8 tips para mejorar la seguridad en WordPress
Worpress.org es un CMS que posee vulnerabilidades y agujeros de seguridad, por lo que es necesario proteger tu sitio web antes esas vulnerabilidades. En este artículo te enseñaremos a localizar y reparar esos “agujeros de seguridad” con el fin de aumentar la seguridad en WordPress y evitar ataques de piratería y hackers.
Si eres usuario habitual de la plataforma WordPress habrás escuchado en númerosas ocasiones que hay páginas que han sido “pirateadas” logrando acceder a nuestro panel de administración mediante ataques de fuerza bruta, etc…
Muchos de estos ataques pueden prevenirse de forma realmente fácil con la instalación de algunos plugins aunque hay una serie de pautas básicas que pueden ayudar notablemente a evitar este tipo de agujeros de seguridad.
Muchos de estos agujeros de seguridad en WordPress pueden ser ocasionados por plugins, temas no actualizados o incluso el mismo núcleo de WordPress que no está en su última versión.
Aunque existen consejos más avanzados que enumeraremos y explicaremos con mayor profundidad, siempre existen una serie de tips básicos que deberíamos tener en cuenta. Por ejemplo, es de gran importancia mantener la plataforma actualizada a su última versión. Es verdad, que siempre tenemos miedo a que pueda provocar errores al actualizarse pero lo ideal es realizar una copia de seguridad con anterioridad para evitar sustos.
Del mismo modo que actualizamos las plantillas, convendría realizar la misma tarea con los plugins e incluso eliminando totalmente aquellos que no estamos utilizando, en lugar de desactivarlos solamente.
Otro consejo importante, es descargar los plugins y temas de fuentes fiables. Por un lado nos aporta seguridad ya que cuentan con actualizaciones periódicas y por otro lado suelen contar con un soporte de ayuda especializado.
Por último aunque con una mayor dificultad técnica, consiste en cambiar los permisos de los directorios de 777 a 750 o 755. Para los archivos, convendría utilizar 640 o 644 y en concreto para wp-config.php el 600 de tal modo que no puedan acceder fácilmente a estos ficheros.
Cambiar los permisos de archivo. Evitar la configuración de los directorios con permisos 777. Usted debe optar por 755 o 750, en cambio, de acuerdo con WordPress.org . Mientras estás en ello, configurar los archivos a 640 o 644 y wp-config.php para 600.
Hasta aquí llegan los tips básicos pero… ¿necesitas trucos más avanzados? Vamos a ello, estos son los 8 tips que tienes que tener muy presentes para mejorar la seguridad en WordPress.
Consejos avanzados para aumentar la seguridad en WordPress
1. Reduce el uso de plugins
Es una práctica bastante habitual, en ocasiones encontramos wordpress “congestionados” de plugins que perjudican el tiempo de carga de la página y su rendimiento además de facilitar a los hackers accesos a su información .
2. No descargar plugin de pago en sitios “gratuitos”
Aunque es una opción bastante atrayente y ahorrar siempre puede ser interesante, es una opción muy desaconsejada ya que desconocemos si hay podido ser modificado por la fuente que lo proporciona además de no disponer de ningún tipo de soporte por parte del desarrollador, ya que este plugin no estará verificado.
3. Automatizar las actualizaciones del core de WordPress
Como ya he mencionado anteriormente, es un proceso bastante importante y si unido a esto, solemos realizar copias de seguridad con frecuencia, no hay miedo a romper nada ya que en cualquier momento podemos volver atrás a una versión estable con gran facilidad.
4. Automatizar las actualizaciones de los plugins y temas
Del mismo modo que realizamos esta acción con la plataforma wordpress, conviene realizar la misma con los temas y plugins de WordPress. Este proceso se puede realizar fácilmente añadiendo unas pequeñas líneas de código en el fichero wp-config.php que en caso de existir una actualización, se ejecuta automáticamente.
5. Eliminar el editor de código de WordPress
Es una funcionalidad incluida en wordpress con bastante vulnerabilidad. Si logran averiguar la contraseña de alguno de los usuarios de nuestro CMS, pueden tomar el control y realizar bastante daño dentro de nuestra web, llegando incluso a eliminarla por completo. Del mismo modo, podemos solucionarlo añadiendo unas líneas de código en el fichero wp-config.php deshabilitando esta funcionalidad.
6. Protege tus archivos más importantes con .htaccess
Las modificaciones en este archivo son bastante importantes a nivel de seguridad aunque un error puede provocar grandes impactos. Desde este archivo podemos realizar acciones tan favorables desde el punto de vista de la seguridad como por ejemplo ocultar el archivo wp-config.php, restringir el acceso de administrador desde una dirección IP, bloquear el acceso de una dirección IP que ha intentado acceder anteriormente, etc…
7. Ocultar los nombres de usuario
Aunque es bastante sencillo poder averiguarlos, ya que basta con incluir en nuestra URL el siguiente fragmento “/?author=1”, existe una solución a este tipo de bug. Consiste en hacer una redirección para que cada vez que se introduzca, lleve directamente a la home, así no podrán averiguar si ese usuario como tal existe y por tanto realizar un ataque de fuerza bruta.
8. Cambiar la url de acceso
Por último, es importante cambiar la url de acceso a nuestra plataforma en lugar del típico wp-admin o wp-login.Este plugin gratuito y bastante descargado y actualizado llamado Login Lock Down, nos permitirá modificar el acceso y dificultarle en todo lo posible a los hackers el acceso a nuestro panel de administración.
Con estos tips básicos, conseguirás sin duda aumentar la seguridad en WordPress y mantener su sitio web más seguro y por lo tanto menos vulnerable a ataques de Hackers.