Parece que esta semana he terminado por dedicarla a temas relacionados con la seguridad en WordPress. Sé que no es la parte más emocionante o divertida del blogging, pero es importante prestar atención a este aspecto para hacer las cosas bien desde el principio y evitar sorpresas.

Si tienes un sitio creado en WordPress presta atención a estos consejos.

Tampoco es que vayas a quedar 100% protegido, pero sí van a hacer que tu web quede más protegida que muchos otros sitios de la red. Y como te puedes imaginar, los hackers prefieren atacar a aquellos que son más débiles y cuentan con una menor barrera de protección.

Que ataquen tu blog no mola, vamos a ponérselo más difícil.

Esto no te llevará demasiado tiempo, y tu trabajo bien lo merece.

1. Utiliza una contraseña fuerte

Esta es tu primera medida de protección contra los hackers, por lo que merece especial atención.

Olvídate de utilizar nombres, fechas o cualquier tipo de palabra con sentido. Las mejores contraseñas son ininteligibles, y están formadas por una serie de mayúsculas, minúsculas, números y símbolos. Además, la extensión ideal es de 10 a 15 caracteres.

Así que si careces de una contraseña segura, cámbiala ahora mismo y escríbela en un cuadernillo a buen recaudo, donde tengas todas apuntadas.

Para ayudarte con esta tarea puedes utilizar un generador de contraseñas.

 

Por supuesto, tampoco uses nombres de usuario del tipo “admin”, “administrador” o “root”.

2. Mantén tu sitio actualizado

Los hackers buscan las vulnerabilidades de los sitios web a través de archivos, temas y plugins que no han sido actualizados.

De ahí la importancia de estar siempre actualizando a la última versión de WordPress, así como borrar los plugins y temas que no se estén usando, además de tener actualizados los que sí.

Recuerda que antes de actualizar tu versión de WordPress debes realizar copias de seguridad.

3. Limita los intentos de login fallidos

Con los ataques masivos hacia sitios creados en WordPress, muchas webs llegan a sufrir cientos de intentos por loguearse al día. Por eso limitar los intentos fallidos de login puede suponer una gran protección frente a estos ataques.

Puedes utilizar el plugin Limit Login Attempts para limitar el número de intentos u otro que se llama Better WP Security. Este último engloba más funciones y al final del post voy a hablar un poquito más de él.

Este es el panel que verías usando Limit Login Attempts:

seguridad-en-wordpress

Por defecto el plugin marca hasta cuatro intentos fallidos. Si eres muy olvidadizo añade alguno más, pero mejor si son menos de 10.

4. Oculta los mensajes de error tras un login fallido

Se puede saber si se ha introducido una contraseña incorrecta o un nombre de usuario erróneo por medio de los mensajes de error tras un login fallido. Por eso, ocultar esos mensajes de error ofrece una mayor seguridad.

Para ello hay que modificar el archivo functions.php y añadir lo siguiente:

function no_errors_please(){ return 'Nope'; } add_filter( 'login_errors', 'no_errors_please' );

5. Desactiva el editor de archivos del dashboard

Por defecto, en una instalación de WordPress, tienes la opción de ir a Apariencia > Editor y editar cualquiera de tus archivos desde el dashboard. Esto significa que si un malhechor consigue acceder a tu panel de administrador podrá realizar modificaciones y añadirte códigos indeseados.

Para desactivar esta opción basta con añadir el siguiente código a tu archivo wp-config.php:

define( ‘DISALLOW_FILE_EDIT’, true );

¡Uy!, pero yo me lio con eso de añadir códigos…

No te preocupes, como ya he mencionado antes, existe un plugin llamado Better WP Security, que es gratuito, está en español y engloba el manejo de casi todos estos consejos además de otros.

Entre esas otras funciones que ofrece este plugin y que no he mencionado están:

  • La posibilidad de cambiar el prefijo de las tablas de WordPress
  • La posibilidad que cambiar la url que por defecto se asigna para acceder al panel de administración.
  • La posibilidad de banear usuarios con demasiados intentos de inicios de sesión fallidos.

Así que no te lo pienses más y empieza desde hoy a proteger todo tu trabajo. Instala y, si es necesario, sigue un tutorial sobre Better WP Security, o bien asegúrate de que al menos cumples los 5 consejos sobre los que he hablado en este post.

¡No te pierdas ni un solo post!

100% libre de spam