Una de las preocupaciones más frecuentes en Internet, bien como consumidores o como empresas, es la seguridad de las páginas Web en WordPress.
Que se presente un problema de seguridad en nuestra página Web WordPress frente a virus o malware puede llegar a ser tan grave como, por ejemplo, que se filtre información confidencial de nuestros usuarios Web y que, a su vez, éstos nos demanden por daños y perjuicios tanto a su patrimonio como a su persona; la seguridad no es ningún juego ni nada que deba ser tomado a la ligera.
Más allá del riesgo que se presenta como usuario de una página Web, existe el riesgo a perder todo por lo que hemos trabajado tanto durante tanto tiempo. Si alguien llega a tener acceso a nuestra cuenta de administrador de la página Web en WordPress, puede llegar a ser tan grave como que desaparezca el sitio Web por completo, o que secuestre la página Web y que nos pida una recompensa por el acceso. Sé que puede sonar a fantasía, como algo que no pasa en la realidad, pero llega a ser mucho más común de lo que puedes imaginarte.
Ya lo dije, la seguridad no es un juego, y si bien los gestores de contenidos (Content Management System, CMS, en inglés) como WordPress son una excelente opción para montar una página Web con mucha facilidad, también es cierto que son los más estudiados a nivel de seguridad; los piratas informáticos – hackers – están esperando el más mínimo error para causar estragos. Esto te lo podemos asegurar nosotros como empresa de diseño y desarrollo web WordPress; nos han llegado empresas a nuestro estudio con auténticos dramas y realmente desesperados, porque su diseñador Web no tomó las medidas de seguridad necesarias.
¿Por qué alguien estaría interesado en causar el caos en una página Web en WordPress? Porque pueden; a veces, aquellos que se dedican al pirateo de páginas Web – hacking – solo realizan sus acciones para demostrar que ellos pueden causar todo el daño que quieran.
¿Significa que debes dejar de utilizar WordPress en mi página Web? No, para nada, si bien WordPress es uno de los gestores de contenidos más vigilados, también es cierto que es uno de los que toma mayores medidas de seguridad. También debo decirte que, si tu página Web WordPress no es muy grande, ni atiende a un nicho muy importante, puede que no seas tan atractivo para ser pirateado (hackeado); en ese caso quédate más tranquilo :-)
Sin dudas, independientemente de las probabilidades, debemos hacerle frente a este problema de la seguridad en páginas Web WordPress y es de eso que te vengo a hablar hoy.
Recuerda que desde Xplora ofrecemos planes de mantenimiento, actualización y mejora de páginas Web WordPress; ¡blindaremos tu página Web y haremos que sea infranqueable para cualquier pirata informático o hacker!
Hay consejos de seguridad que debiste haber tomado antes de poner tu página Web WordPress en funcionamiento, acciones que debiste hacer después de instalar WordPress en tu servidor Web. Pero también es cierto que aun puedes realizar una de estas acciones para que estés más seguro.
Crear una base de datos con contraseña segura
Te digo esto porque solemos ser muy evidentes a la hora de nombrar las bases de datos de nuestro WordPress. Por lo tanto, te invito a que utilices por ejemplo un generador de contraseña como random.org, para que sea lo más robusta e impredecible posible.
En cuanto a la base de datos no puedes hacer nada más al respecto, por lo menos, no por ahora.
Si ya tienes creado tu WordPress, yo no te recomiendo que hagas nada con respecto a la base de datos ya que, si no conoces bien el sistema, puede darte error.
Cambiar el prefijo de las tablas
Una vez que tienes creada la base de datos y cargados los archivos, el siguiente paso es la configuración de la página Web en WordPress.
En esa sección debes estar muy pendiente, pues el asistente toma un prefijo de base de datos estándar. Así que si quieres mejorar la seguridad, entonces define otro prefijo, eso no va a afectar en nada el funcionamiento del sistema, pero si hará que los piratas informáticos – hackers – tengan el trabajo más difícil.
