¿Que tan seguro es WordPress?

Deja un comentario / Diseño Web / Por /

seguridad en wordpress

WordPress ha entrado en su fase de Madurez, aunque ocasionalmente surgen vulnerabilidades de seguridad en el núcleo, que son rápidamente corregidas con actualizaciones. En lineas generales puede se puede decir que es una plataforma muy segura, pero puedes lograr que lo sea aún más, si sigues estos consejos

1 – Mantener actualizado el nucleo… cuando te lo pida

Como ocurre con cualquier software muy popular, los hackers siempre intentan buscar vulnerabilidades para acceder. La buena noticia es que WordPress central lanza periódicamente correcciones de seguridad, y si tienes la configuración predeterminada, tu instalación se actualiza automáticamente para mantenerse protegido contra cada vulnerabilidad emergente.

¿Como saber cuando #Wordpress se debe actualizar manualmente, si no lo hace de forma automática? Clic para tuitear

Las versiones de WP vienen con tres números separados por puntos. Por ejemplo, si  es 4.9.4. el número de la  derecha es la versión menor, cada incremento de esta última, tu sitio se actualizará automáticamente, en este caso a la versión 4.9.5. En cambio, si se libera la versión 5.0.0, te solicita hacerlo manualmente.

2 – No uses “admin” como usuario administrador para acceder al sistema.

En sus comienzos, WordPress asignaba ese nombre al administrador por defecto, cuando se instalaba por primera vez. Al ser el más usado, es el que los hackers, robot o humanos, eligen para intentar ataques por fuerza bruta. Afortunadamente, ahora permite utilizar un nombre personalizado en cada nueva instalación.

No uses admin como nombre de usuario

Pero como cambio el “admin” en mi sitio funcionando?

Hay 2 formas de hacerlo, tu elijes cual te resulta más práctica:

  • Desde el panel del administrador del host, accedes a PhpMyadmin, buscas la base de datos de tu sitio, encuentra la tabla wp_users, la editas para cambias el nombre
  • Desde el escritorio de WordPress, das de alta un nuevo usuario con nivel Administrador, con el nombre que quieras, le asignas la misma contraseña que tenias u otra mas segura. Luego cierras la sesión, te logueas con el nuevo usuario y desde alli borras la cuenta del usuario “admin” anterior.

Apuesto a que has elegido la opcion 2… 🙂

3 – Usa una contraseña segura

Antes de añadir cualquier contraseña que te sea familiar, deja que WordPress se encargue de generar tu contraseña.  De hasta 24 caracteres nivel 4 (mayúsculas, minúsculas, números y símbolos) es suficientemente segura. No creo que puedas recordarla, para eso puedes recurrir al gestor de contraseñas de Chrome o Firefox para que lo haga.

Pero si deseas usar un gestor sin los potenciales peligros de la nube (Recordar que los navegadores guardan esos datos en tu cuenta online), te recomiendo KeePass, se instala en tu PC (es offline), intuitivo y amigable, guarda las contraseñas en una base de datos con una clave maestra. La contra es que no es portable.

4 – Cambia el prefijo wp_ de las tablas en la base de datos

Seguramente así lo tienes instalado desde hace tiempo y nunca prestaste atención a ese detalle como una vulnerabilidad, sucede sí lo es. No te voy a explicar la forma correcta de hacerlo manualmente porque es algo complicado y hay que ser más prácticos, siempre hay un plugin que te ayuda a solucionarlo: se trata de WP Prefix Changer, una vez instalado y habilitado, lo buscas en Ajustes -> Change prefix table. Lo demas es facil e intuitivo:

La próxima instalación que debas hacer en un nuevo sitio, ahorrate los pasos anteriores y lo cambias desde el principio:

cambiar el prefijo de las tablas de la base de datos

5 – Asegurate de estar al día con las versiones de plugins y temas que utilizas

Es muy frecuente que se produzcan intrusiones malware por culpa de plugins obsoletos o con versiones antiguas. Recuerda que son muy pocos los que se actualizan automáticamente.

Sin embargo, si existe una vulnerabilidad de plugin grave, el equipo de seguridad de WordPress tiene la capacidad de forzar las actualizaciones de seguridad de los plugins, ya lo ha hecho en el pasado . Y Aunque nunca han actualizado automáticamente un tema, también tienen la capacidad de hacerlo.

Verifica también periódicamente si algún plugin de tu lista, tiene mucho tiempo sin actualizar y desconfía si ya no está en el repositorio de wordpress. Si eso ocurre quítalo inmediatamente de tu sitio y busca un remplazo.

De más está decirte que quites los plugin y temas que no uses. No sirve dejarlos deshabilitados, ocupan lugar y pueden ser potencialmente riesgosos… aun deshabilitados.

6 – Guarda copias de resguardo de tu sitio web

Por supuesto hay plugins que te facilitan esa tarea. Sí actualizas frecuentemente los contenidos UpdraftPlus es una buena opción. Te permite programar backups diarios semanales o mensuales, y enviar los archivos a DropBox, Google Drive, o tu cuenta de correo.

7 – Practica una seguridad preventiva

  • Añade un Captcha en formularios de acceso: No es indispensable pero es una capa de seguridad adicional, no pierdas tiempo en añadir cualquier plugin, reCaptcha, es el más indicado y seguro.
  • Cambia la URL de acceso al escritorio: WPS Hide Login es un plugin muy liviano que te permite renombrar fácilmente el archivo wp-login.php con el nombre que mas quieras. Se supone que debes elegir uno complicado y largo, por ejemplo www.tusitio.com/entrada-imposible-la-venganza-sera-terrible/ 😉

8 – Instala un plugin de seguridad

Ya en alguna oportunidad te hablé de WordFence, además de prevenir intentos de conexión por fuerza bruta mediante bloqueo de IP, administra los archivos del sitio, informando si surgen cambios sospechosos en ellos. Puede configurar todo tipo de alertas que te llegará a tu email, no es intrusivo y no consume demasiados recursos.

Compartir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *