15 trucos para proteger WordPress de ataques

La seguridad en Internet está en boca de todos. No es para menos. Puede que estés pensando que tu web o blog no corre peligro. Pero no lo creas, los ataques a webs y blogs son diarios y continuos. Y lo peor de todo, cada vez más sofisticados. Nuestra obligación es conseguir la forma de aumentar la seguridad en el sistema de gestión de contenidos que tengas instalado.

Aunque la mayoría de trucos que recogemos son de aplicación exclusiva para sitios creados en WordPress otros consejos se pueden aplicar a cualquier web o blog.

Y es que infinitas horas de trabajo y cientos de euros invertidos pueden desaparecer. Posiblemente te suene el caso de Los Papeles de Panamá. Un escándalo que se produjo por no tener la web a salvo.

Sitios web como informacionyarte.com sufre ataques a diario y continuos. No podemos evitar que nos ataquen pero lo que sí podemos hacer es minimizar el riesgo.

Puedes pensar que no te va a pasar a ti, pero te sorprendería la de millones de sitios web que han sido hackeados. Pero mejorar la seguridad en Wordress no sólo debe hacerse por temas de ataques, sino también por posibles errores que cometamos nosotros.

Veamos a continuación qué podemos hacer para mantener a salvo nuestra web:

Actualizar la página web casi en tiempo real

Las actualizaciones de gestores de contenido, plugins y todo tipo de componentes que utilizamos en una página web esconden tras de sí fallos de seguridad. Así que mejor no dar tiempo a los hackers a que encuentren un agujero. Actualiza todo al momento, a diario por lo menos, es una forma de evitar ataques a una página web.

Si has instalado plugins o temas de plataformas externas como Envato, asegúrate de marcar la opción de que te avisen por email siempre que haya una nueva actualización. También puedes instalarte el plugin de Envato de forma que la actualización de los temas y plugins de esta plataforma sea más fácil. No instales plugins o temas de terceros en los que no confíes plenamente si no se encuentran en el repertorio de WordPress o en sitios como Themeforest o Codecanyon.

Evita instalar componentes obsoletos

Los cambios en Internet van a la velocidad de la luz. Por suerte la mayoría de plantillas de páginas web, plugins o cualquier otro componente suelen ser actualizados por sus creadores de forma contínua. Pero no siempre ocurre así. Si detectas que un programa, plantilla, plugin,… lleva mucho tiempo sin actualizarse lo mejor será que optes por otra opción.

Instala CDN, son gratuitos

Los CDN (Content Delivery Network) son un servicio intermedio entre servidores y páginas web. Lo que hacen es ofrecer copias de una web actuando así como una barrea de seguridad. El más conocido es Cloudflare. Aunque cuenta con opciones de pago cuenta con una versión gratuita que podrás instalar en cualquier sitio web. Si lo prefieres puedes aumentar la seguridad de tu web o blog contratando algunos de los servicios de pago.

Plantillas web de calidad, evita las gratuitas

Aunque existen muchas plantillas web hay que elegir bien cual elegir. A todos nos gusta lo gratuito, pero si la plantilla web es gratis y es de mala calidad estaremos cometiendo el mayor de los errores. Por ejemplo puedes instalar plantillas de Themeforest de calidad contrastadas por miles de usuarios. Es toda una garantía.

Plugins de seguridad para WordPress, Joomla, Pretashop,…

Todos los sistemas de gestión de contenidos cuentan con plugins o extensiones de seguridad. Por ejemplo en WordPress uno de los mejores es Ninja Firewall. Es gratuito y funciona relativamente bien. También hay una buena cantidad de extensiones de seguridad para Joomla como Brute Force Stop o AdminExile. Para los gestores de tiendas online también hay una buena colección de plugins de seguridad en Pretashop. Solo tienes que acceder a los Adoons de Pretashop y elegir los mejor valorados.

Mantenimiento de tu web

A veces pensamos que con instalar un componente ya tendremos todo hecho. Una web o un blog es en cierto modo como un vehículo, hay que realizar un mantenimiento en WordPress casi a diario o del gestor que tengas instalado.

No uses conexiones a Internet no seguras

Un error que hemos cometido todos en algún momento. Ir a un evento con el wifi gratis y conectarnos a nuestro WordPress. O a una cafetería que usa una conexión no segura. Los datos que enviamos por esas conexiones no son seguros y pueden ser interceptados por un hacker. Y así perderíamos el acceso a nuestra cuenta. No lo hagas.

Elegir una contraseña muy segura

El sitio de este amigo fue hackeado porque su contraseña era algo del estilo sunombre123. Se puede programar un bot para que intente iniciar sesión en tu sitio de WordPress de manera automática de manera reiterada hasta que lo consigue. Ni te imaginas la de sitios web que utilizan combinaciones del nombre de la pareja, el hijo, el perro o el gato con el año de nacimiento… No hagas eso, es muy fácil hackear un sitio así. Hace un tiempo publicamos un curioso artículo que puede venir como anillo al dedo. Se trata de una herramienta para evitar que averiguen tu contraseña.

Cambia de contraseña de vez en cuando

No basta con tener una contraseña segura. De vez en cuando hay que modificarla. Además asegúrate que todos aquellos que tienen acceso a la web tienen una contraseña segura y la modifican cada cierto tiempo.

No utilices el nombre de usuario admin

Otro error de lo más típico. El 90% de los sitios web construidos en WordPress tienen como nombre de usuario admin para el administrador. Estas máquinas de las que hablaba que intentan acceder de manera automática y fraudulenta a tu sitio web lo hacen utilizando el usuario admin. En una ocasión me encontré con un ataque con más de 17.000 intentos de acceso desde una misma IP en 12 horas. No lo consiguió porque el usuario no era fácilmente deducible y la contraseña era muy segura, pero en otro caso al final lo habrían conseguido.

Limita el número de intentos de acceso

Cuando sucedió lo que comentaba en el punto anterior, con miles de intentos de acceso en pocas horas, lo primero que hice fue instalar un plugin que limitara los intentos de acceso erróneos al panel de administración. Uno de los mejores plugins gratuitos para limitar los intentos de acceso con User Acess Manager. Se puede configurar, de modo que tú decides el número de intentos permitidos antes de que bloquee a la IP en cuestión.

Muestra tu nombre y cambia la ruta de tu perfil

Existen dos maneras de saber el nombre de usuario que se utiliza para iniciar sesión en WordPress. Una es cuando la persona en su perfil no cambia el que se muestre su ID por su nombre.  Si no se cambia esto, lo que sucede es que cada vez que escribes un artículo, como autor figura tu ID de WordPress en lugar del nombre que escojas:

Además de ocultar el ID de usuario, también es necesario cambiar la ruta a nuestro perfil. En WordPress por defecto es esta:

http://www.ejemplo.com/author/username/

Es tan fácil como mirar la ruta e intentar iniciar sesión con este usuario. Hay muchas maneras de hacerlo, si tienes conocimientos técnicos lo mejor es que modifiques el código de tu tema de WordPress, en otro caso puedes instalar un plugin como WP Author Slug.

Comprobar la calidad de los enlaces

La calidad de los enlaces en una web es importante. Tanto los entrantes como los salientes. Antes era importante la cantidad de enlaces, ahora lo que interesa es que sean de calidad. Para revisar la calidad de los enlaces a una web la mejor herramienta es Ahrefs. Es de pago. Si lo prefieres siempre puedes acudir a Google Search Console y ver enlaces a tu web que te resulten sospechosos y que procedan de webs de dudosa calidad.

Una vez tengas identificados los enlaces perjudiciales envía una solicitud a los webmasters de esas webs para que los eliminen. Si no es así puedes pedir a Google que no los tenga en cuenta a través de Google Search Console.

Haz copias de seguridad de manera regular

En el caso del amigo que comentaba perdió toda su web porque en ningún momento habían hecho una copia de seguridad. Hay muchas maneras de hacerlas, desde con un plugin a de manera manual, incluso lo puedes contratar a muchos servidores, pero como mínimo deberías hacer una copia de seguridad cada semana, y si es un sitio con mucho movimiento, entonces una vez al día. Si no sabes cómo hacer una copia de seguridad en el artículo enlazado te lo explicamos.

Cuidado con el Spam

Uno de los problemas que toda web suele tener son los ataques de spam. Los spammers son cada vez mas sofisticados hasta el punto que pueden hacer miles de comentarios en miles de páginas web en solo unos segundos, incluso comentarios que a priori pueden parecer hechos por personas.

En WordPress siempre puedes acudir a plugins como Akismet mientras que otra opción es poner una clave (conocido como Captcha) a los comentarios para evitar los abusos. El spam puede sobrecargar la web o hacerla caer si se trata de un ataque masivo.

Para acabar…

Trabajar en WordPress tiene muchas ventajas. Una buena curva de aprendizaje, un alto grado de personalización, un buen soporte de la comunidad online y gran cantidad de recursos. El problema es que es fácil exponerse a fallos de seguridad. En este artículo hemos visto algunos trucos para aumentar la seguridad de WordPress sin conocimientos técnicos. Te animo ahora a compartir este post en las redes sociales y a dejar un comentario.