En esta guía básica de seguridad para WordPress, intentaré ofrecer una explicación sencilla y detallar de manera clara los primeros pasos que todos pueden seguir para hacer su página web más segura. He recopilado los pasos básicos que se deben tomar para mejorar la seguridad de tu WordPress. Aunque estos pasos no garantizan que tu web quede completamente libre de ataques, sin duda reforzarán la seguridad en comparación con las medidas predeterminadas que trae WordPress.
Muchos de los pasos que mencionaré a lo largo de este post se pueden realizar mediante el uso de plugins. Sin embargo, recomiendo, en la medida de lo posible, NO usar plugins de seguridad para WordPress. Si por motivos de fuerza mayor no queda otra opción, deberemos intentar usar la menor cantidad posible para no comprometer el rendimiento de la web. Si aún así prefieres recurrir a una vía más rápida mediante el uso de plugins, te sugiero buscar alguno que ofrezca soluciones todo en uno, cubriendo la mayor cantidad de puntos de seguridad posible. Hablaremos de todo esto más adelante en esta entrada.
Primeros pasos en la Seguridad de WordPress
Cambiar los datos de los usuarios Administradores
Cambiar el nombre por defecto de “admin”
Por defecto, al crear una nueva página web con WordPress, el usuario administrador aparece como “admin”. Cambiar este nombre de usuario, junto con la ID por defecto (generalmente ID-1), es fundamental para la seguridad de nuestro WordPress, ya que será el primero que una persona malintencionada probará para intentar un acceso no autorizado a nuestro panel de administración. Debido a que WordPress no nos permite cambiar el nombre del usuario administrador por defecto, el procedimiento que deberíamos seguir es crear un nuevo usuario, añadiendo el nuevo nombre en el campo «Nombre de usuario (obligatorio)» y asignándole privilegios de administrador. Luego, debemos eliminar el usuario “admin” original.
Generación de una contraseña segura
Parece ser el paso más obvio y que se ha repetido desde los inicios de internet, pero establecer una contraseña segura es fundamental. Para ello, lo primero que debemos entender es que cuanto más complicada sea la contraseña, mejor. Debe tener un mínimo de 12 caracteres y contener letras mayúsculas y minúsculas, caracteres especiales y números. Este tipo de contraseñas son difíciles de recordar, por lo que es importante guardarlas en un lugar seguro.
Si prefieres no tener que escribir las contraseñas a mano y además contar con mayor aleatoriedad, WordPress ofrece por defecto la opción de generar una contraseña segura al crear un nuevo usuario.
Gestionar los roles de cada usuario
Es posible que tu página web de WordPress tenga varios usuarios, ya que WordPress permite crear usuarios asignándoles diferentes niveles de acceso (perfiles) como redactores, colaboradores, editores o administradores. Es importante asignar a cada usuario el nivel indispensable de autoridad y dejar los roles de administración a la menor cantidad de usuarios posible (idealmente uno o dos). De esta forma, si uno de estos perfiles tiene una seguridad baja, no comprometerá la seguridad de toda la web. Además, puede ser interesante implementar un reseteo periódico de contraseñas.
Cambiar la URL de acceso wp-admin de WordPress
Por defecto, para acceder a la administración de nuestro WordPress se genera la URL de acceso /wp-admin. Estos valores por defecto exponen nuestra seguridad, ya que serán los primeros que una persona con malas intenciones probará para intentar acceder de manera no autorizada.
Es importante tomar ciertas precauciones antes de realizar este cambio en nuestro WordPress, ya que el cambio de la URL de inicio de sesión puede causar conflictos con temas y plugins que necesiten conocer la dirección de inicio de sesión.
