Cuando tienes un negocio, la seguridad se vuelve un aspecto fundamental que no puedes dejar de lado. Al igual que cuando tienes una zapatería o una tienda de ropa y te aseguras de no dejar dinero en la caja o cerrar bien la verja de tu tienda, ¿por qué no hacer lo mismo con tu web? Para ponértelo un poco más fácil, aquí tienes 10 consejos básicos de seguridad para WordPress.
No es la primera vez que te hablamos en este blog de lo importante que es la seguridad web, especialmente la seguridad en WordPress. Como sabes, es el CMS más utilizado a nivel mundial, con más del 60% de cuota de mercado. Precisamente esto lo convierte en un objetivo más apetecible para los hackers, pero ¿sabes lo mejor? Al ser el más utilizado, existe mucha más información, plugins, herramientas y documentación que en otros CMS para mantener y mejorar la seguridad.
¿Preparado? A continuación, veremos 10 consejos básicos de seguridad para WordPress. ¡Vamos a ello!
10 consejos para mejorar la seguridad de WordPress
La seguridad de tu web debería ser un aspecto prioritario en el día a día de tu negocio. Al fin y al cabo, tus ingresos, tus clientes, tu imagen de marca y tu reputación dependen de ella.
¿Qué pensaría una visita que aterriza por primera vez a tu web y ve que tu página ha sido hackeada? Seguro que se lleva una mala impresión y, si todavía no es cliente, dudará mucho en volver a visitarte. Como es lógico, pondrá en duda tu reputación como empresa y posiblemente en un futuro le cueste confiar a la hora de introducir sus datos personales o de pago en tu web.
Por tanto, la seguridad importa ¡y mucho! Pero si utilizas WordPress para tu web estás de suerte. Veamos los consejos más importantes de seguridad para WordPress.
1. Datos de acceso: Sé ingenioso
Cuando creas una nueva instalación de WordPress, se crea por defecto un usuario Admin con todos los privilegios. Si dejas este usuario tal cual, los hackers tan solo tienen que adivinar la contraseña. Es decir, si no cambias este usuario, lo tienen un 50% más fácil para acceder al backend de tu aplicación.
Con la contraseña pasa exactamente lo mismo. Deja de lado las contraseñas de tipo “1234abc” y utiliza contraseñas seguras. En la propia instalación de WordPress tienes una herramienta que te genera una contraseña fuerte automáticamente o, si prefieres, puedes utilizar una online como Password.
Por tanto, para proteger tus datos del login de WordPress modifica el usuario Admin y crea una contraseña fuerte. Es el primer paso que tienes que dar si quieres mejorar la seguridad de WordPress.
2. Protege la pantalla del login de WordPress
Otra medida de seguridad adicional para que nadie acceda al backend de tu web, es proteger los directorios wp-admin y wp-login con contraseña.
De esta manera, sin un nombre de usuario y una contraseña no podrán acceder al login de WordPress. Es una capa de seguridad extra que se lo pone más difícil a cualquier usuario que intente acceder a tu web mediante el uso de algún bot.
3. Modifica el prefijo de la base de datos
Por defecto, el prefijo de la base de datos de WordPress es “wp_” de modo que tus tablas se muestran del tipo “wp_users”, “wp_comments”, “wp_posts”, etc.
Los hackers lo saben. Son conscientes de que la gran mayoría de instalaciones de WordPress no realizan este cambio y, con los suficientes conocimientos, pueden aprovechar cualquier vulnerabilidad para acceder a toda la información almacenada y hacer lo que quieran con ella. Puedes quedarte sin contenidos en tu web en cuestión de segundos, o lo que es casi peor, que lo modifiquen a su antojo.
Por tanto, como alternativa al prefijo “wp_”, puedes escoger uno menos habitual como “hgg_”. Es un plus de seguridad para WordPress que podrás hacer fácilmente en el proceso de instalación de tu web.
4. Utiliza siempre la última versión de WordPress
Otro tip muy básico de seguridad para WordPress. Tener tu aplicación actualizada es fundamental para minimizar el riesgo de que tu web sea hackeada.
Tener WordPress actualizado es una buena forma de mantener y mejorar la seguridad de tu web.
Cuando se libera una nueva versión, se incluyen parches de seguridad y mejoras para corregir vulnerabilidades detectadas en versiones anteriores. Por ello, muchos usuarios malintencionados conocen estos agujeros de seguridad y los aprovechan para tomar el control de tu web.
5. Plugins y plantillas: también siempre actualizados
Al igual que ocurre con el core de WordPress, cada vez que se libera una nueva versión de un plugin o de la plantilla de tu web se corrigen vulnerabilidades que pueden poner en riesgo tu web.
Tener plugins sin actualizar pueden suponer un gran riesgo para la seguridad de tu página web.
