Clientes

Consejos de seguridad para WordPress

WordPress, al ser una plataforma de código abierto, permite la inspección de todo el código utilizado para tener creado y publicado nuestro sitio. Esto es algo muy bueno ya que muchos desarrolladores de todas parte del mundo contribuyen y mejoran al código fuente de manera constante. Paralelamente, y nada menor, también favorece el análisis de problemas de seguridad que puedan ser explotados por personas maliciosas.

A continuación, enumeramos consejos de seguridad generales para tener en cuenta, y así evitar infecciones en nuestro sitio web.

¿Cómo evitar ataques e infecciones en WordPress?

1. Mantener todo 100% actualizado

Todo es todo. Tener la última versión de WordPress, de cada plugin y del Tema que estemos usando.

Cuando exista una actualización tanto del Tema activo, de un componente o de WordPress mismo, veremos una notificación así:

Actualizaciones Wordpress Tema Plugins

Hacer clic tanto sobre el ícono como sobre el enlace “Actualizaciones” de la barra lateral nos transportará a la pantalla de actualizaciones.

Como Actualizar Temas Plugins Wordpress

IMPORTANTE: NO SALIR DE LA PANTALLA DE ACTUALIZACIONES MIENTRAS LAS MISMAS SE LLEVAN A CABO.

En otras palabras, cuando apretamos un botón de “Actualizar” (ya sea Plugin, Tema o WordPress) se dispara un proceso cuyo progreso veremos en pantalla. Hasta el momento en que WordPress nos muestre el cartel de que las actualizaciones fueron realizadas, NO CERRAR LA VENTANA. Hacerlo podría, con un poco de mala suerte mediante, dejarnos el sitio offline. No es usual pero mejor prevenir que curar.

Proceso Actualizaciones Wordpress

Si tu sitio está alojado en Duplika, normalmente las actualizaciones automáticas están activadas. Esto mantiene los sitios del lado de la máxima seguridad pero, además, nos alivia de tener que estar controlando si hay actualizaciones a diario.

Es posible activar las actualizaciones automáticas de manera manual. Dependiendo si son Plugins, Temas o Wordpress, veremos las instrucciones correspondientes para cada caso.

¿Cómo activar las actualizaciones automáticas para plugins en WordPress?

Para activar las actualizaciones automáticas de plugins nos dirigiremos a la pantalla de componentes instalados, es decir Plugins → Plugins Instalados. Podremos encontrar la opción de activar actualizaciones automáticas para cada uno de los plugins, manualmente, tal cual se muestra en la captura inferior.

Activar Actualizaciones Automaticas Plugins Wordpress

¿Cómo activar las actualizaciones automáticas para Temas?

En este caso deberemos acudir al apartado de Apariencia Temas. Allí haremos clic sobre el botón “Detalles del tema” para acceder a la opción que nos interesa.

Activar Actualizaciones Automaticas Temas Wordpress

En la captura inferior podemos ver el enlace que activa las actualizaciones automáticas del Tema de WordPress en cuestión.

Wordpress Actualizaciones Automaticas Tema Activo

¿Cómo activar las actualizaciones automáticas de WordPress?

Para ello, esta vuelta iremos a Escritorio → Actualizaciones. En la pantalla que se abre encontraremos la opción para activar las actualizaciones automáticas de WordPress mismo. La captura de pantalla inferior señala el enlace que buscamos.

Activar Actualizaciones Automaticas Wordpress

2. Usar la última versión de PHP

PHP es el motor por debajo de WordPress. Es el lenguaje de programación que da vida y maneja nuestro gestor de contenidos favorito, el Tema que usamos y todos los plugins. Se entiende que entonces resulta crucial mantenerlo actualizado, principalmente por dos razones de envergadura: la velocidad de nuestro sitio (que mejorará con cada nueva actualización de PHP) y, como es centro de esta nota, la seguridad. Cada actualización de PHP soluciona debilidades en el blindaje de WordPress, y por ende siempre debemos descargarla.

Al momento de esta nota, la última versión de PHP es 8 revisión 1.24.

Para conocer la versión que estamos usando de PHP debemos dirigirnos, primero, a Herramientas Salud del sitio (¿qué es la salud del sitio en WordPress?). A continuación, seleccionaremos la pestaña Información. Seguidamente, buscaremos el desplegable Servidor. La captura inferior muestra todo lo que debemos cliquear para llegar a la información de la versión PHP instalada en nuestro WordPress.

Ver Version Php Wordpress

Para cambiar la versión PHP que estamos usando recomendamos leer nuestra guía para cambiar la versión de PHP de WordPress. Es una guía paso a paso con capturas que simplificará la tarea si desconocemos cómo llevarlo a cabo.

Nótese que si tenemos instalados Plugins viejos/sin actualizar, debemos actualizarlos para asegurarnos de que funcionen correctamente con una versión nueva de PHP. Si uno de los componentes que usamos deja de funcionar y no posee una actualización fresca, lo mejor es reemplazarlo por otro plugin que ofrezca las mismas funcionalidades pero que se encuentre actualizado.

Un plugin que no anda con la nueva versión de PHP es literalmente una ventana por donde usuarios maliciosos podrían acceder a nuestra web y tomar control.

3. NO usar “Admin” como nombre de usuario

La manera usual de hackear el acceso a un sitio WordPress es la “fuerza bruta”. Esto implica que un robot (un programa que va por las redes buscando maneras de apoderarse de los sitios), intenta adivinar el usuario y contraseña de nuestras credenciales de acceso al Escritorio de WordPress. Estos robots dan por sentado lo que ocurre realmente: la mayoría de los admins dejamos el nombre de usuario “Admin”. Con esto, los usuarios maliciosos ya tienen el 50% ganado.

4. Usar contraseñas difíciles, seguras

El lema de las credenciales es “asegurate de utilizar una contraseña segura”. ¿Qué es una contraseña “segura”? ¿Basta con no usar mi fecha de cumpleaños o de un aniversario? No.

Las contraseñas seguras combinan letras con números y caracteres especiales, lo que dificulta enormemente a los piratas informáticos descifrar la combinación.

Las características de una contraseña segura son:

  • 12 caracteres como mínimo.
  • Combinación de letras minúsculas con mayúsculas.
  • Nunca usar ninguna información personal: ningún nombre personal, nombre de mascota, número de patente, número de teléfono, nombre de tu calle, año o mes, etc.
  • Usar siempre contraseñas diferentes para diferentes cuentas.

Una contraseña que combina estas cuatro características es una contraseña segura. Por ejemplo: PaJaro-#4785

Otra recomendación relevante es cambiar la contraseña por una nueva cada año.

5. Reemplazar la ruta de login de WordPress (wp-admin) por otra inventada

Dado que los ataques de fuerza bruta se generan en la dirección de acceso mismo al Escritorio de nuestro WordPress, es decir www.nuestrositio/wp-admin, una ventaja de seguridad gigante es anular esa dirección (reemplazándola por otra).

Para lograr esto debemos emplear un plugin como WP Login Lockdown. La buenta noticia es que hemos abarcado este tema especial en nuestra guía paso a paso. Recomendamos su lectura e implementación para añadir una capa de seguridad crucial a nuestro WordPress.

6. No emplear plugins, Temas o builders “nulled” descargados de fuentes no oficiales

¿Qué es un plugin/Tema nulled? Un plugin o Tema nulled es sinónimo de haber sido crackeado. O sea, alguien operó sobre su programación a fin de que sus mecanismos de validación de originalidad (y compra legal) no funcionen.

Las personas que descargan estos componentes lo hacen para ahorrarse dinero, claro, pero no se van a ahorrar problemas. Esto es porque los hackers que vuelven gratuito un código pago no lo hacen por el bien de nuestro bolsillo. No, no son ángeles de la guarda ni carmelitos descalzos. Son truhanes que insertan en el código del Tema o Plugin su propio “virus” malicioso.

Entre las acciones oscuras que un Tema o Plugin nulled llevan a cabo encontramos el envío masivo de correos, redirecciones ocultas hacia otros sitios (generalemente de contenido triple X), robo de datos de usuarios (por ejemplo, números de tarjetas de crédito), inserción de contenido oculto (se añaden secciones a nuestro sitio que ni nos imaginamos), ralentización de nuestro sitio y de todo el servidor debido a procesos que se ejecutan masivamente.

Por si esto no fue suficiente, añadimos que también nos roban nuestros datos de ingreso a WordPress. Por ende, si un plugin o Tema o builder pago es descargado de un sitio “mágico” que lo ofrece sin costo, estamos en el horno.

Conclusiones

Cuando se trata de seguridad, todas las medidas de prevención no son bienvenidas sino necesarias. Nuestra web es nuestra casa, y no queremos que cualquier tercero pueda hacerse con las llaves, realizar una copia, ingresar a antojo y producir todo tipo de catástrofes incluyendo el robo.

Esta guía fue a la vez un llamado a la consciencia. Los invitamos a tomar cartas en el asunto y ocuparse de los seis puntos aquí detallados. Deséandoles éxitos en sus emprendimientos, agradecemos la lectura y los invitamos a dejar sus impresiones en la sección de comentarios.

NO TE PIERDAS NINGUNA NOTA

¡Recibí noticias, guías y últimas novedades de nuestro blog!

Diego Reig

Diseñador gráfico+web, escritor de reviews técnicos y sobre videojuegos. Narrador de ficciones. En Duplika colabora en el desarrollo del sitio, novedades WordPress, guías y análisis de plugins. Ama internet casi tanto como una buena comida. IG.

, ,

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Duplika

Duplika

Premium Web Hosting

I will be back soon

Duplika
Seleccione el medio de contacto deseado y le responderemos a la brevedad.

Si ya es cliente, puede enviar su consulta desde la mesa de soporte.
messenger
whatsapp
instagram
chat