9 medidas de seguridad para WordPress que debes aplicar si o si

La seguridad en WordPress es muy importante, es necesario aplicar una seria de medidas para evitar problemas indeseados, como hackeos, ataques de fuerza bruta entre otros muchos problemas. En este artículo voy a explicar hasta 8 medidas que debes aplicar si o si en tu WordPress, si quieres tenerlo seguro.

Antes de entrar en materia, hay dos niveles de seguridad bien diferenciados:

  • Seguridad de tu hosting: Es importante tener un servidor seguro, por eso antes de contratar un hosting conviene revisas las características en materia de seguridad.
  • Seguridad en WordPress: Es importante tener una instalación de WordPress segura y bien mantenida, algo que depende ti,

Cambiar nombre de usuario administrador y usar distinto nombre de usuario para mostrar

Conviene aclarar que es el nombre de usuario y el nombre para mostrar. El nombre de usuario es el nombre que obligatoriamente hay asignar a los usuarios en WordPress y que forma parte de la url de autor y que no se puede cambiar en el panel de administración(pero si a través de phpyadmin) mientras que el nombre para mostrar o alias no es obligatorio pero si recomendable de usarlo es que ves como autor de las entradas, puedes ser el de usuario o otro distinto, lo recomendable es usar uno distinto al de usuario.

Lo primero que hay que hacer es evitar como usuario administrador nombres como “admin”, “administrador” y similares, y también es recomendable usar un nombre para mostrar diferente al de usuario, dejando secreto el nombre de usuario.

También es recomendable crear una contraseña segura formada por letras y números, en vez de contraseñas solo formadas por números.

No cometas el error dejar el usuario admin por defecto, es algo que tienes cambiar durante la instalación de WordPress.

Mantener WordPress, plugins y themes actualizado a la última versión

Tener nuestro WordPress actualizado a la última versión estable es algo de obligatorio cumplimiento, puesto muchas versiones corrigen bugs importantes. Y como siempre la mejor forma de actualizar es a través del propio panel de administración de WordPress.

En este aspecto hay diversidad de opiniones sobre si actualizar al mismo salir la nueva versión en español o esperar por los posibles bug que pueden aparecer.

Tambien hay tener los plugins y themes actualizados a la última versión para evitar problemas de seguridad. Y si un puign deja de recibir actualizaciones durante un largo periodo de tiempo es recomendable buscar un plugin alternativo al que se este actualizado.

Descargar plugins y themes de forma segura

A la hora de descargar plugins y themes, siempre es recomendable descargarlos desde el sitio oficial de WordPress a través del panel de administración, y nunca uses un plugin  o un theme de pago pirateado, si lo quieres usar compralo.

Borrar themes y plugins inactivos

También es recomendable borrar los plugins y themes que no usemos en lugar de tenerlos desactivados, pues aunque no esten en uso sigue ocupando espacio.

Consejo: Manten instaldos solo dos themes, el theme que tengas activo y el theme por defecto de WordPress.

Cambiar prefijo wp_ en las tabas de la base de datos

Una medida de seguridad muy recomendable es cambiar el prefijo de las tablas de la base de datos, que por defecto es wp_ . Esto es mejor hacerlo durante la instalación aunque se puede hacer con WordPress ya instalado y funcionando

Lo puedes hacer de forma manual o con cualquier plugin de seguridad que menciono en este artículo. De forma manual es muy simple, solo son dos pasos, modificar wp-config.php y cambiar el nombre de las tablas en phpyadmin.

En wp-config.php busca esta linea

y cambia wp_  por el prefijo que quieras que puede tener los caracteres que quieras.

En phpmyadmin tienes que ejecutar estas sentencia SQL

Cambia LOQUESEA por tu prefijo

Proteger archivo wp-config.php

El fichero wp-config.php es el  fichero que contiene los datos de conexión a la base de datos de tu web, por eso  es importante protegerlo.

Para eso solo es necesario añadir este código en el fichero .htaccess

Con este código el archivo wp-config.php no sera accesible a todos los usuarios, solo sera accesible para el propio WordPress.

De forma adicional puedes asignar permisos CHAMOD a 444 al archivo wp-config.php, de modo que sera un archivo de solo lectura.

Otra forma más avanzada de proteger el wp-config.php es cambiar los datos sensibles a otro archivo fuera de la carpeta public_html, si quieres saber más puedes leer este artículo de webmepresa cómo proteger el archivo de configuración wp-config.php

Proteger directorios y cambiar rutas de login y administración

Es recomendable y casi obligatorio proteger el directorio wp-admin y el fichero wp-login.php. En este apartado te voy a explicar varias formas de hacerlo.

Proteger WP-ADMIN y WP LOGIN

El directorio wp-admin es la carpeta que contiene los archivos necesarios para el acceso y funcionamiento del panel de administración, por eso debes proteger su acceso, para evitar hackeos.

También es importante la protección del fichero wp-login.

Proteger WP ADMIN con usuario y contraseña

Es la forma más segura y quizás las más radical, proteger el directorio wp-admin con usuario y contraseña, algo que puedes directamente en el panel de control de tu hosting, si es cpanel o plesk, o hacerlo de forma manual siguiendo estos pasos

Crea un archivo .htaccess dentro de WP-ADMIN  y añade este codigo

En este código /home/NOMBRECUENTA/.htpasswds/public_html/wp-admin/passwd es la ruta del archivo passwd. que contiene el usuario y contraseña encriptados

ATENCÍON   Es necesario añadir este código en el fichero .htaccess para permita AJAX para wp-admin funcione correctamente

Tambien puedes proteger el archivo wp-login.php de esta forma, desde cpanel o modificando el .htaccess principal de tu instalación de WordPress.

Restricción por IP

Este opción solo es valida si tienes IP fija, algo raro hoy en día. Podemos limitar el acceso a determinadas IP a la carpeta wp-admin, creando un fichero .htaccess dentro y añadiendo este código

Solo tienes que cambiar las “xx” por los números de la dirección IP.

Puedes aplicar este medida para el wp-login.php en el .htaccess principal de tu instalación de WordPress, añadiendo este código

Protecciónn con CAPTCHA

Otro opción más fácil de protección es mediante un capcha en el login, para prevenir ataques de fuerza bruta.

Para esto es necesario el uso de plugin como  WP Login reCAPTCHA o WP-reCAPTCHA

Cambiar urls de acceso

Otra forma de proteger el acceso a WordPress es cambiar las urls de acceso, es decir puedes cambiar www.tudominio.com/wp-admin/ a www.tudominio.com/administración/

Lo puedes hacer por .htacccess añadiendo este código

Tienes que sustuir entrar por la nueva url de acceso

Tambien puedes usar un plugin como WPS Hide Login. que genera automáticamente una nueva ruta de acceso que puedes personalizar a tu gusto. Si tienes ya instalado algún plugin de seguridad, no necesitas instalar más plugns, la mayoría de los plugins de seguridad incluyen la opción de cambiar la ruta de acceso

Plugin de seguridad y anti SPAM

Hay muchos plugin de seguridad que pueden ser útiles para tener nuestro blog WordPress protegido contra ataques de fuerza bruta y otros malwares.

Jetpack cuenta con modulo de protección contra ataques de fuerza bruta, si no usas jetpack puedes usar plugins de seguridad como All in One WP Security & Firewall, Wordfence Security o iThemes Security

Wordfence Security puede generar errores con elementor

Si quieres saber más sobre plugins de seguidad en WordPress te recomiendo estos dos artículos de Alvaro Fontela

Los 5 mejores plugins de seguridad para WordPress

10 plugins de seguridad para WordPress

Para evitar el SPAM, el plugin por excelencia es Askimet que evita el spam en los comentarios del blog ,si los tenemos abiertos a invitados. En los últimos tiempos Askimet esta perdiendo tirón frente a otros plguins como WP-SpamShield, Stop Spammers,CleanTalk,Shield Security,Antispam Bee

Si quieres saber más sobre Askimet y otros plugins anti-spam te recomiendo leer este artículo de Javier Gobea ¿Es Akismet el mejor plugin anti-spam para WordPress?

Copias de seguridad

Es recomendable y necesario hacer copias de seguridad de la base de datos y los archivos del blog, al menos de forma mensual para los archivos y para la base de datos dependiendo de la cantidad de artículos que tenga el blog y la actividad a través de los comentarios, siendo recomendable al menos un backup semanal , bien de forma manual o programada a través del panel de control del hosting o algún plugin para ello.

Aunque tu hosting haga copias de seguridad de forma periódica, haz tus propias copias, no te confíes.

Hay muchos plugins para hacer copias de seguridad, el más recomendado es  UpdraftPlus , que tiene una versión gratuita y otra de pago. Te dejo este videotutorial de Pablo Moreno en el que explica como configurar el plugin

Si quieres saber más sobre plugins para hacer copias de seguridad, te recomiendo este artículo de Alvaro Fontela,

Los mejores plugins de backup o copia de seguridad para WordPress

Conclusiones

No descuides la seguridad de tu WordPress, si no quieres llevarte sorpresas desagradables, aplica medidas de seguridad en tu web desde el primer momento.

Deja un comentario

Finalidad: Dejar un comentario sobre el artículo

Legitimación: Tu consentimiento
Destino: Tus datos se guardan en los servidores de Skylium, hosting de este blog

Derecho: Podras ejercer tu derecho a accer, modificar o eliminar tus datos