Compartir es bueno...Share on Facebook
Facebook
Share on Google+
Google+
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin

Voy a empezar a escribir una serie de artículos sobre WordPress. En este primer artículo quiero tocar el tema de la seguridad.

Sin duda alguna WordPress es el gestor de contenidos más usado en el mundo y debido a ello también es el más atacado por hackers.

WordPress es una plataforma fácil de instalar y también fácil de usar, eso no quita que tengamos que tomar ciertas precauciones para proteger nuestro sitio web. En este post te voy a plantear ciertas medidas de prevención y configuración que debes tomar a la hora de tener un sitio web desarrollado en wordpress.

Para facilitarte el llevar un control sobre las tareas recomendadas, hemos creado un documento gratuito que puedes descargarte pinchando en la siguiente imagen:

PDF

Empecemos por lo básico

1. Si solo vas a hacer una cosa, haz esto – invierte en un servicio como Sucuri.net. Por unos 16€ al mes, obtendrás un servicio que escanea y limpia tu sitio web en caso que surgieran problemas de software malicioso o de otro tipo de seguridad. Con tu suscripción, también obtienes un gran plugin para WordPress que proporciona seguridad extra para tu sitio web.

2. Eliminar la cuenta de administrador por defecto – Cuando instales tu WordPress siempre utiliza un nombre “único” en vez de “admin”.

3. Utilice una contraseña segura – En las versiones nuevas de WordPress ya viene instalado un generador de contraseñas para crear contraseñas únicas. Cambia tus contraseñas de vez en cuando, es una buena práctica.

4. No utilice la misma contraseña que estés utilizando para otros servicios online (Facebook, Gmail, etc)

5. No mandes por correo electrónico tus contraseñas

6. Haz copias de seguridad de tu base de datos de forma regular. Existen varios plugins que te permiten hacer esto. Personalmente me gusta utilizar BackupBuddy y almacenar copias de seguridad a nivel local. También puedes invertir en un servicio mensual como VaultPress.

7. Asegúrate de que el equipo con el que estás trabajando esté libre de virus! Hay muchos casos conocidos de usuarios que han sido afectados por tener virus en sus ordenadores .

8. Utilice una empresa de alojamiento web especializada en WordPress. En CostaInternet recomendamos “WebEmpresa

9. Agrega tu sitio web a las herramientas para webmasters de Google – así obtendrás notificaciones si Google ve malware en tu sitio.

10. Desactive la opción “Cualquiera puede registrarse” en Ajustes – Generales

11. Instale el plugin “Captcha on Login”, esto creará un captcha para acceder a su administración lo cual te dará más seguridad.

12. Si tu negocio opera solo a nivel local o de España, bloquea IPs de países que no te interesen (especialmente los países asiáticos). Esta configuración te la puede hacer tu proveedor de alojamiento.

Plugins

Los Plugins amplían la funcionalidad básica de WordPress – sin embargo, no todos los plug-ins son iguales ni todos son 100% seguros . Antes de instalar nada en tu sitio, tómate unos minutos para revisar y evaluar cada plugin que vayas a instalar.

1. Cuando vayas a instalar un Plugin, búscalo desde la propia administración de WordPress dentro de su propio repositorio– Los plugins deben ser aprobados por WordPress antes de ser incluidos en este directorio, lo que da cierta seguridad y tranquilidad.

2. Evalúa las razones por las que necesitas los plugins – solo instala los plugins que sean necesarios para tu web.

3. Preguntas que hago antes de instalar un nuevo plugin:

• ¿Cuándo fue la última vez que se actualizó el plugin (más de 3 meses? Ten cuidado)
• ¿Ofrece soporte?
• ¿Es el desarrollador activo en los foros de soporte? (Si no es así, ten cuidado)
• ¿Cuántas personas han descargado el plugin? (100 o 100 000 -?? A más descargas mejor, significa que el plugin es usado habitualmente)

4. Eliminar (no basta con desactivar) cualquier plugin que no esté utilizando (incluso los plugins desactivados pueden causar problemas)

Temas de WordPress

1. Utiliza un tema o plantilla para WordPress que sea solido, tal como Génesis que es actualizado regularmente – si bien puede ser tentador utilizar un tema “muy bien diseñado” por un diseñador, en un año o dos es probable que no tenga soporte, y quizás ni funcione en el futuro dado que el propio WordPress es actualizado frecuentemente, por ello los temas deben estar siempre actualizados para que no se “rompan” con las actualizaciones de WordPress- tampoco hay garantía de que los temas gratis o de bajo coste están libres de malware o código sospechoso.

2. Actualizar WordPress cuando se le solicite

3. Eliminar cualquier tema que no esté utilizando (a menudo a la gente le gusta “probar” diferentes temas, y luego dejarlos en la carpeta de temas). Muchas veces, estos temas de “prueba” no se actualizan, dejando tu sitio vulnerable a un posible ataque.

Otras notas

(Esta parte es un poco más irritable para el usuario sin experiencia)- si no estás seguro sobre los términos o cómo hacer lo que a continuación se recomienda, recomiendo consultar a una persona capacitada profesionalmente para que lo haga por ti.

1. Añadir claves secretas aleatorias en el archivo wp-config.php

2. Usar nombres de usuario y contraseñas creadas dinámicamente al crear su base de datos MySQL

3. Bloquee su archivo .htaccess para permitir que sólo ciertas direcciones IP puedan hacer modificaciones

4. ¿Accedes por FTP a tu servidor? Usa SFTP en lugar de FTP

5. ¿Necesitas modificar los permisos de tus carpetas? No establecer permisos para archivo a 777

6. Otros plugins recomendados

Bad Behavior- Deniega el acceso spam automatizado
Akismet – bloqueador de spam
Login Lockdown o Limit Login attempts- Limita el número de intentos de acceso por IP
Exploit scanner – escanea manualmente tu sitio para posibles vulnerabilidades

Otras precauciones de seguridad general

1. No guardes las contraseñas en tu cuenta de correo electrónico
3. No editar tu sitio en una red inalámbrica abierta

Este post no cubre completamente todos los aspectos de seguridad para tu sitio web elaborado en WordPress , manténgase informado a través de artículos sobre las ultimas actualizaciones en temas de seguridad para WordPress.

 

Peter Fischer

Peter Fischer

Gerente CostaInternet

Peter Fischer es gerente de CostaInternet – Empresa de diseño web y Marketing Online. Peter tiene una experiencia de 15 años gestionando proyectos en internet.

Compartir es bueno...Share on Facebook
Facebook
Share on Google+
Google+
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin