En este curso de seguridad de WordPress voy a mostrar de forma abreviada y fácil los pasos a seguir para conseguir ponérselo más difícil a cualquier bot o malware.

Antes que nada, para empezar desde cero con las instalación, te recomiendo que eches un vistazo al completo tutorial de Hostinger en el que te indican paso a paso cómo instalar WordPress.

¿Por qué es importante asegurar tu WordPress?

Una web WordPress hackeada puede afectar de forma significativa tus ingresos, si se trata de una web de venta tipo Woocommerce, o como poco afectar a tu reputación, ya sea con los usuarios, pero más importante con Google, que te desindexará para evitar que otros usuarios entren en tu web, lo que supone en la práctica una herida (si no mortal) difícil de cerrar.

En la actualidad, aparte del simple hackeo para redirigir enlaces y mejorar de forma artificial el posicionamiento de otras webs, cada vez está más de moda el Ransomware, en el que, aparte de hackear el portal te solicitan un rescate para recobrar el acceso a tu web.

Si además tienes un comercio online, igual que en las tiendas físicas sus propietarios se encargan de proveer al local de un sistema de seguridad y cierres especiales, es necesario que blindes tu negocio para evitar tener pérdidas o directamente tener que cerrarlo.

Actualiza de forma regular la versión de WordPress y los Plugins

El primer consejo consiste en actualizar de forma regular la versión de WordPress y los plugins que tengas instalados, ya que gran parte de las vulnerabilidades aparecen por agujeros de seguridad en alguno de los plugins que facilita el ataque de la web.

Nuestro consejo, con respecto a las actualizaciones:

• Actualiza siempre que puedas los plugins
• Actualiza la versión de WordPress siempre que no sea la primera revisión

En este último caso, por ejemplo, si acaba de salir la versión 4.10.1 te recomiendo que esperes a que salga la versión 4.10.2 o 3 mínimo para actualizar, ya que siempre se detectan problemas de incompatibilidad de plugins que a menudo suelen dar problemas.

Por último, en cuanto a actualizaciones de plugins es conveniente que se modifique el permiso del directorio de 755 a 705, ya que en estas actualizaciones los dejan desprotegidos.

En estas actualizaciones puede ocurrir que se genera alguna incompatibilidad de los plugins, por lo que para arreglarlo recomendamos desactivar todos los plugins y volverlos a activar poco a poco (nosotros lo hacemos de 4 en 4).

Utilizar contraseñas robustas y permisos de usuarios

Una de las causas más importantes de hackeo es dejar el usuario por defecto «admin», y realizan una serie de pruebas de fuerza bruta hasta que entrar en tu sitio.

Además, el tema de los permisos para distintos usuarios puede ser un problema, ya que el acceso a cualquiera de éstos por tener una contraseña débil puede permitir que el control del sitio.

Nuestra recomendación con las contraseñas:

• Crea un usuario nuevo con permisos de administrador y elimina el usuario por defecto «admin»
• Longitud mínima recomendable: 15 caracteres
• Utilizar mayúsculas, minúsculas, número y símbolos en esta. Siempre es más robusta si no tienen que ver con palabras del propio usuario. Si quieres conseguir estas os recomendamos visitar la web Clavesegura.org u otras que generan claves aleatorias
• Utilizar un gestor de contraseñas. Ya que estas contraseñas, sobre todo las generadas al azar suelen ser difíciles de recordar tienes distintas opciones gratuitas como Passpack, ClipperZ o LastPass.

Contratación de un hosting seguro

En este caso, recomendamos siempre contratar un hosting administrado, ya que disponen de más herramientas de seguridad, como son las actualizaciones automáticas de WordPress y plugins, monitoreo continuo de malware o copias de seguridad automáticas.

Plugins para asegurar tu web WordPress

En este curso vamos a obviar otras formas más avanzadas de modificación manual de ficheros, cpanel o plesk y nos vamos a centrar en soluciones más rápidas y cómodas para usuarios de nivel intermedio.

Entre las distintas soluciones que manejamos podemos recomendar los siguientes plugins:

• Login Lockdown: plugin que permite bloquear una web si intenta hacer login de forma erronea durante el número de intentos que indiques, bloqueando esta web por 10000 minutos. Esto evita el ataque de bots de fuerza bruta contra el portal.
• Wordfence: este plugin gratuito realiza un scaneo para detectar vulnerabilidades, ya sean plugins desactualizados, ficheros de WordPress que no concuerden con los originales ( y que por tanto pueden haber sido objeto de inyección de código malicioso)

• Sucuri: este plugin es muy parecido a Wordfence y es otra opción alternativa que escanea buscando malware en tu web de WordPress.

En resumen, hemos mostrado de forma sencilla cómo mantener la seguridad de tu sitio WordPress siguiendo nuestras recomendaciones y las funcionalidades de los plugins que hemos comentado, lo que disminuirá considerablemente el riesgo a tener un ataque a tu sitio WordPress.

La entrada Curso de seguridad WordPress para proteger tu sitio paso a paso aparece primero en .