es muy frecuente en la bandeja de entrada de mi correo recibir consultas haciéndome preguntas referentes a temas de seguridad en WordPress.

Mucha gente no le da la suficiente importancia al aspecto de la seguridad y es algo que deberás tener muy en cuenta si no quieres ver peligrar tu página web.

A continuación te daré 15 medidas para aumentar la seguridad en WordPress sin complicaciones. Si aplicas estos consejos estarás más tranquilo y seguro hacia ataques de hackers, fuerza bruta y robots.

15 medidas de seguridad en WordPress sin complicaciones

#1 Contrata un hosting de calidad

El primer paso para tener un WordPress seguro es contratar un hosting que ofrezca un servicio profesional.

Asegúrate que tu hosting monitorea constantemente tu página web buscando vulnerabilidades, que ofrecen un buen servicio de copias de seguridad y posibilidad de instalar un servicio CDN del estilo CloudFlare.

También es importante que te ofrezcan un certificado de seguridad SSL por ejemplo Let’s Encrypt muy fácil de instalar y gratuito. Con un certificado Let´s Encrypt la web estará encriptada y con ello mucho más segura.

Además siempre es importante que dispongan de un buen soporte técnico telefónico para resolver cualquier incidencia que pudiera surgir.

Si tu proyecto pretende ser profesional utiliza una buena base huye de servidores gratuitos con pocas prestaciones.

#2 Modifica el prefijo wp_  para las tablas de la base de datos

Cuando instales WordPress en el servidor debes introducir una serie de información para que WordPress pueda enlazarse con la base de datos.

Esta información la suele facilitar el proveedor de hosting como el nombre de la base de datos, el usuario, la contraseña. Lo que sí que puedes modificar es el prefijo de las tablas que se crearán en WordPress que normalmente empieza por wp_.

Esta es una información que los hackers conocen y si no modificamos este prefijo estamos abriendo la puerta a posibles ataques.

#3 No utilices NUNCA el nombre de usuario admin

Otra de las medidas de seguridad en WordPress es eliminar el usuario admin que viene predefinido con la instalación de WordPress.

El hacker o robot que intente hackear tu web lo primero que intentará será acceder al panel de administración con el usuario “admin”.

Cuando instales WordPress por primera vez elige el nombre de usuario que quieras menos los más comunes para esta tarea como admin, Admin, root o similares.

#4 Utiliza una contraseña fuerte (difícil de averiguar)

Otra de las medidas imprescindibles que debes tomar es asegurarte de utilizar una contraseña fuerte. Actualmente todos los navegadores te dan la posibilidad de recordar las contraseñas, de esta manera debes renunciar a contraseñas fáciles de recordar del tipo “1234” es como si dejaras las llaves puestas en la puerta de tu casa.

Puedes utilizar un generador de contraseñas automatico para generar una contraseña segura, con más de 8 caracteres, letras minúsculas y mayúsculas, números y caracteres especiales.

El escritor de WordPress te indicará si la contraseña elegida es fuerte o no. 

#5 Limita los intentos de login

Debes limitar los intentos de login fallidos a tu cuenta no sean más de tres. Deja uno o dos intentos por si te equivocas al introducir el usuario y la contraseña para entrar al panel de administración de WordPress pero no más.

Cualquier intento de hackeo por fuerza bruta debe ser bloqueado. Si los hackers intentan más de dos o tres veces combinaciones de usuario y contraseña deben ser bloqueados.

Para ayudarte en esta tarea puedes hacerlo con el plugin Login LockDown. No utilices la otra alternativa recomendada en muchos blogs Limit login attempts ya que lleva más de cinco años sin recibir actualizaciones. Instalar un plugin que lleva tanto tiempo sin recibir actualizaciones es totalmente desaconsejable.

Si usas una suite de seguridad como Wordfence también puedes limitar el intento de logins dentro del apartado “Login Security Options

#6 Cambiar la ruta de login

Otra buena medida de seguridad en WordPress para prevenir ataques de fuerza bruta es modificar las rutas de acceso al panel de administración de WordPress que por defecto son las siguientes:

  • www.tuweb.com/wp-admin
  • www.tuweb.com/wp-login.php

Es obvio, que esta es una información que cualquier hacker conoce por eso debemos modificar estas dos rutas de acceso.

Una manera muy fácil de hacerlo es instalar el plugin Renombra wp-login.php. Una vez instalado modificas la ruta desde los ajustes de enlaces permanentes de WordPress.

#7 Usa siempre última versión de WordPress

Otro de los factores en al que muchos usuarios no prestan la atención necesaria. Me he encontrado muchas ocasiones con instalaciones de WordPress hackeadas por que el sistema no estaba actualizado a las versiones más recientes.

Los hackers aprovechan sitios con versiones antiguas no actualizadas para colarse.

El sistema de actualizaciones de WordPress es automático para actualizaciones de mantenimiento y seguridad no deberás realizar ninguna acción, el sistema te avisará cuando se haya actualizado.

Para realizar actualizaciones mayores debes dar tu consentimiento a WordPress y simplemente con apretar un botón y en poco tiempo tendrás el sistema actualizado.

#8 Actualiza el tema activo

Igual de importante es actualizar el tema activo en la instalación de WordPress. En este sentido es importante utilizar temas que reciban actualizaciones a menudo, debes alejarte de temas obsoletos que no han recibido actualizaciones hace tiempo.

