Básicos para la Seguridad de Tu WordPress
|Hace unas semanas el tema de la seguridad de WordPress estuvo sonando mucho por el llamado “Ataque brutal a WordPress“, trate de estar al tanto de lo sucedido, sin embargo la parte técnica no es mi fuerte y algunas de las recomendaciones que encontré parecían en otro idioma para mí. Así que tomé prestadas las recomendaciones de seguridad generales que ayudaran a disminuir la probabilidad de que tu Web sea victima cibernética (en cursivas y paréntesis mi aporte).
- Debes mantener un PC o laptop limpio. Con actualizaciones automáticas activadas en caso de Windows.
- Utiliza software antivirus y firewall conjunto – que analice también el tráfico wifi. Condición: actualizados diariamente de forma automática. (Aunque no lo creas si no tienes antivirus y firewall en tu computador, puedes contagiar a tu Web cuando la administras – también es un riesgo administrar nuestra web desde conexiones wifi publicas- los datos pueden ser públicos)
- Registra tu dominio en un agente acreditado. Aloja tu dominio en un hosting seguro, fiable y que te asegure que ha adoptado las medidas de seguridad necesarias – actualizaciones del sistema frecuentes, instalación de módulos de seguridad, antivirus y firewall.
- Suprimir el usuario ADMIN (si este el usuario con el que ingresas, lo que tienes que hacer es crear un nuevo usuario desde la admon de WP(Usuarios) que sea también administrador, luego salir e ingresar con los datos del nuevo usuario; ir a usuarios y eliminar al usuario admin. Como este usuario es autor de las entradas y paginas, debes asignar la autoría al nuevo usuario. Y listo – Lo explicaré en otro artículo).
- Asignar una contraseña fuerte, entre 15-20 caracteres ya es suficiente, pero que contenga números, símbolos y alternar minúscula y mayúscula.
- Actualiza siempre a la última versión de WordPress, así como todos los plugins que lo requieran. Haz una copia de la base de datos y del contenido antes, ya que pueden darse incompatibilidades en muchas ocasiones (ver recomendaciones para actualizar).
- Instala plugins antispam (Sugerencias: akismet + API Key, spam free)
- Complementa los formularios de contacto con captcha (Si usas Contact Form 7 compleméntalo con Really Simple Captcha).
- Instala un plugin para respaldar WordPress. Sugerencia: WP-DB Manager, WP-DB Backup, Backup Creator. La mayoría de éstos permiten salvar y recuperar base de datos, localmente y en otros sitios como Amazon S3 o Dropbox. Además, son capaces de activarse mediante Cron para que puedas programar el horario de tus copias.
- Haz una copia de seguridad de tu blog mínimo 1 vez a la semana, dejando las 3 últimas copias que se han realizado últimamente. Las copias nunca las dejes en el mismo repositorio o en otra carpeta del propio hosting, tienen que externalizarse (otro ftp, vía cloud storage o por e-mail y descarga a local).
- Actualizar las últimas versiones de WP Super Cache y W3TC ya que las versiones anteriores poseen una grave vulnerabilidad.
- Refuerza el blindaje de fuerza bruta con uno de estos 2 plugins: Limit Login Attemps o Login Lockdown, que limitan el numero de intentos para acceder a tu WP (si eres usuario único de Web es una buena opción, si es una zona de clientes no lo recomiendo, lo probé por unos días y llegaban solicitudes de soporte porque no podían ingresar, incluso me paso a mí).
- Cuidado con el plugin Social Media Widget, está siendo utilizado para inyectar correo no deseado en los sitios web.
- Otros plugin sugeridos en foros son “Antivirus” y “6Scan Security”.
8 comentarios
Hola Caro!! gracias por esta información.
Hola Caro, siempre es bueno asegurarse que estás cumpliendo con los requisitos de seguridad. He revisado mi blog de wp y al parecer cumplo con todos los que mencionas.
Un abrazo,
-Nelson
Muy buen artículo, principalmente oportuno. Gracias Carolina
Hola Caro, ¿cuál plugin recomiendas para reemplazar Social Media Widget?
Hola Jorge, gracias por tu visita y comentario. Sobre tu pregunta realmente se puede hacer con plugin pero prefiero hacerlo tomando directamente los códigos desde Facebook (https://developers.facebook.com/docs/plugins/) y Twitter (https://twitter.com/about/resources/buttons) – Otra opción es buscando iconos sociales gratuitos (48×48) y colocarle en enlace hacia tus perfiles sociales. Entre menos plugins mejor, prefiero un plugin social que aporte viralidad en los contenidos, como Tweet, Like, Google +1 and Share (http://wordpress.org/extend/plugins/only-tweet-like-share-and-google-1/). Espero que mi opinión te sea útil. Te deseo muchos éxitos.
muchas gracias Carito ya lo hize, saludos desde chile!!!
P.D SIEMPRE ESTOY AL TANTO DE TUS ARTICULOS ME SIRVEN DE MUCHO.
SALUDOS!
Suprimir el usuario ADMIN (si este el usuario con el que ingresas, lo que tienes que hacer es crear un nuevo usuario desde la admon de WP(Usuarios) que sea también administrador, luego salir e ingresar con los datos del nuevo usuario; ir a usuarios y eliminar al usuario admin. Como este usuario es autor de las entradas y paginas, debes asignar la autoría al nuevo usuario. Y listo – Lo explicaré en otro artículo).
si elimino este usuario Admin los articulos realizados anteriormente con este nombre de usuario se eliminarian??
Hola Andrés, Gracias por dejar tu pregunta. Cuando haces click en Borrar (usuario admin) te aparecerán dos opciones 1. Borrar todos las entradas y enlaces creados por admin 2. Atribuirle todas las entradas y enlaces a — (seleccionas al nuevo usuario) – es la segunda opción la que debes escoger y Confirmas que deseas borrar al usuario admin. Espero esto sea útil para ti.