Como mantener seguro un sitio Wordpress

  Imprimir
En los últimos años, la popularidad de Wordpress, ha aumentado mucho y esto ha tenido algunas desventajas. Hoy en día es muy común que un diseñador arme un sitio basado en Wordpress, pero no le explique al comprador cómo mantenerlo o cómo funciona, en casos donde el mismo no contrate un mantenimiento mensual. En esta guía aprenderás cómo mantener tu sitio de manera segura, sin necesidad de tener muchos conocimientos técnicos más que usar el FTP y el panel de administración.

  1. Actualizaciones
    Al ser Wordpress una herramienta gratuita y de código abierto, todos tienen acceso a saber la programación de tu sitio y cuando encuentran una vulnerabilidad, rápidamente pueden atacar a cientos de usuarios. Por esto, lo más importante para mantener tu sitio seguro es que el mismo esté actualizado. Desde el panel de administración de Wordpress, es posible actualizar el código base, además de todos los plugins y themes gratuitos que estén provistos por su plataforma.

    Es muy común que se usen themes pagos o que no están provistos por el servicio de Wordpress, en estos casos deberás manualmente actualizar el theme siguiendo las instrucciones del programador del mismo. Usualmente el theme también trae algunos plugins pagos que se actualizan junto con el template, entre los más comunes se encuentra el Revolution Slider. Muchas veces basta con subir nuevamente el template desde la sección Apariencia del panel administrador, otras requiere que subas el mismo usando un FTP.
  2. Contraseñas
    Las contraseñas son la primera barrera que tiene tu sitio para protegerse ante otros usuarios que quieran ingresar al mismo. Una buena contraseña sería una que mezcla varias palabras con números y mayúsculas, por darte un ejemplo podrías utilizar como contraseña 3TristesTigres3ChanchitosAsustados, es preferible igualmente que crees otra clave distinta a esta y que uses palabras que tengan sentido sólo para tí, sin que sean parte de un trabalenguas o un cuento para dificultar que la adivinen. Puedes también agregar símbolos a esta frase, como por ejemplo un guión, arroba, asterisco o numeral (hashtag).

    Como paso adicional, te recomendamos nunca dejar activo el usuario de nombre admin, dado que es el primer usuario con el que probarán ingresar y si el mismo no existe les será imposible entrar de esa forma, tendrán que crear un bot específico para tu sitio y es poco común que esto ocurra. Simplemente crea un nuevo usuario con el mismo rango y borra el anterior reemplazándolo con el nuevo.

    También es una buena idea cambiar periódicamente la contraseña del panel de control cPanel y el área de clientes de Duplika, pero más por una cuestión de seguridad general y no por Wordpress específicamente. Es una buena práctica nunca usar la misma contraseña en más de un mismo sitio o producto, porque en caso contrario si hackean ese usuario, podrán acceder a todos los demás.
  3. Cuidado con plugins y themes
    Tal vez no lo sepas, pero la gran mayoría de los plugins, themes y extensiones son realizados por programadores y diseñadores independientes que no tienen lazos con Wordpress. Si bien para publicar sus assets en wordpress.org directamente, necesitan cumplir ciertos requisitos de seguridad, es posible que su código no sea del todo eficiente o que el mismo pueda ser atacado más fácilmente.

    En reglas generales, con revisar los comentarios de otros usuarios es suficiente para saber si el plugin que estás viendo es bueno, regular o no recomendado, pero ten cuidado si obtienes plugins o themes de sitios que no sean el oficial, dado que pueden contener malware o tener una programación deficiente.

    En el caso de los themes, existen varios sitios web confiables de donde obtener los mismos como ThemeForest o ElegantThemes, entre otros. Muchos te proveen también de herramientas para facilitar la actualización de los mismos themes. Para los plugins también existen varios proveedores confiables como ThemePunch, WPMU DEV, CodeCanyon entre otros.

    Por estos mismos motivos, te recomendamos eliminar cualquier plugin o theme que no haya sido actualizado por su autor en al menos 3 meses, si esto ocurre, puede indicar que el mismo dejó de tener mantenimiento y será mejor cambiarlo por otro que realice la misma tarea o similar.
  4. Versión de PHP
    Si bien es más difícil que un hacker logre ingresar a tu sitio por usar una versión de PHP vieja, es cierto que las versiones anteriores contienen varias vulnerabilidades que dejaron de parcharse o mantenerse por el equipo de PHP, dado que esta versión llegó al fin de su tiempo de vida. Recomendamos siempre usar la última versión estable de PHP disponible, puedes saber cuál es la última versión oficialmente soportada por Wordpress desde su sitio web.

    Recientemente la versión de PHP 5.6 fue deprecada, dejando atrás a la función mysql_query que podía ser fácilmente explotada y fue reemplazada con los elementos PDO y MySQLi (improved), además de importantes mejoras de performance. Si tu sitio tenía una versión muy vieja de Wordpress, es posible que también hayas asignado (o hayamos configurado por un ticket) una versión vieja de PHP para que funcione bien, si es el caso te recomendamos cambiar esta configuración y usar siempre la más reciente.
  5. Opciones avanzadas
    Si quieres un nivel adicional de seguridad para tu sitio, puedes agregar una segunda contraseña a la carpeta wp-admin, wp-includes, uploads, plugins y otras utilizando la opción del cPanel llamada "Carpetas protegidas", o directamente bloqueando el acceso web a las mismas. Encontrarás más información al respecto y distintas opciones listas para usar en la guía oficial de seguridad de Wordpress.

    Otra opción para asegurar tus contraseñas es usar una autenticación en 2 pasos (2FA). Wordpress por defecto no trae esta opción, pero hay varios plugins que pueden agregar esta funcionalidad dependiendo de cuál autenticador quieres usar. Puedes ver el detalle y más datos desde la guía oficial de autenticación en 2 pasos de Wordpress.

0 fuera de 0 people found this article useful.

Articulos relacionados

Login

 
¿Contraseña perdida?