Si usas un tema del directorio oficial WordPress, este te avisará cuando haya actualizaciones disponibles.

Revisa este artículo donde analizo la mejor plantilla para WordPress del 2017.

#9 Actualiza todos los plugins

Al igual que los dos puntos anteriores también debes actualizar todos los plugins instalados a la última versión disponible.

Debes alejarte de aquellos plugins que no reciban actualizaciones frecuentemente y si tienes alguno que no haya sido actualizado recientemente debes buscar una alternativa que ofrezca las mismas prestaciones.

Si utilizas plugins o temas del directorio oficial de WordPress encontrarás toda la información disponible, como la fecha de creación, número de descargas, compatibilidad con versión de WordPress, última actualización.

Si utilizas plugins o temas que no están disponibles en el directorio de WordPress debes acudir a la página web de dicho tema plugin para comprobar las actualizaciones.

#10 Borra los temas y plugins que no utilices

Continuando con las medidas de seguridad en WordPress. Un buen consejo a tener en cuenta es instalar solo los plugins imprescindibles que vayas a utilizar, ahorra instalar plugins para todo y piensa si verdaderamente merece la pena su instalación.

En este enlace te dejo mi lista de plugins favoritos que no faltan en mis proyectos.

#11 Descarga de sitios seguros

Siguiendo con las buenas prácticas con los temas y plugins debes asegurarte que descargas los temas y plugins de sitios de confianza.

El sitio más seguro es descargar del directorio oficial de WordPress, de esta manera te aseguras que las versiones han sido actualizadas y seguras en sus últimas versiones.

Además existen otros marketplace donde puedes descargar temas y plugins de calidad como Woothemes, Elegant Themes, StudioPress, GeneratePress

Nunca se te ocurra descargar plugins y temas con aplicaciones P2P, la mayoría de archivos suelen estar infectados de virus y malware.

#12 Controla el spam

En una web con blog se suelen colar comentarios spam. Estos comentarios pueden dar acceso a virus, malware y demás programas dañinos para WordPress.

Para evitar estos spam se debe implementar una estrategia para evitar este tipo de comentarios. Yo recomiendo instalar el plugin Antispam Bee mucho más completo y efectivo contra el spam que el popular Akismet. Además también puedes ir un paso más allá e instalar un filtro mas de protección instalando el plugin Growmap anti Spambot, este crea una casilla de verificación en los comentarios de nuestro blog, una barrera mas para hackers y malware.

Si tienes una web donde permites el registro a usuarios también debes instalar un plugin para prevenir los registros de usuarios spam Stop Spammer Registrations Plugin puede ser una buena opción.

#13 Instala un proxy inverso como CloudFlare

Esta es una medida que no solo mejorará la seguridad sino también la velocidad de WordPress. Te recomiendo CloudFlare gratuito y muy fácil de configurar.

Cloudflare es un servicio CDN que nos ofrece un sistema de cache muy potente.

En Siteground y en la mayoría de hostings premium ofrecen este tipo de servicio de forma gratuita, simplemente debes activarlo en el cPanel de tu WordPress.

En este artículo puedes leer un poco más acerca de esta tecnología.

#14 Realiza copias de seguridad periódicamente

Otra de las medidas de seguridad en WordPress. Todo el mundo esta expuesto a sufrir algún desastre en su página web. La mejor manera de restaurar ese desastre es disponer de una copia de seguridad.

Existen muchos plugins para realizar esta tarea yo te recomiendo UpdaftPlus. Con esta herramienta puedes realizar un backup completo de la base de datos y los archivos de tu instalación y restaurarlos de una manera sencilla.

Puedes programar las copias de seguridad y automatizar su guardado en la nube en plataformas como DropBox, Google Drive…

#15 Instala un plugin de seguridad

Es obligatorio instalar un plugin de seguridad integral como puede ser iThemes Security o Wordfence, los dos son una buena opción.

Estos plugins cubren muchos aspectos de la seguridad en una instalación de WordPress. Con estas herramientas evitaremos ataques de fuerza bruta, inyecciones de código malicioso, modificaciones en los archivos de sistema. Además el sistema nos avisará ante cualquier posible ataque.

Conclusión

Espero que estas 15 medidas de seguridad imprescindibles en WordPress te sean útiles y con ello consigas acabar con los problemas de hackeo y acceso no autorizado a tu blog.

Dedica el tiempo necesario a la seguridad de tu página web no abandones nunca esta tarea, los hackers siempre van un paso por delante, conocen todos los trucos para acceder a tu blog.

Lo primero que debes hacer es instalar un plugin de seguridad para WordPress como Wordfence o iThemes Security. Esto será suficiente para bloquear el acceso a posibles intrusos. Desde un inicio utiliza contraseñas fuertes e instala un sistema programado de copias de seguridad como UpdraftPlus.

Espero que te sirvan estos trucos para proteger WordPress. Espero tus comentarios, trucos o sugerencias sobre este tema.

Daniel Massó

Soy diseñador web, me encanta Wordpress y todo el mundo digital. Me gustan los diseños limpios y sencillos sin excesos, que tengan una buena usabilidad para mejorar la experiencia de usuario y la conversión. En mi blog comparto mis conocimientos para ayudarte a triunfar con tu web. Conóceme mejor en: Sobre mí

1 comentario en “15 medidas para aumentar la seguridad en WordPress sin complicaciones

Deja un comentario