Crea una cuenta de acceso personalizada
Por lo general, todos usamos de usuario “admin” cuando estamos registrando el administrador a la hora de instalar WordPress. Sé un poco más creativo y precavido; cambia el nombre de usuario y coloca una contraseña personalizada que cumpla con las exigencias de WordPress.
Con respecto a la contraseña me refiero a que cumplas con las condiciones para que sea considerada “fuerte”.
Si ya tienes instalado WordPress en tu servidor Web, entonces deberás ir al panel de control, una vez allí, crea un nuevo usuario con una contraseña y dale rol de administrador. Cierra sesión e inicia nuevamente con el usuario que acabas de crear y luego borras el que tenías primero.
Si tu página Web va a ser manejada por alguien más, entonces crea diferentes usuarios, cada uno según los permisos que necesite. Pero no le des rol de administrador; así limitarás el control sobre la administración del sistema y, a la vez, su seguridad.
Actualiza la versión de WordPress
Razones para actualizar el sistema Web en WordPress no faltan; ya sabes que WordPress, como organización, siempre anda en búsqueda de errores en el sistema y ofrece soluciones muy frecuentemente en cuanto las detecta.
Aquí la recomendación es, básicamente, que le prestes atención a las notificaciones que da el sistema. Por lo general, cuando existe una versión actualizada del gestor, en el panel de control te notifican; tú solo debes clicar el enlace de actualizar, es todo, no te toma ni 5 minutos.
Y del mismo modo que hablamos de actualizar la página WordPress, también deberías actualizar PHP cada vez que aparezca una nueva versión de PHP, pues representa serias mejoras en velocidad, rendimiento y, sobretodo, en seguridad frente a todo tipo de ataques.
Oculta la versión de WordPress
Una de las maneras más sencillas que tiene un hacker para saber la versión de tu sitio Web WordPress es reconociendo la versión actual que es visible en el HTML de la página Web.
Por ejemplo, si la versión de WordPress más reciente es la 5.1 y tienes la 5.0, ellos pueden saber que tu página Web está desactualizada. De hecho, con la versión pueden saber dónde están los fallos de seguridad y entrar más fácilmente.
¿Cómo se oculta esa información? Yo te diría que instalaras un plugin que seguro lo hace pero, debido a que puede afectar el la velocidad de carga de tu página Web en WordPress, lo mejor es ir hasta los documentos de la plantilla y editarlos.
En WordPress es muy sencillo; solo debes ir a “apariencia”, luego a “editor” y luego a functions.php, donde debes agregar este trozo de código y listo, problema resuelto:
/* Remove WordPress version number */
function nm_remove_wp_version() {
return »;}
add_filter(‘the_generator’, ‘nm_remove_wp_version’);
Crea backup automáticos de tu Web
Mi consejo con respecto a este punto es que crees un sistema de copias, automáticas y periódicas, de tu página Web y que las almacenes en un lugar distinto al propio servidor Web.
Recuerda que si, por algún motivo, un pirata informático tuviera el dominio del servidor, o el propio servidor Web sufre un problema técnico y pierde todos los archivos Web, aun tienes la copia en un lugar al que no tienen acceso y está a salvo.
Puedes descargar una copia de la página Web y tenerla en tu ordenador, o cargarla en algún servicio en la nube, como Dropbox o Google Drive.
Asegura tu página de acceso al administrador
No basta con que cambies el usuario y la contraseña, también es importante que agregues opciones de autentificación de usuarios.
Yo te aconsejaría, como primera opción, que usaras el reCAPTCHA de Google, pues es una manera muy sencilla de agregar seguridad. Esta opción permite que personalices el nivel de seguridad, por ejemplo, puede ser tan sencillo como darle a un botón para confirmar que no eres un robot o tan complejo como reconocer imágenes o realizar operaciones matemáticas.
