Skip to content

¿Cómo mejorar la seguridad de WordPress?

Alejandro Frades | Actualizado en:
Seguridad WordPress Modular

Podemos decir y decimos que WordPress es un software seguro. Sin embargo, que sea el CMS más usado del mundo hace que también sea muy apetitoso para los hackers que quieren apoderarse de sitios web o tiendas online.

Por esta razón la seguridad de WordPress es algo muy importante para los profesionales del sector web.

Pero también hay que tener en cuenta que problemas de seguridad como no tener un SSL puede perjudicar el posicionamiento SEO de una página

Realizar prácticas para mejorar la seguridad de WordPress es una de las acciones más importantes de un buen mantenimiento web una vez que se ha lanzado en producción.

No solo se trata de corregir problemas, si no de evitarlos y reducir los riesgos al máximo. Todos hemos oído de algún negocio al que le han hackeado su página de WordPress y, en el mejor de lo casos, han tenido que rehacerla.

¿Qué es la seguridad WordPress?

Como hemos comentado, aunque WordPress tiene un sistema de seguridad muy sólido, hay que tener en cuenta que se usa en un 40% de todas las webs del mundo. Lo que lo convierte en un objetivo claro de los ciberdelincuentes a la hora de aprovechar vulnerabilidades.

Además, el hecho de que existan tantos miles de temas y plugins de diferentes desarrolladores hace imposible que se mantengan los mejores estándares de seguridad en todos ellos.

Y te preguntarás a qué nos referimos con seguridad WordPress. Pues hacemos referencia a todas aquellas prácticas adicionales para proteger nuestras páginas web, con el objetivo de reducir riesgos y evitar vulnerabilidades que debiliten nuestra plataforma.

¿Qué hacer para mejorar la seguridad en WordPress?

Quizá tienes dudas sobre lo que tienes que hacer para mejorar la seguridad de tu página web creada con WordPress.

Pero para eso estamos nosotros. Para arrancarlas de cuajo.

Vamos a ver repasar algunas de las prácticas más importantes que nos pueden ayudar a mejorarla.

#1 Actualiza WordPress, temas y plugins periódicamente

Hay que partir de la base de que tanto WordPress como sus temas y plugins se actualizan regularmente. Bien para incorporar nuevas funcionalidades o para resolver precisamente fallos de seguridad.

Por este motivo, es fundamental mantener actualizada tu web.

Si te hackean por no haber hecho una actualización de un plugin, el desarrollador te dirá que él ya había corregido el fallo y que si hubieses actualizado no te habría pasado. Y no queremos llegar a esa situación.

Si eres de esos profesionales que tienes muchos sitios web a su cargo y todas sus actualizaciones te suponen un gran dolor de cabeza, debes saber que con Modular puedes gestionar todas tus webs de WordPress desde el mismo sitio, pudiendo actualizar todos los plugins y temas en un único dashboard.

#2 Utiliza contraseñas seguras y robustas

La mayor parte de hackeos se producen a través de contraseñas robadas. Por ello, es imprescindible emplear contraseñas complejas que reduzcan el riesgo al mínimo.

Suele ser recomendable usar números, letras mayúsculas y minúsculas e incluso algún caracter especial.

Pero ojo, no solo para tu cuenta de WordPress, si no también para el servidor en el que tienes la web, para tus cuentas de correo, etc…

Quizá por la dificultad de recordar este tipo de contraseñas, no te parezca la opción más idónea. Pero es primordial. Y siempre puedes usar un gestor de contraseñas como LastPass, que te permitirá incorporar en tu cuenta todas las contraseñas y así evitar olvidos innecesarios.

#3 Contrata un hosting seguro

El alojamiento es uno de los elementos más importantes si quieres tener una seguridad óptima en tu sitio web de WordPress (además de un buen rendimiento).

Es clave que analices qué es lo que ofrece cada uno de ellos a la hora de elegir un proveedor.

