Cómo mejorar la seguridad de tu web WordPress

Hablar de páginas web y de WordPress es hablar prácticamente de lo mismo. Hoy en día, 1 de cada 3 sitios que existen a nivel mundial se basa en este gestor de contenidos, y la cifra va creciendo.

Esto quiere decir que cualquier persona o empresa que quiera abrirse paso en internet y tener su propia página situará a WordPress entre sus prioridades. También significa que los cibercriminales ya han puesto esta herramienta entre sus objetivos y hacen todo lo posible para buscar resquicios por los que colarse y aprovecharse de webs vulnerables, causando a las víctimas graves perjuicios económicos y de reputación.

La seguridad web es una preocupación real. Todo indica que los delincuentes van a perseverar en su actividad durante los próximos años. Pero el hecho de que ellos lo intenten no implica que esté todo perdido para ti. Para mantener las amenazas bajo control, existen soluciones prácticas como actualizar WordPress a la última versión. Si usas versiones antiguas o, por ejemplo, descargas contenido de páginas no oficiales, confías en la cuenta admin o configuras contraseñas débiles, estarás cometiendo error tras error. No puedes dejar la puerta abierta al hackeo.

Actualizar, actualizar y actualizar

Webempresa, una empresa que ofrece servicio de hosting desde hace dos décadas y que está especializada en WordPress, recomienda empezar por actualizar la web WordPress cada vez que esté disponible una nueva versión para minimizar los riesgos a los que te expones. Esto se puede hacer directamente desde el panel de administración de la página, de forma manual o automática, y siempre tras haber completado una copia de seguridad con la que cubrirte las espaldas.

De hecho, lo más inteligente es hacer backups periódicos. Proveedores de hosting como Webempresa realizan estas copias, pero no vendrá mal que tú hagas copias a mayores cada vez que actualizas la versión de WordPress o cuando realizas cambios, con el soporte de un servicio en la nube o en cuentas FTP. Esto evita que el contenido se pierda si se producen fallos inesperados.

Las versiones más recientes del software no solo te ofrecen funcionalidades extra y mejoras de funcionamiento. Introducen correcciones de seguridad tanto para WordPress en general como para sus característicos plugins, que también habrá que actualizar para prevenir agujeros. La mayoría de los ataques a WordPress llegan a través de los plugins, por eso es mejor limitar su uso. Es decir, activa únicamente los imprescindibles y desinstala los que se hayan quedado en desuso con el paso del tiempo.

A la hora de elegir plugins, recurre a un sitio confiable. Esto es, a la selección de la página oficial, a los resultados del buscador en la administración de WordPress o a los sitios de los desarrolladores de plugins de pago, prestando especial atención al número de instalaciones y huyendo de torrents, gestores de descargas y páginas desconocidas con ofertas sospechosas. Para probarlos, hazlo sobre un entorno de desarrollo o en local y no en la web definitiva.

De igual modo, hay que tener cuidado con los temas. Quédate con uno que proceda del directorio de wordpress.org o de los sitios de sus autores, nunca de gestores de descarga ni de páginas sospechosas. Procura pasarte también a la versión más actual de los temas.

Ojo con los permisos de administrador

Otra pauta que aporta Webempresa para optimizar la seguridad de una web WordPress consiste en sustituir el usuario admin por un usuario con privilegios de administrador capaz de gestionar la página. Así, si un tercero no autorizado quiere entrar en la administración de la web, no solo tendrá que adivinar la contraseña, sino que necesitará el nombre de usuario que utilizas para llevar a cabo esta tarea.

Para que la contraseña no resulte fácil de averiguar, el truco está en mezclar letras en minúscula y mayúscula, números y símbolos en una secuencia de al menos 12 caracteres. Para cada acceso (administración, webmail, panel de control del hosting…) conviene crear una contraseña diferente. Recurrir a formularios de autenticación con CAPTCHA, la verificación en dos pasos y un gestor de contraseñas como el de CiberProtector te ayudará a reforzar aún más el acceso.

Y, dado que los hackers suelen aplicar ataques de fuerza bruta para entrar donde nadie los ha invitado, combinando todos los nombres de usuario y contraseñas que se les pasan por la cabeza, lo ideal es limitar los intentos de conexión fallidos desde la misma dirección IP. En cuanto a las tentativas legítimas, deberían hacerse por cable y no por wifi, especialmente si solo se tiene a mano una conexión inalámbrica pública. O, en todo caso, deberías instalar una VPN. Lo que no se recomienda es navegar a través de un proxy.

Sobre las distintas cuentas de usuario que se llegan a acumular en las webs de WordPress, como administrador tienes que ser consciente de los riesgos, concederles privilegios mínimos y hacer cribas periódicas, borrando aquellas que no se utilizan.

Un hosting profesional

Una medida de defensa especialmente útil es la de ocultar la versión de WordPress que se está empleando para que nadie sepa cuáles son las vulnerabilidades concretas que se podrían explotar. Esto es algo que se consigue modificando el código. Asimismo, es aconsejable instalar un certificado SSL.

Por último, Webempresa anima a auditar WordPress con herramientas de verificación. La propia Webempresa ofrece análisis gratuito vía WP Doctor, que te alerta sobre versiones obsoletas del gestor y de sus plugins, oculta información que está al descubierto y revisa la protección del acceso de administrador. Por supuesto, el equipo informático que se usa para los accesos también debe blindarse con un sistema operativo, un navegador y soluciones antivirus a la última.

Todo esto, combinado con un servicio de hosting profesional que entregue seguridad a nivel de servidor, proteja las bases de datos, evite listados de directorios e indagaciones sobre PHP, frene ataques de denegación de servicio, monitorice en tiempo real, aisle por cuenta de alojamiento y aplique medidas preventivas, es lo que mantendrá tu WordPress a salvo.