La otra opción es eliminar los mensajes de error al iniciar sesión, para que quien quiera entrar no sepa qué está haciendo mal. Si deseas hacerlo debes volver a functions.php y agregar:
add_filter(‘login_errors’,create_function(‘$a’, «return null;»));
Hasta ahora, todos los puntos arriba indicados los puedes lograr también mediante la utilización de plugins de seguridad y backups. Sobre este asunto, hace unos días te dimos un listado de los mejores plugins para tu página Web en WordPress.
Restringir el acceso a los archivos
Esta opción es un poco más compleja, pues debes saber manipular los archivos dentro del servidor, vía FTP, y estar seguro de que no estás haciendo cambios que afecten el funcionamiento o al mantenimiento de la web WordPress.
Si no lo habías notado, al lado de cada archivo está la información de tipo de permiso que tiene. Si el número que aparece es 755, significa que el acceso a ese archivo es completo (puede leerse y escribirse). Si editas los permisos y los llevas a 644, es mucho más seguro porque solo el propietario puede editarlos, que es lo que te recomendamos.
Asegura tu computador
Sobre todo ahora que estamos conectados a todos sitios con solo iniciar sesión en algunos navegadores como Chrome, es muy sencillo que entren al sistema de nuestra computadora y así logren tener acceso a nuestras páginas Web.
La sugerencia es que mantengas tu equipo sano, libre de virus, para eso te puedes valer de programas antivirus y firewalls.
Adicionalmente te aconsejaría que no dejes la sesión iniciada en tu ordenador, por mucho que sea de uso exclusivo, sobre todo si se trata del acceso al servidor.
No compartas tus datos de inicio de sesión
Si alguien más debe tener acceso al administrador de WordPress, sigue el consejo que te he dado antes; crea un nuevo usuario con permisos restringidos, es la mejor manera de protegerte.
Nunca compartas tus datos de inicio de sesión, de hecho, he visto en foros de ayuda de WordPress, que los participantes comparten la información de inicio de sesión para que revisen alguna falla, esa es una falta muy grave a la seguridad de tu página Web.
Conclusiones
Como has podido ver son pequeñas acciones, ninguna excesivamente complicada que ayudarán a proteger tu página Web en WordPress desde el momento en que estés instalándolo manualmente. Y digo manualmente porque la utilizar una instalación automática, no podrás hacer la mayoría de estas optimizaciones en seguridad. Es por ello que no aconsejamos la instalación automática 1-click de WordPress.
Probablemente existan muchas otras maneras de proteger tu sitio en WordPress de ataques contra la seguridad, pero las que te acabo de explicar son las más sencillas y también las más efectivas.
Como todo cuando hablamos de seguridad, debemos alcanzar un nivel con el que nos sintamos cómodos, no podemos llevarlo a los extremos tal que no se nos haga incómodo trabajar. Por ejemplo, he escuchado de programas que te piden autentificar el acceso a través de un mensaje que llega al móvil o al correo, pero sinceramente creo que es excesivo, al menos que guardes allí algo de mucho valor.
Asimismo te digo, procura que la información delicada de tus clientes se guarde en otra parte, por ejemplo, las transacciones con tarjeta de crédito es mejor llevarlas con sistemas de pagos conocidos o con módulos desarrollados por empresas confiables que se aseguran de que esa información este bien protegida.
Si quieres saber más, te recomiendo otro artículo donde te explicamos cómo proteger WordPress sin usar plugins.
Por último déjame recordarte que, si hablamos de mejorar la seguridad de tu negocio en Internet, no debes olvidarte también de proteger tus emails de ataques y piratas mediante los registros SPF, DKIM y DMARC, ¡que no te pille el Spoofing (suplantación de identidad) ni el Phishing (obtención de información personal para estafas)!
¿Tienes dudas? ¿Necesitas ayuda? Estamos encantados de ayudarte a proteger tu página Web en WordPress frente a cualquier amenaza o ataque.
Dejar un comentario