Mejores prácticas para proteger tu negocio online hecho en WordPress

Por eso, a medida que va en aumento la cantidad de sitios web hechos en WordPress también se incrementa el número de potenciales amenazas y hackers que pueden poner en peligro tu negocio y su posicionamiento online.

En este artículo voy a ofrecerte una serie de pautas de seguridad a coste cero que tienes que poner en práctica para reducir al mínimo los posibles ataques y poder dedicarte al 100% a lo que realmente importa, hacer crecer tu negocio.

Mantén siempre actualizado tu sitio

Sin duda, lo primero que debes hacer es mantener WordPress actualizado a la última versión. Es verdad que el CMS se actualiza automáticamente, pero en la mayoría de casos pueden pasar varias semanas o incluso meses en hacerlo. Por eso lo mejor es hacerlo de forma manual lo más rápido posible.

Esto es debido a que las versiones obsoletas tienen agujeros de seguridad que utilizan los atacantes para entrar en tu sitio y aprovecharse de él.

Esta práctica debes llevarla a cabo también con los plugins que tienes instalados en WordPress, ya que al igual que el núcleo del CMS van surgiendo nuevas versiones de los plugins que van corrigiendo errores y añaden nuevas funcionalidades.

Utiliza contraseñas fuertes y seguras

Imagen de @mikemacmarketing en Flickr

La contraseña también desempeña un papel fundamental en la seguridad de nuestro WordPress. Por eso debemos prestar suficiente atención cuando vayamos a crearla.

Unas recomendaciones básicas serían las siguientes:

• Debe contener al menos 10 caracteres
• No debemos utilizar datos personales como nombre, fecha de nacimiento, mascotas. Datos que pudieran adivinar o hacer más fácil la tarea de su hackeo.
• Utiliza letras, números y caracteres especiales como $,@ o =.

Si necesitas ayuda para crear contraseñas seguras hay herramientas como LastPass que te ayudan fácilmente.

Como ves, crear una contraseña segura es muy sencillo y esto dificulta en gran medida los ataques por fuerza bruta, los más abundantes en la red.

Cambia tu usuario de entrada a WordPress

Tener como nombre de usuario de entrada al backend de WordPress el famoso “admin” es muy mala idea de cara a la seguridad de tu sitio.

Es el usuario por defecto que te sugiere este gestor de contenido y que la mayoría de gente no cambia, de ahí que muchos ataques contra negocios online radiquen en esta grave vulnerabilidad.

Lo que debes hacer es poner uno diferente al realizar la instalación, y al igual que la contraseña, cuanto más complicado mejor.

Si por el contrario ya tienes tu instalación realizada es posible cambiar a posteriori. Para ello tienes dos formas:

1. Crea un nuevo usuario con permisos de administrador y borra el antiguo
2. Utiliza el plugin Username Changer

Tienes una tercera opción que es editar directamente la base de datos, pero es un método que no te aconsejo si no eres un programador experto pues puedes hacer que deje de funcionar tu WordPress.

Mantén limpio tu sitio de temas y plugins que no uses

Toda porción de código que no vale para anda en WordPress debes eliminarla.

En el caso de las plantillas y los plugins con más razón, pues son una fuente muy importante de vulnerabilidades.

Da igual que tengas desactivados estos plugins y temas de tu sitio web, pues es código que tienes en tu sitio que con el paso del tiempo se convierte en una puerta de entrada para los hackers.

Pero además de hacer más seguro tu sitio, también lo harás más rápido. A menor número de plugins, más pequeño será el tamaño de tu base de datos y más rápidos serán los accesos a ella.

Instala plugins de repositorios oficiales

Es verdad que el precio de los plugins puede ser en muchos casos abusivo y la tentación de buscar sitios piratas es grande, pero es una de las peores decisiones que puedes tomar.

En la mayor parte de las ocasiones podemos encontrar plugins premium de forma gratuita en este tipo de sitios web, que instalamos en nuestro sitio web y al ver que funcionan correctamente no nos preocupamos por ellos.

Pero esto no debería ser así.

La mayoría de plugins que bajamos de sitios no oficiales tienen malware incrustado en su código, por lo que además de realizar las funciones básicas de ese plugin, insertan código malicioso que posteriormente los hackers utilizan contra ti.

Por esto es mucho mejor tener un plugin de pago que varios piratas. Poco a poco según tu sitio vaya creciendo podrás permitirte comprar más plugins que mejoren las funcionalidades de tu WordPress.

El mejor consejo que podemos darte es que, si tienes este tipo de plugins instalados, los desinstales ahora mismo y pases algún antimalware para descubrir posibles amenazas e infecciones.

Elige un hosting seguro y confiable

Cuando se trate de seguridad nunca descuides el alojamiento web. Está demostrado que el año pasado, casi la mitad de los ataques sufridos por los negocios online estaban relacionados con fallos de seguridad y vulnerabilidades del hosting.

Por eso, lo mejor es optar por un hosting especializado en WordPress, un alojamiento que garantice herramientas de seguridad especializadas para este gestor de contenido.

Otra recomendación es que no sea compartido, sino VPS o dedicado, según lo que te permita tu presupuesto. Si tienes tu negocio en un servidor compartido, en un mismo lugar hay varios usuarios y sitios web, por lo que si uno resulta hackeado es mucho más sencillo que se propague al resto.

Además, es muy recomendable que el hosting realice copias de seguridad periódicas y así como un firewall.

Oculta tu versión actual de WordPress

Cada versión de WordPress que sale al mercado tiene una serie de vulnerabilidades de seguridad, por lo que es de suma importancia que los hackers no sepan qué versión es la que estamos utilizando en nuestro negocio online

Para poder ocultarlo basta con acceder al editor de temas, al que podemos llegar desde el menú de la izquierda en Apariencia -> Editor de Temas y abrir el archivo functions.php.

Ve al final del documento y añade la siguiente línea de código:

remove_action(‘wp_head’, ‘wp_generator’);

Pon un límite a los intentos de login

Imagen de @cezaryborysiuk en Flickr

Como te hemos dicho anteriormente los ataques de fuerza bruta son los más comunes en Internet. Por eso es muy importante no permitir demasiados intentos de login al backend de WordPress.

Si limitamos el número de intentos a un número cercano a 3 o 4 será prácticamente imposible que entren los hackers en nuestro sitio, pues si sobrepasan el número de intentos serán bloqueados por IP.

Los plugins que permiten hacer esto son muchos, pero nosotros te aconsejamos que utilices uno de los siguientes:

• Wordfence
• iThemes Security
• Limit login attempts

En nuestro sitio web, Tecnobeta, tenemos instalado el plugin Wordfence y gracias a las estadísticas que muestra, hemos sido capaces de saber que ha bloqueado cientos de ataques de este tipo en los últimos meses.

Protege los archivos de WordPress

En el directorio raíz de tu instalación WordPress tienes dos ficheros muy importantes que tienes que proteger de accesos desde el exterior.

Son el wp-config.php y el .htaccess, a los cuales debes cambiar los permisos de lectura y escritura.

Para ello, basta con poner el siguiente código al final del archivo .htaccess y añade lo siguiente:

<Files wp-config.php>

order allow,deny

deny from all

</Files>

<files .htaccess>

order allow,deny

deny from all

</files>

Instala un plugin de seguridad como iThemes Security o Wordfence

Ambos plugins son las suites de seguridad más conocidas actualmente. Son complejos y tienen un montón de características que podemos configurar a nuestro antojo.

Gracias a ellos podrás mejorar fácilmente varios aspectos relativos a la seguridad de tu sitio.

Además, ambos tienen una versión gratuita que es más que suficiente para elevar el nivel de protección de un negocio online común.

Artículo cortesía de Javier López, CEO de Tecnobeta.net, apasionado de las nuevas tecnologías y del marketing online. Un emprendedor nato al que le llena su vocación y que sigue aprendiendo todos los días.