Lo más recomendable es que revises periódicamente si necesitas actualizar la versión de algún plugin. Y, por supuesto, si tienes instalados plugins que ya no utilizas, elimínalos por completo.
Aunque tengas plugins desactivados en el panel de administración de WordPress, pueden suponer igualmente una vía de entrada para usuarios malintencionados. Si ya no los utilizas, elimínalos. Si en algún momento los necesitas, simplemente accede al repositorio oficial de WordPress y vuelve a instalarlos.
6. Ten siempre copias de seguridad de tu web
Si te importa la seguridad de WordPress, es importante que tengas siempre copias de seguridad disponibles por si algo no funciona como esperabas. Además, si ocurre algo malo o algún usuario intenta apoderarse de tu web, siempre tienes una copia que puedes restaurar y poner tu web en funcionamiento en cuestión de minutos.
Si tienes tu web con GoDaddy, recuerda que tienes disponible la Copia de seguridad de sitios web que realiza backups de tu web diariamente y de manera automática. Es una buena forma de mantener la seguridad de tus datos y tu negocio y, como no, la reputación de tu marca.
7. Cuidado con el spam
Si tienes una web en WordPress, es necesario que tomes medidas para protegerte del spam. Hay muchos hackers que utilizan los formularios de contacto o la sección de comentarios de tu blog para insertar enlaces fraudulentos o inyectar código malicioso que puede comprometer la seguridad de WordPress.
El uso de un plugin como Akismet te ayudará a controlar este tipo de comportamientos. Bloquea automáticamente los comentarios de SPAM que puedan llegar a nuestra web o blog dejando solo pendientes de aprobación los que tienen un origen o contenido dudoso.
Akismet ya viene instalado por defecto en WordPress para mejorar su seguridad. Simplemente deberás crear una cuenta en la página oficial de este plugin para generar una clave API que te permite configurar y ponerlo a funcionar en tu web.
8. ¿Y un plugin de seguridad para WordPress?
Utilizar un plugin de seguridad para WordPress puede ser una buena forma de proteger tu aplicación.
Muchos plugins están preparados para proteger una web sin tener que realizar apenas configuraciones y son la mejor opción cuando no tienes suficientes conocimientos técnicos para realizar mejoras en tu web de manera manual.
Aquí tienes algunos plugins de seguridad para WordPress que pueden ayudarte a mantener a salvo tu web y tus clientes:
- Securi Security
- Wordfence Security
- iThemes Security
9. Un certificado SSL: clave para la seguridad de WordPress
Un aspecto que todavía muchos ignoran es la importancia de cifrar las conexiones de tu web. En otras palabras, que tu web funcione bajo el protocolo HTTPS y no bajo HTTP y esto solo puedes conseguirlo instalando un certificado SSL en tu web.
¿Tienes clara la diferencia entre HTTP y HTTPS?
Recuerda que un SSL ya no es cosa solo de ecommerce, cualquier web desde un blog de moda hasta una web corporativa necesita un certificado de seguridad. Sin una conexión cifrada con SSL, cualquier usuario malintencionado podría interceptar la información que se transfiere desde el navegador al servidor web, ya sea una cuenta de correo electrónico, datos personales o información de una tarjeta de crédito.
No olvides que Google ha empezado a marcar como “no seguras” todas las páginas web que todavía no tienen instalado un certificado SSL en su web.
10. Utiliza una herramienta de seguridad
Si te preocupa la seguridad de WordPress, es importante que valores la posibilidad de utilizar una herramienta específica que te ayude a realizar un escaneo de tu página en busca de malware o infecciones que puedan poner en duda la seguridad de tu web.
Seguridad de la página web de GoDaddy es perfecta para tu negocio. Realiza análisis diario para prevenir malware y elimina cualquier tipo de código malicioso que pueda perjudicar tanto tu web como la seguridad y los datos de tus clientes. También ayuda a mitigar ataques de fuerza bruta y ataques de denegación de servicio que pueden perjudicar el SEO de tu web, tus visitas y tus ventas.
Recapitulando...
El hecho de que WordPress sea uno de los gestores de contenido más utilizados a nivel mundial también lo convierte en uno de los que más hackeos, ataques de fuerza bruta o inyecciones de malware recibe.
Eso sí, esto no quiere decir que este CMS no sea seguro. Sí que lo es, pero al igual que si tienes un negocio físico, es necesario realizar tareas de mantenimiento que te ayuden a mantener y mejorar la seguridad de WordPress. Y con estos diez consejos espero que te sea mucho más fácil.
¿Quieres más ayuda? Aquí tienes un vídeo en el que te explicamos cómo proteger tu web en tres pasos muy sencillos. No dejes que nada arruine tu web ni tu negocio.
