Tutorial de Seguridad de WordPress

Aprende a mejorar la seguridad de tu sitio WordPress

WordPress es el sistema de CMS y blog mas popular, lo que le convierte en un objetivo favorito para los hackers. Tener un sitio WordPress implica hacer un esfuerzo extra para proteger tu contenido y los datos de tus visitantes. A continuación veremos un resumen de las mejores prácticas de seguridad para WordPress, que te ayudarán en esta tarea. Es importante mencionar que estas medidas no garantizan al 100% la protección contra los intentos de hackeo, principalmente por que no existen webs 100% seguras, pero si te protegerá de la mayoría de ataques contra la web.

Mantén tu sitio WordPress y sus plugins actualizados

Es muy importante mantener los archivos del core de WordPress así como todos los plugins actualizados a su última versión. La mayoría de WordPress nuevos y versiones de plugins contienen parches de seguridad. Incluso cuando esas posibles vulnerabilidades son difíciles de explotar, es importante solucionarlas.

Para obtener mas información sobre el tema, échale un vistazo a nuestros tutoriales sobre cómo actualizar WordPress y cómo usar la actualización automática de WordPress.

Protege tu Area de Administrador de WordPress

Es importante restringir el acceso al área de administrador de WordPress sólo para personas que necesiten acceder a él. Si tu sitio no soporta el registro o la creación de contenido desde la parte pública de la web, no deberían tener acceso a tu carpeta /wp-admin/ ni al archivo wp-login.php. Lo mejor que puedes hacer es consultar cuál es tu IP local (puedes verlo usando un sitio como whatismyip.com) y añadir estas lineas en el archivo .htaccess de la carpeta admin de tu WordPress reemplazando xx.xxx.xxx.xxx por tu IP local:

En caso de que quieras permitir el acceso desde varios ordenadores (como tu oficina, casa, laptop, etc) tan solo tienes que añadir otra linea Allow from xx.xxx.xxx.xxx en el .htaccess con la IP de cada uno de los equipos.

Si quieres poder acceder a tu área de administrador desde cualquier dirección IP (por ejemplo, si de forma habitual usas redes Wi-Fi abiertas o gratuitas), el hecho de restringir el acceso a una o varias IPs puede ser un inconveniente. En esos casos te recomendamos limitar el número de intentos erróneos de acceso a tu sitio. De esta forma protegerás tu equipo de ataques de fuerza bruta y gente que intenten averiguar tu contraseña. Para ello puedes usar el plugin llamado WP Limit login attempts.

No uses admin como nombre de usuario

La mayoría de atacantes asumirán que tu nombre de administrador es "admin". Puedes bloquear gran cantidad de ataques por fuerza bruta u otros ataques usando un nombre de usuario-administrador distinto de admin. Si estás instalando un nuevo WordPress, durante el proceso de instalación te pedirá el nombre de administrador. Si ya tienes un sitio WordPress, puedes seguir las instrucciones de nuestro tutorial sobre cómo cambiar tu nombre de usuario en WordPress.

Usa una contraseña segura

Hay cientos de personas que usan contraseñas como "contraseña" o "123456" para los datos de acceso al área de administrador. Ni que decir tiene que este tipo de contraseñas se pueden sacar muy fácilmente y están en lo más alto de cualquier diccionario de ataques. Un buen truco es usar una frase completa que tenga sentido para ti y que puedas recordar fácilmente. Ese tipo de contraseñas son muchísimo más seguras que una simple palabra.

Asegúrate de que tu ordenador está libre de virus y malware

Si tu ordenador está infectado con un virus o un software con malware, un atacante potencial puede obtener acceso a tus datos de acceso y iniciar sesión en tu sitio, saltándose todas las medidas que has tomado hasta el momento. Por eso es muy importante tener un antivirus actualizado y mantener el nivel de seguridad de todos los ordenadores desde los que accedas a tu sitio WordPress a un nivel alto.