Tiempo de lectura aprox: 3 minutos, 34 segundos
Vamos a enseñaros como mejorar la seguridad de WordPress para hacer de vuestra web un sitio inexpugnable y seguro.
Seguro que más de una vez os habéis preguntado… ¿Cómo de seguro es WordPress?
La respuesta es clara, WordPress es una de las aplicaciones de gestor de contenidos más seguras. Esto se debe fundamentalmente a que es Open Source.
Contenido del artículo
🤔 ¿Qué es Open Source?
Significa que el acceso al código fuente es libre y está disponible para que cualquiera pueda modificarlo a su antojo y contribuir dentro de una comunidad.
Parece que esto lo haga menos seguro, pero la verdad es que es todo lo contrario. Debido a que miles de desarrolladores contribuyen con el proyecto y envían mejoras constantemente a WordPress. Por consiguiente, cualquier fallo es detectado rápidamente y paliado con la nueva actualización en WordPress.
Tener un WordPress actualizado es algo fundamental en base a seguridad. Porque constantemente se descubren (y corrigen) fallos de seguridad.
WordPress se basa en una gran comunidad de desarrolladores. Si encontramos un fallo o vulnerabilidad en nuestra web, lo mejor es informar cuanto antes. Podemos hacerlo creando una entrada en su foro de soporte.
⚡ Actualizaciones, clave para mejorar la seguridad de WordPress
Las actualizaciones son esenciales para mejorar la seguridad de WordPress. Ya hemos puesto de manifiesto en otro artículo los riesgos de tener una página web obsoleta.
Cuando instalas WordPress tendrás activadas las actualizaciones automáticas, si sale una actualización de seguridad, se actualizará y te enviará una notificación a tu email (el que hayas configurado al instalarlo).
Por ejemplo, si tienes instalado la versión 4.3.1 y sale la 4.3.4, la actualización lo hará de manera automática. En cambio, si sale una actualización 4.5 o 4.6, tendrás que actualizarlo manualmente ya que podría verse afectada la web debido a que no es una actualización menor.
Algo que hay que hacer en WordPress cuando entramos al panel de administración, es comprobar que está actualizado. Aunque ya sabemos que se hace automáticamente hay veces que por diversos motivos no funciona.
Para comprobarlo tendremos que ir a Escritorio > Actualizaciones, allí nos saldrá que WordPress necesita una actualización, o por el contrario, está Actualizado. También nos saldrá si hay alguna actualización pendiente de plugins o temas.
❌ Las actualizaciones ayudan a mejorar la seguridad de WordPress pero también tienen riesgos
Mucho de los desarrolladores web tienen (y tenemos) pánico al actualizar porque, aunque puede ayudarnos a mejorar la seguridad de WordPress, en muchas ocasiones la página web deja de funcionar correctamente. Esto se manifiesta especialmente en la última actualización de WordPress, la versión 5.5.
👉 Te animamos a leer nuestro artículo sobre los errores al actualizar a WordPress 5.5
Si estas usando un tema específico de WordPress, antes de actualizar, comprueba en la página web del desarrollador del tema que es compatible con la versión a la que quieres actualizar.
Siempre es bueno leer qué hace la actualización y qué cambios efectivos hará en tu Web. Hay plugins que por el mismo motivo no funcionaran con las actualizaciones. En este caso basta con desactivar todos los plugins e ir activando uno a uno para ver cuál es el que hace que la web no funcione con normalidad.
Si bien actualizar va a mejorar la seguridad de WordPress, cada vez que actualizas a una nueva versión de WordPress corres el riesgo de que tu tema no funciona correctamente y los plugins te den errores. En este caso, lo mejor que puedes hacer es reconsiderar la importancia de esos plugins o el tema ya que es algo esencial que ellos también se actualicen regularmente para que no haya fallos de seguridad.
👌 Utiliza un usuario administrador y una contraseña segura
Todas las web creadas con WordPress tienen un usuario administrador que puede realizar cualquier cambio y acceder sin restricciones a toda la administración de la web. Es indispensable saberlo para mejorar la seguridad de WordPress.
Esto quiere decir que si el usuario y la contraseña caen en manos equivocadas podría hacer bastante daño en nuestra web. Por eso la importancia de tener un buen nombre de admin y una contraseña muy segura. Es mucho más difícil de entrar que si ponemos el nombre de “admin” y contraseña “1234”, ya que podría ser una jornada de puertas abiertas en tu web.
¿Qué nombres tengo que evitar?
Los nombres más típicos: “admin”,”root”, “administrador”, “user”. También nuestro nombre, nombre de la empresa y términos relacionados con la misma. Por ejemplo: “marketing” si la empresa es de marketing.
¿Cómo elegir un buen nombre?
Para elegir un buen nombre de usuario puedes usar una combinación de letras y números como por ejemplo: khe56qw. Cualquier nombre que no tenga que ver con tu negocio y no sean los típicos.
La herramienta LastPass (una extensión para el navegador) puede ayudarte a almacenar los usuarios y las contraseñas y recordar solo una contraseña maestra.
Lo mismo sucederá con la contraseña, necesitamos una compleja para mejorar la seguridad de WordPress. Estas contienen Letras (mayúscula y minúscula), guiones, símbolos de puntación, números. Lo mismo que con el usuario, password te puede generar contraseñas muy seguras de 12 caracteres y no hace falta que las memorices porque las almacena por ti de una manera segura.
⌛ Realizar Copias de Seguridad periódicas
Una parte importante de la seguridad es tener una buena copia de seguridad en caso de fallo en la Web debido a seguridad o base de datos.
La web está siempre expuesta y por ello, lo mejor que puedes hacer para cubrirte bien las espaldas es tener una buena copia de seguridad.
⚠️ Limitar el acceso del usuario Administrador
Cuando instalas WordPress, te creará un usuario administrador y este tendrá acceso total a nuestra Web. Lo mejor que podemos hacer es crear un usuario con ciertas limitaciones de acceso. Por ejemplo, que solo pueda publicar para cuando nos encontremos en un sitio seguro. Y podamos crear entradas en nuestro blog o pueda modificar contenido.
Todo esto es debido a que si nos descubren la contraseña de nuestro usuario admin como ya he dicho anteriormente, nos pueden hacer una gran avería en nuestra web.
Hay varios tipos de roles, dependiendo la seguridad que les quieras dar al usuario en cuestión. Por ejemplo Colaborador es cualquier usuario que pueda escribir nuevos artículos y modificarlos. Si hay varias personas colaborando en vuestra web, pues dependiendo del rol, podrán tener acceso a cierto contenido u no.
Esperamos que estos 4 tips te ayuden a mejorar la seguridad de tu WordPress en 2020.
