Curso Aprende a crear Sitios Web con WordPress
Página anterior
Información Curso
Página siguiente

6. Seguridad en WordPress

HOY APRENDERÁS: La importancia de la seguridad en WordPress. Cómo configurar tu web para hacerla más segura (protección ante accesos maliciosos) y cómo salvaguardar su información (backups)

6.1 Introducción

El tema de la seguridad en WordPress suele ser menospreciado por muchos usuarios, que no creen que nadie pueda pensar en atacarlos, por no tener una página famosa o de una empresa importante, pero el caso es que la mayoría de ataques son realizados por sistemas automáticos o robots, que no distinguen el tipo de web.

Normalmente suelen utilizar las webs atacadas para realizar envíos de spam a otras web o realizar algún tipo de actividad ilícita.

Aparte de protegernos de este tipo de ataques, también es muy importante salvaguardar los datos y la información que tenemos almacenada en nuestra web, por lo que siempre es importante tener en cuenta los aspectos sobre la seguridad.

8-1-candado

6.2. Consejos habituales de seguridad

Algunos consejos importantes que toda web debería contemplar como mínimo (y que en muchos casos podemos solucionar instalando algún plugin) son:[restrict paid=true]

  • Cambiar nombre al usuario admin, para que no sea tan obvio. Esto evita que los atacantes, sabiendo que el usuario por defecto es «admin», prueben distintas contraseñas para intentar acceder y tener todo el control del sistema.Si hemos cambiado ese nombre, tendrán que adivinar dos cosas: usuario y contraseña.Una buena práctica adicional es tener más de 15 caracteres incluyendo números y letras, tanto en la contraseña como en el nombre de usuario. Además, también es aconsejable seguir estos consejos en el correo electrónico que hemos configurado en WordPress, ya que es posible cambiar la contraseña mediante el enlace que nos mandarán al correo si pinchamos en “He olvidado la contraseña”.
  • Cambiar los prefijos de las tablas de la base de datos (de «wp_ » a otra cosa).Aquí ocurre parecido al punto anterior. Si los posibles «atacantes» sabe que las tablas de las bases de datos de WordPress tienen nombres que empiezan por wp_, podrán atacarlas de forma más fácil. Sin embargo, si cambiamos ese prefijo, tendrán que adivinar el nombre y por tanto haremos más segura nuestra página.Lo más sencillo en este caso es acudir a un plugin que lo haga.Os dejamos este enlace en el que se explica bien cómo hacerlo: http://reinspirit.com/cambiar-el-prefijo-de-la-base-de-datos-de-wordpress-facil-y-rapido/
  • Cambiar la ruta de acceso al login de WP:Ya hemos comentado en el curso que para entrar a nuestro panel de control hemos de añadir «wp-admin» a la dirección de nuestro blog (o «wp-login» para usuarios no administradores). Eso es así en todos los WordPress, así que cualquier atacante también lo sabrá. Por eso, y para ponérselo más difícil, podemos cambiar también esa dirección.Nuevamente lo más sencillo es hacerlo con algún plugin como el «rename-wp-login»
  • Tener cuidado con los plugins y temas que instalemos. Debemos sólo instalar los que vamos a necesitar, mantenerlos actualizados y por supuesto sólo instalar los que cuenten con buena reputación y a ser posible que tengan usuarios detrás desarrollándolos y actualizándolos.Ojo, aunque un plugin esté desactivado, el código sigue ahí, por lo que si tiene algún agujero de seguridad podría igualmente ser explotado.

6.3. Copias de Seguridad

Poner este tema casi al final de un curso relacionado con los datos, la información y la informática es como enseñar a frenar en la última clase de conducir. Tengamos en cuenta que nuestros datos son lo más importante y que al final los equipos y cualquier tipo de servicio que nos ofrezca alojamiento web pueden fallar.