Aquí tienes algunos consejos básicos a tener en cuenta:

  • Los servidores compartidos son menos seguros (también baratos) que los servidores dedicados o VPS. Siempre recomendamos los segundos.
  • Un buen servicio de soporte técnico de tu empresa de hosting te da una gran tranquilidad en caso de problemas.
  • La empresa de hosting que contrates debería tener implantadas medidas de seguridad a nivel de software y hardware.
  • Los cortafuegos (firewall) y sistemas de detección de intrusos en el servidor son también buenas medidas de seguridad.
  • Siempre busca proveedores que te ofrezcan algún tipo de backups. Nunca hay demasiadas.

En España hay muchos de calidad y que cumplen con estas medidas de seguridad. Si además están especializados o tienen planes específicos para WordPress, mucho mejor.

#4 Programa copias de seguridad en WordPress

Las copias de seguridad son el elemento principal para mantener tu sitio web a salvo. Si tu página se cae o es hackeada, la copia de seguridad será la manera de recuperar los contenidos.

Hay que tener en cuenta que es importante que sean periódicas, puesto que si sólo realizas una cada mucho tiempo, sólo recuperarás la información de la última vez que la realizaste. Cuando una web de WordPress está en constante cambios. Tanto con sus contenidos como con las actualizaciones que hemos hablado antes.

Hay múltiples plugins que te permiten realizar estos backups, unos gratuitos y otros de pago. No obstante, lo más importante es saber cuántas copias de seguridad y con qué frecuencia te permiten hacer.

Lo ideal sería que hagas una a la semana. Una al día en caso de ecommerce. Y mínimo, una al mes para cualquier tipo de web.

#5 Limita los intentos de login

Un tipo de ataque muy común en WordPress es el de fuerza bruta para adivinar los logins. Se trata de bots que intentan entrar contínuamente probando diferentes contraseñas hasta que encuentran la correcta.

Si, aunque parezca mentira hoy en día “contraseña” y “1234” siguen siendo las claves más usadas del mundo.

Para limitar estos intentos de login puedes usar alguno de los siguientes plugins: WP Limit Login Attemps o Limit Login Attempts.

#6 Utiliza temas de WordPress de confianza

En muchos casos, es posible que te encuentres con temas más baratos de lo normal, esto puede deberse a que no estén autorizados. Puede ser muy atractivo encontrar temas por 5-10$, pero es posible que suponga serios problemas de seguridad o incluso de incompatibilidades con plugins, por ejemplo.

Muchas veces estos temas han sido producto de un hackeo, de modo que lo venden más barato con lo que esto puede suponer.

Para evitar estos problemas, es importante elegir un tema del repositorio de WordPress o de empresas y profesionales conocidos. Que esté creado por desarrolladores de confianza y que ofrezca un servicio de soporte si surge cualquier problema.

#7 Instala un certificado SSL

Una de las cosas más básicas que toda web debe tener hoy en día.

Este certificado es un protocolo de transferencia de datos que realiza un cifrado de la información intercambiada entre el sitio web y los visitantes. Esto evita ataques que permitan robar datos e información relevante.

Además, es importante saber que no tener este certificado hará que Google te penalice en términos de posicionamiento SEO. Y que muestre un aviso de que tu web no es segura (con la consiguiente pérdida de confianza y credibilidad por parte de los usuarios).

La mayoría de empresas de hosting suelen ofrecer un SSL gratuito de Let’s Encrypt que es perfectamente válido para la gran mayoría de webs.

#8 Elimina plugins y temas que no utilices

Ya lo decían nuestras madres. Si no lo necesitas, lo tiras o lo das.

Mantener plugins o temas que no estás usando instalados en tu sitio de WordPress puede ser perjudicial, sobre todo si no están actualizados.

Así que, para ahorrarte problemas, ¿por qué no haces caso a las madres y los tiras a la basura?

Es tan sencillo como analizar si los utilizas o no y consecuentemente eliminarlos tanto en el apartado de temas como en el de plugins.

#9 Cambia el prefijo de la tabla de la base de datos de WordPress

Todas las tablas de la base de datos de WordPress empiezan con “wp_” cuando realizas una nueva instalación del software.

Si estás instalando WordPress desde cero, es recomendable que lo cambies (si tienes los conocimientos adecuados) por otra combinación de letras al azar.

Si no sabes cómo hacerlo, plugins de seguridad de WordPress como All In One WP Security ofrecen la funcionalidad de cambiar el prefijo una vez creada la web.

#10 Oculta la versión de WordPress en el código

Otro detalle un poco técnico.

Eliminar el número de versión de WordPress del código fuente de tu sitio web puede ayudar a prevenir ataques en línea antes hackers que estén buscando versiones concretas en las que hay vulnerabilidad conocidas a explotar.

Si su versión no es la más actual y además lo indicas en el código estás arriesgándote demasiado.

Y por desgracia WordPress por defecto muestra la versión en todas las webs.

Puedes quitar este fragmento de código modificando el archivo functions.php de tu tema. O si no quieres complicarte con temas técnicos usando un plugin de seguridad como All In One WP Security o WP Hardening.

#11 Cambia la url de acceso al admin de WordPress

Todas las instalaciones de WordPress utilizan la misma URL por defecto para acceder al panel de administrador.

nombredetuweb.com/wp-admin

Por lo tanto, que los bots la encuentren para hacer ataques de fuerza bruta como los que hemos comentado anteriormente probando millones de contraseñas hasta dar con la correcta, no es complicado.

Por suerte existen muchos plugins de seguridad (algunos ya mencionados) que te permiten cambiar esta url de acceso por otra personalizada que solo conozcas tú.

#12 Desactiva la edición de archivos desde el panel de WordPress

Dejar la opción de editar archivos del tema y plugins desde el panel de administración puede ser un riesgo si alguien consigue acceder a tu cuenta. Para evitarlo, puedes desactivar esta función añadiendo la siguiente línea al archivo wp-config.php:
define( 'DISALLOW_FILE_EDIT', true );

#13 Revisa los permisos de archivos y carpetas

Es importante asegurarse de que los archivos y carpetas de tu sitio web tengan los permisos correctos. Unas configuraciones comunes y seguras son:

  • Archivos: 644
  • Carpetas: 755
  • Archivo wp-config.php: 440 o 400

Esto ayuda a prevenir que usuarios no autorizados puedan realizar cambios en los archivos de tu web.

Conclusión

Como hemos visto, si queremos que nuestro sitio web esté libre de ataques, controlar la seguridad de WordPress es fundamental. Y para ello tenemos muchas acciones que llevar a cabo.

Y ojo, que las que hemos visto aquí son solo algunas de las que consideramos más básicas e importantes. Si sigues profundizando en el tema encontrarás muchas más.

Todo esto hace que la seguridad de WordPress sea también una de las tareas más tediosas, pero merece mucho la pena si tu página web es una de tus principales fuentes de negocio o si ofreces servicios de diseño web y lo último que quieres es que hackeen a uno de tus clientes (con la pérdida de reputación que te supondrá y el tiempo que llevará arreglarlo).

En Modular somos conscientes de esta problemática y en nuestro afán por automatizar todos los procesos e incrementar la eficiencia, dentro de muy poco se podrá realizar copias de seguridad de todos los sitios web de WordPress desde el mismo panel de control. Además de contar con un check automático de seguridad que te avisará si sufres alguno de los problemas más frecuentes que puedes tener.

Así que te animamos a que te registres y vayas probando una nueva forma de gestionar tus webs y a tus clientes.

Alejandro Frades marketing specialist Modular
Autor
Alejandro Frades
Marketing Specialist
La mente detrás de los contenidos sociales de Modular. Siempre al tanto de las últimas tendencias para aprovecharlas y hacer que el mundo digital sea más ameno y entretenido.

Suscríbete a nuestra Newsletter sobre el mundo web