Estés familiarizado o no con el diseño web con WordPress sabrás que hablamos de uno de los sistemas de administración de contenido (CMS) más usados del mundo. Pero, muchos expertos dicen que WordPress es uno de los CMS más hackeados del mundo. Por eso, queremos ver una serie de cuestiones para mejorar la seguridad.

Lo primero es mantener el WordPress actualizado para tener un sitio web limpio y libre de malware. WordPress incorporó la característica de actualización automática en la versión 3.7 pero tan solo funciona para actualizaciones de seguridad menores. Por eso, las actualizaciones principales deben hacerse de forma manual.

Otro consejo es usar credenciales de inicio de sesión poco comunes. Se recomienda cambiar el nombre de usuario y olvidarse del clásico “admin” o crear una nueva cuenta de administrador con un nombre de usuario diferente y eliminar la anterior. Una buena contraseña es clave cuando hablamos de la seguridad en WordPress.

En Imagar insistimos en que es mucho más difícil atacar con una contraseña que contiene números, letras mayúsculas y minúsculas y caracteres especiales. Herramientas como LastPass y 1Password pueden ayudar a crear y administrar contraseñas complejas. Además, si necesitas iniciar sesión en el panel de control de WordPress estando conectado a una red no segura, usa una VPN segura que proteja tu información de registro.

Otro consejo es habilitar la autenticación en dos pasos. Agrega un nivel adicional de seguridad a la página de inicio de sesión. Es lo típico que usamos para entrar en la banca electrónica o en cualquier cuenta con información confidencial. En WordPress solo hay que instalar la aplicación de autenticación de 2 factores y configurar el CMS.

 

 

Deshabilitar los informes de errores de PHP

Pueden ser útiles si estás desarrollando tu sitio web y quieres cerciorarte de que todo funciona correctamente. Muchos proveedores de hosting tienen la opción de desactivar los informes de errores en el panel de control. Si no hay ninguno, simplemente has de agregar las siguientes líneas a tu archivo wp-config.php:

error_reporting(0);

@ini_set(‘display_errors’, 0);

 

Otra pauta clave para la ciberseguridad es no utilizar los temas o plugins anulados de WordPress. La mayoría están infectados con malware o con enlaces de SEO black hat. Además de no ser ético, es extremadamente dañino para la seguridad de WordPress.

 

Hay además que escanear WordPress para detectar malware. Esto se debe a que los hackers suelen usar “vacíos” o loopholes en temas o plugins para infectar WordPress con malware. Por eso, es vital escanear el blog con frecuencia. Hay muchos plugins bien codificados para ello, pero WordFence es uno de los mejores. Ofrece opciones de escaneo manuales y automáticas y numerosas configuraciones diferentes. Además, puede restaurar archivos modificados o infectados con solo un par de clics. Es gratis y de código abierto.

 

 

Otros plugins de seguridad populares de WordPress

• BulletProof Security: no escanea tus archivos, pero proporciona un firewall, seguridad de base de datos y más.
• Sucuri Security: este plugin protege de los ataques DOS, mantiene una lista negra, escanea el sitio web en busca de malware y administra el firewall. Si detecta algo, lo notifica por correo electrónico.

 

Migrar el sitio web de WordPress a un hosting más seguro

Un sitio web de WordPress puede ser actacado por por un vacío de seguridad en las cuentas de hosting. Por eso es recomendable migrar a un hosting más seguro.

 

Qué tener en cuenta para elegir nuevo hosting:

• Si es un hosting web compartido, que la cuenta esté aislada de otros usuarios y no haya riesgo de que un sitio web infecte a los del resto del servidor.
• Que tenga función de copias de seguridad automáticas.
• Que tenga una herramienta de escaneo de virus y de firewall.