Cambiar URL de acceso manualmente
Para cambiar la URL de acceso sin usar un plugin, debemos acceder a nuestro cPanel. Una vez dentro, debemos buscar la sección de “Files” y dentro la pestaña “File Manager”. En la barra izquierda, debemos acceder a la carpeta “public_html” y dentro encontraremos el archivo “wp-login.php” que deberemos renombrar, por ejemplo, “login-secreto.php”. Una vez renombrado, buscaremos el archivo y, pulsando clic derecho, lo editamos. Dentro, debemos buscar nuevamente “wp-login.php” y sustituir todos los resultados por el nuevo nombre que le hemos dado al archivo, por ejemplo, “login-secreto.php”.
Cambiar URL de acceso mediante plugin
Existen muchos plugins en el marketplace de WordPress que permiten cambiar la URL de acceso, pero en esta ocasión voy a hablar del plugin “WPS Hide Login” por WPServeur, NicolasKulka y wpformation. Una vez instalado y activado el plugin, debemos ir a la ruta Ajustes > Generales y allí encontraremos una nueva sección llamada WPS Hide Login. En el campo URL de Acceso, debemos poner la nueva URL desde la que queremos loguearnos y en el campo URL de redirección debemos poner la URL a la que se redirigirá si se intenta acceder a “/wp-login”.
Activar actualizaciones automáticas en WordPress (y del tema) y plugin
Un ejemplo sencillo para explicar por qué se debería mantener WordPress actualizado es compararlo con tu hogar: cuando te olvidas de cuidarlo y actualizarlo, comienzan a aparecer grietas y chirridos que los hackers pueden aprovechar. Los desarrolladores lanzan actualizaciones para arreglar estas grietas y chirridos en el software.
Activar actualizaciones automáticas de WordPress
Para no olvidarnos de actualizar nuestro WordPress, el paso más conveniente es activar las actualizaciones automáticas. Para ello, debemos acceder a la sección de “Actualizaciones de WordPress”, que encontraremos en nuestro panel de control en Escritorio > Actualizaciones (en la parte superior derecha también podemos encontrar un acceso directo). Allí, encontraremos un botón con el texto “Activar las actualizaciones automáticas de todas las versiones nuevas de WordPress”, que debemos activar.
Actualizar plugins de WordPress
No solo es importante mantener WordPress actualizado a la última versión, también lo es mantener actualizados nuestros plugins. Siguiendo con la analogía anterior de comparar WordPress con nuestro hogar, podríamos pensar en los plugins como en nuestros electrodomésticos antiguos, que aunque funcionen bien, consumen mucha energía y en cualquier momento pueden fallar. Para actualizar los plugins de nuestro WordPress podemos hacerlo tanto manualmente desde la sección de actualizaciones, usando la opción de “seleccionar todo” y actualizar todos los plugins, o bien desde el panel de control, acceder a Plugins > Plugins instalados y en la parte derecha de cada plugin nos aparecerá activar las actualizaciones automáticas (también existe la opción de seleccionar todos los plugins deseados y activar las actualizaciones automáticas). Un factor importante a tener en cuenta es evitar a toda costa el uso de plugins que no ofrecen o han dejado de ofrecer soporte de actualizaciones.
Actualizar temas de WordPress
Si hemos comparado nuestro WordPress con nuestro hogar y los plugins con los electrodomésticos, los temas de WordPress serían la decoración, que además de mejorar la apariencia nos ayuda a que el sitio se mantenga funcional. Para actualizar los temas de WordPress, basta con acceder desde nuestro panel de control a Apariencia > Temas y pulsar en el botón que dice “Activar las actualizaciones automáticas”. Como detalle adicional, recomiendo no tener instalados temas que no se usen, ya que disminuyen el rendimiento de la web y pueden causar vulnerabilidades.
Activación del certificado de Seguridad SSL (HTTPS) en WordPress
Un certificado de seguridad SSL (Secure Sockets Layer) es como una cerradura de alta seguridad para tu sitio web. Cuando tienes un certificado SSL, tu sitio web usa HTTPS en lugar de HTTP, donde la «S» del final significa «Seguro». Este certificado encripta la información que se envía entre tu sitio web y los visitantes, protegiendo los datos y asegurando que solo puedan ser leídos por los destinatarios correctos, evitando que los hackers puedan interceptar información sensible.
