Seguridad en WordPress
Con este tutorial aprenderemos como mejorar la seguridad en nuestro WordPress para hacer de nuestra web un sitio inexpugnable y seguro.
Hoy, vamos a hablar en profundidad sobre:
Como mejorar nuestra seguridad en nuestro wordpress a través de 4 sencillos pasos
Mas de una vez os habéis preguntado… ¿Como de seguro es WordPress?
La respuesta es clara, WordPress es una de las aplicaciones de creación web más seguras debido a que es Open Source.
Vale, me quedo más tranquilo, pero.. ¿qué es Open-Source?
Significa que el desarrollador tiene acceso al código fuente y está disponible para que cualquiera pueda modificarlo a su antojo y contribuir dentro de una comunidad.
Parece que leyendo está caracterísitica lo haga menos seguro, pero la verdad es que es todo lo contrario, y eso es debido a que miles de desarrolladores contribuyen con el proyecto y envian mejoras constantemente a WordPress. Por consiguiente, cualquier fallo es detectado rápidamente y paliado con la nueva actualización en WordPress.
Como comprenderéis, actualizar tu WordPress es algo fundamental en base a seguridad ya que constantemente se descubren mejoras y fallos de seguridad, asi que.. ha actualizar se ha dicho!
Como ya he mencionado anteriormente, WordPress se basa en una gran comunidad de desarrolladores y por ello, si encontramos un fallo o vemos que hay una vulnerabilidad en nuestra web, lo mejor es informar cuanto antes y crear una entrada en el foro.
[bctt tweet=”Como mejorar la #seguridad en #wordpress en 4 sencillos pasos”]
¿Qué pasos debo llevar para hacer mi WordPress seguro?
1. Mantener WordPress actualizado
Ya sé que insisto mucho en este tema, pero tener actualizado WordPress es algo esencial.
Cuando instalas WordPress tendrás activado las actualizaciones automáticas (sin tocar nada), si sale una actualización de seguridad, se actualizará y te enviará una notificación a tu email ( el que hayas configurado al instalarlo).
Por ejemplo, si tienes instalado la versión 4.2.1 y sale la 4.2.4, la actualización lo hará de manera automática, en cambio, si sale una actualización 4.3 o 4.4, lo tendrás que hacerlo manualmente ya que podría verse afectada la web debido a que no es una actualización menor.
Una cosa que hay que hacer una vez logeado en WordPress, es comprobar que estamos actualizados. Aunque ya sabemos que se hace automáticamente hay veces que por diversos motivos no salta la actualización.
Para comprobarlo tendremos que ir a Escritorio y dentro ir a Actualizaciones, allí nos saldrá que WordPress necesita una actualización o por el contrario está Actualizado. También nos saldrá si hay alguna actualización pendiente de plugins o temas.
Mucho de los desarrolladores tienen pánico al actualizar WordPress porque ha habido veces que, una vez actualizado tu página web, no funciona correctamente.
Si estas usando un tema específico de WordPress, antes de actualizar, comprueba en la página web del desarollador que ese tema es compatible con la versión que quieres actualizar.
Siempre es bueno leer qué hace la actualización y qué cambios efectivos hará en tu Web. Hay plugins que por el mismo motivo no funcionaran con las actualizaciones. Esto tiene mejor solución ya que basta con desactivar todos los plugins e ir activando uno a uno para ver cual es el que hace que la web no funcione con normalidad.
Un consejo que te voy a dar es que si cada vez que actualizas a una nueva versión de WordPress tu tema no funciona correctamente y tus plugins te dan errores, lo mejor que puedes hacer es reconsiderar esos plugins o el tema ya que es algo esencial que ellos, como hace WordPress, actualicen regularmente para que no haya fallos de seguridad.
2. Realizar Copia de Seguridad
Una parte importante de la seguridad es tener una buena copia de seguridad en caso de fallo en la Web debido a seguridad o base de datos.
Piensa que la web está siempre expuesta y por ello, lo mejor que puedes hacer para cubrirte bien las espaldas es tener un buena copia de seguridad. Actualmente casi todo los hostings te ofrecen la posibilidad de hacerlo con ellos de manera automática.
Si estás pensando en realizar una copia de seguridad por tu cuenta, hay muchos plugins bastante decentes que ya comentaré en otro de mis tutoriales, pero os nombro alguno de ellos:
- Backupwp (gratuito)
- Vaultpress (de pago)
3. Usuario administrador y contraseña segura
Todas las web creadas con WordPress tienen un usuario administrador que puede realizar cualquier cambio y acceder sin restricciones a toda la administración de la web.
Esto quiere decir que si el usuario y la contraseña cae en manos equivocacadas podría hacer bastante daño en nuestra web. Por eso la importancia de tener un buen nombre de admin y una contraseña muy segura, ya que es mucho más dificil de entrar que si ponemos el nombre de “admin” y contraseña “1234”, ya que podría ser una jornada de puertas abiertas en tu web, y tu no quieres eso, ¿ o si ;)?
¿Qué nombres tengo que evitar?
Pues te voy a dar unos ejemplos de los más típicos: “admin” ,”root”, “administrador”, “user”, nuestro nombre de pila, nombre de la empresa y cosas que tengan relación con nuestra empresa, como por ejemplo: “marketing” si la empresa es de marketing.
[bctt tweet=”Cómo elegir nombre de administrador y contraseña para mantener la seguridad de wordpress”]
¿Cuál puede ser un buen nombre?
Puedes usar una combinacion de letras y números, como por ejemplo: r4c5top12. Cualquier nombre que no tenga que ver con tu negocio y no sean los típicos admin,etc.
Te recomiendo en usar la herramienta 1password (tiene versión gratuita), que te puede ayudar almacenando nombres y contraseñas no teniendo que memorizarlas, solo la contraseña maestra.
Lo mismo sucederá con la contraseña, necesitamos una compleja con Letras (mayúscula y miníscula), guiones, símbolos de puntación, números. Lo mismo que con el usuario, 1password te puede generar contraseñas muy seguras de 12 carácteres y no hace falta que las memorices porque las almacenerá por tí de una manera segura
4. Limitar el acceso del usuario Administrador
Cuando instalas WordPress la primera vez, te creará un usuario administrador y este tendrá acceso total para administrar nuestra Web. Lo mejor que podemos hacer es crear un usuario con ciertas limitaciones de acceso. Por ejemplo que solo pueda publicar para cuando nos encontremos en un sitio no seguro (red WiFi pública) y podamos crear entradas en nuestro blog o pueda modificar contenido.
Todo esto es debido a que si nos descubren la contraseña de nuestro usuario admin como ya he dicho en el paso 3, nos pueden hacer una gran avería en nuestra web.
Hay varios tipos de roles, dependiendo la seguridad que les quieras dar al usuario en cuestión. Por ejemplo Colaborador es cualquier usuario que pueda escribir nuevos artículos y modificarlos. Si hay varias personas colaborando en vuestra web, pues dependiendo del rol, podrán tener acceso a cierto contenido u no.