Según el hosting que tengamos contratado puede que nos ofrezca algún tipo de servicio de back-up (copia de seguridad) o al menos compromiso de que nuestra información (nuestra web y sus datos) podrá recuperarse ante un fallo en sus servidores, pero incluso en este caso deberíamos tomar precauciones para no depender exclusivamente de ellos. ¿Qué ocurre si el hosting deja de dar servicio repentinamente sin avisarnos? No es habitual, pero se han dado casos así, por ejemplo en alojamientos gratuitos, así que existe la posibilidad de no poder recuperar nada de lo que en ellos hayamos almacenado…

Ante una hecatombe así, hemos de estar preparados, por lo que es imprescindible tener una política de copias de seguridad propia.

No es necesario realizar un documento serio ni nada por el estilo, pero sí es conveniente que ante la pregunta: “¿y tú, haces copias de seguridad de tu sitio wordpress?”, podamos responder que sí. Si no las hacemos y algo falla, puede ser tarde, y no quedaría más que volver a repetir todo el trabajo…

Como norma general, convendría que hiciéramos una copia de seguridad de nuestro sitio al menos una vez cada 2-3 meses, aunque dependerá de la frecuencia con la que lo actualicemos, y que antes de instalar cualquier nuevo plugin o tema, siempre realicemos una copia para evitar cualquier problema.

Nota: si el servicio de hosting que tenemos contratado nos ofrece un servicio automatizado de copias de seguridad, conviene por precaución descargar alguna copia de vez en cuando a nuestro ordenador local. Cuándo hacerlo dependerá de las circunstancias: fiabilidad/confianza que nos ofrezca el servicio contratado, frecuencia e importancia de los cambios en nuestra web…

En Herramientas → Exportar, podemos realizar una exportación de todo nuestro sitio web, que luego podemos recuperar con “Importar”

8-2-exportar

1.4. Plugins de Seguridad

Como en el resto de aspectos de nuestro WordPress, también para mejorar la seguridad encontraremos muchos plugins a nuestra disposición. A continuación hemos seleccionado algunos que son habituales en muchas instalaciones:

  • Limitador de intentos de login (WP Limit Login Attempts): Este plugin es muy interesante para evitar ataques de «fuerza bruta», que consisten en que un programa automático va probando todos los usuarios y contraseñas posibles durante minutos, horas e incluso días, hasta dar con la correcta y por tanto ‘hackear’ nuestro sitio web. Con este plugin podemos limitar el número de intentos, de forma que si se supera ese número desde una determinada dirección IP, esta queda bloqueada temporalmente para entrar a nuestro sitio.
  • Akismet: Es un filtro anti-spam para nuestros comentarios, que suele venir siempre por defecto con cualquier WordPress. Sirve para evitar que muchos robots puedan generar comentarios automáticos en nuestro blog, práctica muy utilizada para crear enlaces a otras webs de forma fraudulenta, y que si no limitamos, puede llenarnos de comentarios no reales nuestra página. Lo que haces simplemente es comparar los comentarios que hemos recibido con un filtro o base de datos, para analizar si parecen o no spam.
  • BackupWordpress: Realiza una copia de seguridad de todo nuestro WordPress, incluida la base de datos. Esto nos permitirá recuperar nuestro sistema en caso de que haya habido un fallo.
  • Wordfence Security: Monitoriza constantemente nuestra web y nos indica quiénes la están visitando y qué están haciendo en ella (tanto robots como personas), lo que nos puede servir para bloquearles en caso de que los identifique como potenciales atacantes, o usuarios maliciosos. En este artículo podéis encontrar más información sobre este plugin: (https://www.lifestylealcuadrado.com/wordfence-seguridad-wordpress/)

HOY HAS APRENDIDO: La importancia de la seguridad en WordPress. Cómo configurar tu web para hacerla más segura (protección ante accesos maliciosos) y cómo salvaguardar su información (backups)

[/restrict]

Volver arriba
Esta web usa cookies para su correcto funcionamiento. No hay cookies de publicidad, aunque algunos de los contenidos mostrados (videos o documentos insertados) están alojados en servicios externos (Youtube, Vimeo, Box...) que sí pueden implementar sus propias cookies.    Más información
Privacidad