En este artículo, vamos a tratar la instalación de un certificado de seguridad SSL desde el punto de vista de la seguridad web, pero también es importante por otros motivos, como mejorar la confianza del usuario, la autenticación del sitio y los beneficios para el SEO. Tenemos dos formas de instalar un certificado de seguridad SSL en nuestro WordPress: desde nuestro alojamiento web o mediante plugin.
Instalar certificado SSL desde el panel de control
Como siempre, la instalación del certificado SSL sin usar plugin es más conveniente principalmente por motivos de rendimiento, aunque puede ser una tarea ligeramente más compleja. Para ello, debemos acceder al panel de control de nuestro proveedor de alojamiento web, por ejemplo, cPanel. Dentro de cPanel, nos desplazaremos hasta el apartado de seguridad, donde encontraremos la opción de “SSL/TLS”. Al acceder, nos aparecerá una nueva pestaña en la que nos dará la opción de administrar nuestro certificado SSL dentro del apartado “Instalar y Administrar SSL para tu Sitio (HTTPS)”. Una vez dentro, solo seleccionamos el dominio donde queremos instalar el certificado y pulsamos “Autofill by Domain” y posteriormente “Instalar Certificado”. Con esto, ya estaría instalado nuestro certificado. Este cambio puede tardar en verse reflejado en nuestra página web hasta 48 horas.
Instalar certificado SSL mediante plugin
En el marketplace de WordPress existen muchos plugins que ofrecen soluciones parecidas. Para la instalación del certificado SSL mediante plugin, voy a hablar de “Really Simple SSL” por Really Simple Plugins. La configuración del plugin es muy sencilla: solo necesitamos instalarlo y activarlo. Esto nos llevará a una pestaña donde se muestra la salud del sitio y solo deberemos pulsar el botón que indica “Activar SSL”.
Medidas de Seguridad Preventivas para WordPress
Temas y plugins inseguros
Anteriormente mencioné la importancia de mantener actualizados tus plugins y temas y de deshacerse de aquellos que no ofrezcan soporte actualizado para evitar grietas en la seguridad de nuestro WordPress. Dentro de este apartado, también hay que mencionar el peligro que suponen las descargas de plugins o temas no autorizados o de origen dudoso, como los ofrecidos por terceros no autorizados que los ofrecen con grandes descuentos o incluso de manera gratuita. Además de los problemas de vulnerabilidad que puede suponer la instalación de estos plugins desactualizados, corremos el riesgo de que incluyan líneas de código malicioso que puedan modificar ciertos aspectos o comportamientos de tu web.
Copias de Seguridad en WordPress
La importancia de realizar copias de seguridad de tu web no solo se limita a tener un respaldo en caso de sufrir un ataque para poder restaurar la web a la normalidad, también nos servirá como respaldo de cualquier modificación errónea que hagamos, problemas que surjan, actualizaciones que rompan el comportamiento de nuestro sitio, etc. Un factor que también se debe tener en cuenta es la frecuencia con la que se realizan estas copias de seguridad, ya que, en función de la web, la frecuencia recomendada puede ir desde mensual a diaria. Para realizar una copia de seguridad de nuestro WordPress, podemos usar tres métodos: manual, mediante el proveedor de hosting o mediante plugin.
Copia de Seguridad en WordPress Manual
Para hacer una copia de seguridad de nuestro sitio web en WordPress de forma manual, deberemos acceder al panel de control de nuestro proveedor de alojamiento web, generalmente cPanel. Desde nuestro panel de control, accedemos a Archivos > Administrador de Archivos. Al hacer clic, nos mostrará todos los archivos de nuestra web; la carpeta que estamos buscando se llama “public_html”. Dentro de esta carpeta, encontramos todos los archivos de los que debemos crear la copia de seguridad. Será tan sencillo como seleccionar todos los archivos, hacer clic derecho para comprimirlos y, una vez finalizado, descargar el archivo comprimido.
