10 medidas de seguridad eficaces para WordPress

WordPress es una de las plataformas de gestión de contenidos más utilizadas del mundo, con millones de páginas web desarrolladas con este famoso CMS.

Su versatilidad e interfaz gráfica e intuitiva hacen que detrás tenga una legión de admiradores y desarrolladores que mantienen viva la plataforma y en constante evolución. Para conocer más a fondo las ventajas de esta plataforma recomendamos echar un vistazo a nuestra Infografía por qué usar WordPress.

Pero debemos tomar una serie de medidas de seguridad para evitar infortunios.

¿Cómo podemos aumentar la seguridad y blindar WordPress?

1. Hacer copias de seguridad frecuentes.

Realizar una copia de seguridad periódica del sitio web evitará problemas ante posibles accesos indebidos o problemas que afecten al funcionamiento de la web.

2. Tener (y mantener) WordPress actualizado.

La gran comunidad WordPress hace que el tiempo que trascurre entre que se detecta un fallo de seguridad y sale un parche subsanándolo sea ínfimo. Por ello debemos, una vez comprobado que no existen incompatibilidades con el tema y plugins utilizados, tener WordPress siempre actualizado. Con ello garantizamos que los agujeros de seguridad sean prácticamente inexistentes. Pero no sólo el motor WordPress: tema y plugins deberían estar siempre actualizados.

3. Limpieza: Borrar archivos sin utilidad.

Ficheros como “readme.html” o “wp-config-sample.php” no hacen más que dar información sobre qué versión y configuración de WordPress se está utilizando.

4. Proteger archivos importantes.

Para evitar accesos indeseados, es recomendable bloquear a través de ".htaccess" el acceso a ficheros importantes, como "wp-config.php" y el propio ".htaccess".

5. Utilizar nombres de usuario y contraseñas complejas.

No vale como usuario admin y como contraseña 123456. Implantar medidas de seguridad eficaces y descuidar la seguridad utilizada en las credenciales de acceso es como poner una puerta acorazada en casa y dejarla abierta. Deben ser cadenas de texto largas (por encima de ocho caracteres), haciendo uso de mayúsculas, minúsculas, números y símbolos siempre que se nos permita. Este patrón debería usarse tanto para nombres de usuario, como para contraseñas, nombre de la base de datos, prefijos de las tablas...

6. Monitorizar el acceso a archivos del sistema.

Es muy recomendable utilizar algún plugin de seguridad que monitorice los accesos y los archivos buscando modificaciones. Existen multitud de plugins de seguridad. Uno de los más completos es Wordfence, el cual permite avisar al administrador cuando alguien se loguea en el sitio web, cuando se modifican archivos, cuando se realizan intentos de acceso fallidos, incluso bloquear el acceso a usuarios inexistentes.

7. Modificar ruta de acceso al panel de administración.

Cambiar el famoso /wp-admin dificultará el acceso a un usuario ajeno al sitio web. Este cambio se puede realizar gracias a algún plugin o creando una función en el archivo "funtions.php".

8. Cambiar nombre público del administrador.

Debemos cambiar el nombre a mostrar por defecto (alias/nicename), ya que si no lo cambiamos , el nombre a mostrar será el mismo que para iniciar sesión. Accediendo a través de /?author=0 se facilita el nick usado para iniciar sesión, si no es cambiado o no se bloquea el acceso a esta url, dejando sólo a un ataque de fuerza bruta de distancia la obtención de la contraseña.

9. Deshabilitar el editor de ficheros de WordPress

Vale, un usuario puede conseguir acceso a WordPress, pero quizás no tenga acceso FTP. Si bloqueamos el editor de ficheros que viene integrado en WordPress se lo pondremos un poco más difícil. Para ello hay que añadir la siguiente línea a wp-config.php

define('DISALLOW_FILE_EDIT', true);

10. Cuidar las contraseñas de acceso.

Este consejo, es además, aplicable a la vida en general: debemos ser cuidadosos a la hora de almacenar las contraseñas o de ceder las contraseñas a terceras personas. Debemos ser conscientes del buen uso que se hará de ellas a las personas a las que se las cedamos.

Igualmente, debemos almacenarlas en algún lugar (físico o virtual) con acceso limitado. Como todo, con esto no garantizamos que se realicen accesos indeseados, pero si minimizamos hasta reducir las posibilidades a la mínima expresión. Tomando esta serie de medidas, tu sitio WordPress será un lugar bastante más seguro.

Y tú, ¿qué medidas de seguridad utilizas además de las comentadas?

Sobre el autor

Samuel E. Cerezo - Desarrollador web en bilnea, administrador de sistemas y consultor informático. Cocinando webs de autor para los paladares y teclados más exquisitos. Consultor informático, resolución hoy de problemas del mañana.

¿Te ha parecido interesante? ¿Quieres recibir más artículos como éste?

Suscríbete a nuestro newsletter y recibe en tu email todos los artículos que publiquemos en nuestro blog.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *