Blog

Seguridad en WordPress

WordPress es uno de los CMS más utilizados en la actualidad. Vamos a ver algunas opciones para hacerlo más seguro y evitar algún que otro disgusto y alguna «visita» inesperada.

Estos consejos van desde plugins que te ayudan a la gestión de la seguridad como a prácticas poco recomendadas para llevar a cabo.

 

Tener WordPress y los complementos que tengamos instalados en la versión más actualizada posible.

 

Parece algo trivial, pero no lo es. Los últimos ataques a plataformas WP han venido por agujeros de seguridad en la propia base. Por ello es muy recomendable tener siempre la última versión que nos ofrecen de manera oficial, en el apartado de actualizaciones de nuestra web. Además de esto, es recomendable que los plugins estén actualizados por la misma razón, ya que normalmente son parte muy necesaria tanto en infraestructura como en la visualización de nuestra página.

En resumen, intentar actualizar en la medida de lo posible a la última versión que nos ofrecen.

 

Plugins de seguridad.

 

En este aspecto podría extenderme infinidad, pero voy a resumir a los que recomiendo para un uso normal de una web.

Wordfence – Con este complemento podremos tener una medición de visitas (reales, de bots o incluso accesos y des-conexiones) para llevar la cuenta de quién nos visita y desde donde. Este último aspecto es muy importante, ya que si comienzas a tener un tráfico excesivo desde países poco amigables para páginas, puedes bloquear ciertas regiones para que no te saturen la web (lo cuál o eres premium o lo solucionaremos con otro plugin). Además, puedes bloquear IP’s que intenten acceder a partes no públicas de la web o acceder a la parte de gestión.

Move Login – Este plugin es la primera opción para poder cambiar URLs (junto con el siguiente). En este caso podemos cambiar las direcciones de acceso, salida, cambio de contraseña y recuperación de la misma. Es un plugin bastante completo si queremos modificar todos estos aspectos para aumentar nuestra seguridad en wordpress. Como extra, tenemos la opción de bloquear el wp-login y de ocultar el panel de wp-admin si no hemos accedido con nuestro usuario.

Lockdown WP Admin – Este plugin nos cambia la dirección de acceso de nuestro wordpress. Parece algo innecesario, pero al tener todos los wordpress la misma url de acceso, todos los intentos de entrar al panel de gestión se van a intentar en «****.com/wp-admin». Al cambiar esta dirección, nos evitamos que todos esos intentos se vayan a una dirección que no existe y no afecte a nuestros accesos.

IP Geo Block – Este es un plugin complementario al primero que hemos visto, ya que con él podemos bloquear países propensos a hacer ataques a webs. Es bastante sencillo. Simplemente añadir el código de los países (viene la lista con los códigos oportunos) y listo. Desde esos países no se podrá acceder a nuestra página. Como dato curioso, puedes personalizar la respuesta que dará la web a esas peticiones: el típico 404 Not Found ó 500 Internal Server Error.

Más recomendaciones.

 

Mantener, en la medida de lo posible, el menor número de usuarios con máximo privilegio (administradores). Al final, si tu web tiene distintos usuarios, no puedes pedir ni controlar que utilicen contraseñas súper seguras. De esta manera, si cada usuario tiene el nivel de acceso que necesita, aunque les roben la contraseña, no podrán acceder a ajustes de más nivel que el suyo.

 

A raíz de la anterior, siempre usar contraseñas que wordpress marque como seguras. Cuando el nivel de seguridad es bajo o medio te avisa para que no la utilices. Es buena opción dejar predefinido el no poder usar contraseñas de nivel bajo, ya que evitamos contraseñas típicas (12345, abcde, password, pass+año, etc) y ponemos más difícil el robo de las mismas.

 

 

Espero os sirvan de ayuda.

Cualquier duda, dejad un comentario!