Por último, necesitaremos exportar la base de datos. Para ello, dentro de nuestro cPanel, nos dirigimos a Bases de Datos > phpMyAdmin y, al acceder, en la parte superior izquierda encontraremos nuestra base de datos (en caso de que tengas alojadas más de una web, podrás encontrar el nombre de la base de datos que estás buscando desde la carpeta “public_html” e inspeccionando el archivo “wp-config.php” y buscando el nombre en la línea que dice “DB_NAME”). Una vez seleccionamos nuestra base de datos, en la parte superior aparece la opción de exportar, hacemos clic y exportamos en formato SQL.
Con estos dos archivos, ya tendríamos el respaldo completo de nuestra web hecho.
Copia de Seguridad en WordPress con Proveedor de Hosting
Si tu sitio web está con un proveedor de alojamiento web, es muy probable que en sus planes (incluidos los más básicos) ofrezcan copias de seguridad que variarán su frecuencia en función del plan contratado. Si contamos con esta posibilidad, nos bastará con contactar con el soporte de nuestro hosting si nos surge algún problema y ellos nos ayudarán a restablecer la copia de seguridad de nuestra web a una versión estable.
Copia de Seguridad en WordPress con Plugin
Probablemente, la manera más rápida y sencilla para realizar una copia de seguridad de WordPress sea mediante el uso de un plugin. Para ello, voy a hablar de la versión gratuita del plugin “UpdraftPlus” por UpdraftPlus.Com, David Anderson. Para configurar el plugin, debemos acceder a Ajustes > Copias de seguridad UpdraftPlus. Dentro, observaremos un botón grande que dice “Hacer ahora una copia de seguridad”. Al pulsarlo, nos creará de forma “manual” una copia de seguridad que se descargará en nuestro dispositivo. Para hacer las copias de seguridad de manera automática, deberemos acceder a la pestaña de “Ajustes” del plugin, donde nos brinda la posibilidad de cambiar la frecuencia con la que queremos que se hagan los respaldos. Además, permite seleccionar en qué almacenamiento externo queremos que se realicen estas copias (por ejemplo, Dropbox, Amazon S3 o Google Drive) para poder guardar los archivos de nuestra web de forma segura.
Control y comprobación del Spam en WordPress
Si nuestra página web cuenta con una sección de blog y tenemos habilitados los comentarios en las entradas, este será un paso muy importante para la seguridad de nuestro sitio. WordPress, por defecto, trae instalado el plugin Akismet Anti-spam. Este plugin ha generado controversia debido a su complejidad de uso y el impacto en el rendimiento que provoca, con lo cual muchos usuarios optan por desinstalarlo.
Pero no tener ninguna clase de filtro ni medida de protección habilitada en nuestro WordPress puede generar grandes cantidades de mensajes indeseados en nuestras publicaciones, que pueden ir desde spam hasta la inserción de código malicioso mediante la escritura de comentarios en diferentes líneas. Para solucionar esto, en este post voy a hablar de dos configuraciones diferentes: manual y mediante plugins.
Para acceder a la configuración de los comentarios de nuestro sitio web, debemos acceder a nuestro panel de WordPress y dirigirnos a Ajustes > Comentarios. Entre las opciones que nos ofrece WordPress, para evitar los comentarios indeseados, debemos tener en cuenta las siguientes:
Control de Spam Manualmente
- Permitir que se envíen comentarios: Lo primero será decidir si queremos permitir la publicación de comentarios en las entradas de nuestro blog. Vamos a dirigirnos a “Ajustes por defecto de las entradas”, donde aparece la opción “Permitir que se envíen comentarios en las entradas nuevas”. Si queremos evitar la aparición de comentarios en nuestro sitio web, bastará con deshabilitar esta opción y ya no tendríamos que configurar nada más. WordPress también nos permite, en la sección “Otros ajustes de comentarios”, marcar la opción de que los usuarios deben registrarse y acceder para comentar.
- Reglas para la aparición de un comentario: Si nos desplazamos en la configuración de comentarios hasta la sección “Para que un comentario aparezca”, encontraremos dos opciones: una para que solo aparezcan los comentarios aprobados manualmente y otra donde solo se mostrarán los comentarios de autores que ya tengan un comentario previamente aprobado manualmente. Esta no suele ser una solución efectiva, ya que en caso de un ataque de spam, nos pueden llegar miles de solicitudes de comentarios para aprobar manualmente.
- Moderación de comentarios: En la sección de “Moderación de comentarios” se puede ajustar la cantidad de enlaces que puede tener un comentario antes de ser puesto en espera para su revisión. Aquí se recomienda poner 0, para que no se puedan enviar enlaces en los comentarios, ya que generalmente esto se hace para enviar tráfico a otra página web externa, es decir, spam.
- Lista de palabras baneadas: Otro filtro para los comentarios sería establecer qué palabras queremos que sean detectadas como spam. Para ello, WordPress nos proporciona dentro de la sección “Moderación de comentarios” y “Palabras rechazadas en comentarios” dos campos en los cuales podemos introducir la lista de palabras que no queremos que aparezcan y que serán enviadas a moderación o directamente a la papelera.
Control de Spam Mediante Plugin
Todos los ajustes mencionados anteriormente son compatibles con el plugin que voy a recomendar: “Antispam Bee” por pluginkollektiv. Este plugin permite una configuración más avanzada, ya que no solo nos permite realizar ajustes para combatir los spam-bots, sino también a los spammers manuales. Una vez instalado, solo tendremos que acceder desde nuestro panel de control a Ajustes > Antispam Bee y configurarlo según nuestras necesidades.
Uso de Plugins de Seguridad en WordPress
A lo largo de esta entrada he mencionado diversos plugins como alternativa rápida para la realización de algunas tareas de seguridad. Sin embargo, como mencioné al principio, no recomiendo el uso excesivo de plugins de seguridad. En casos de fuerza mayor, donde no quede más remedio que usar plugins, es importante recalcar que una gran cantidad de plugins pueden comprometer el rendimiento y la seguridad de nuestro WordPress. Por ello, lo recomendable, si no queremos realizar todo de manera manual, sería la instalación de un plugin de seguridad «All-In-One» que nos ayude a cubrir la mayor cantidad posible de aspectos de seguridad de nuestro sitio. Podemos encontrar dos tipos de plugins que nos ayuden en esto: los gratuitos y los de pago.
El plugin que recomiendo es “Wordfence Security” por Wordfence, que cuenta tanto con planes de pago como con un plan gratuito. Este plugin ofrece opciones de seguridad muy completas en cualquiera de sus versiones, pero es importante tener en cuenta que notaremos una disminución en el rendimiento de nuestro WordPress. Para configurarlo, una vez instalado nos solicitará una licencia. Será tan sencillo como acceder a la página que nos indica, seleccionar el plan gratuito y crear una cuenta simplemente introduciendo el correo electrónico. Una vez hecho esto, nos proporcionará la licencia de activación y ya tendremos la instalación completa de Wordfence.
Conclusiones finales
Estas han sido algunas de las medidas de seguridad que he considerado básicas y que cualquier persona puede realizar para mejorar la seguridad de su WordPress. Existen medidas más avanzadas que requieren algo más de conocimiento sobre el manejo de servidores y archivos, como por ejemplo cambiar el prefijo “wp_” en las tablas de la base de datos, la implementación de un firewall, la autenticación de doble factor, el archivo .htaccess y mucho más. Todo esto lo veremos en la Guía de Seguridad Avanzada de WordPress.
¿Necesitas Ayuda con tu Web de WordPress?
Espero que el contenido de este artículo te haya sido de gran ayuda, pero si aún tienes dudas sobre cómo mejorar la seguridad de tu web o necesitas una consultoría personalizada para hablar sobre WordPress, diseño, maquetación y desarrollo web, no dudes en escribirme. Estaré encantado de ayudarte con tus necesidades o las de tu empresa.
