Descubre cómo mejorar la seguridad de WordPress con estas buenas prácticas para proteger tu página web contra pirateos y malware.

Como plataforma de código abierto, WordPress es infinitamente personalizable: hay miles de temas, plugins y programadores disponibles para optimizar el diseño a tu antojo o según tus necesidades. Precisamente esto hace que la herramienta sea tan potente y popular.

La desventaja es que un elemento mal configurado o una falta de mantenimiento pueden causar problemas de seguridad que, además de conllevar tiempo, dinero y energía, impactan en la reputación de cara a los clientes y los buscadores: todas las semanas, Google pone en su lista negra unos70 sitios web.

No es que las páginas creadas con WordPress sean poco seguras en sí mismas. La plataforma cuenta con un buen plantel de investigadores e ingenieros de primer nivel que presentan actualizaciones periódicas.

La cuestión es que resultan un objetivo muy rentable. Más del de todos los sitios web en Internetestán creados con WordPress. Los hackers que quieren infectar tantas webs como sea posible suelen dedicarse a buscar un agujero en este software.

Para ayudarte a mitigar el riesgo de ciberataques en tu WordPress, en este artículo vamos a analizar qué puedes hacer para proteger mejor tu sitio web.

1. Usa siempre la última versión de WordPress

Casi la mitad de las páginas creadas con WordPress usan una versión antigua del programa. Sin embargo, las versiones desfasadas son un blanco habitual de los piratas informáticos, ya que conocen los puntos débiles que tiene cada una.

Para proteger tu web contra ciberataques, es fundamental que siempre esté actualizada. Esto incluye tanto el núcleo de WordPress como sus temas, complementos y cualquier otra aplicación que uses.

Por defecto, WordPress instala automáticamente las actualizaciones menores. Pero, para las versiones principales, es necesario hacerlo a mano (sobre todo para evitar errores de compatibilidad).

Por tanto, asegúrate de revisar este punto periódicamente e instala la última versión del programa tan pronto como salga. Para comprobar si estás ejecutando la última, entra en el área de administración y ve al apartado de actualizaciones del menú de la izquierda.

Lo mismo pasa con el código PHP, el cual los piratas informáticos explotan de múltiples formas. Actualiza a la última versión lo antes posible (si no tienes acceso a tu cuenta de alojamiento, ponte en contacto con tu programador web).

2. Establece contraseñas seguras

Los intentos de pirateo más habituales en WordPress se basan en contraseñas robadas o adivinadas. Son los llamados ataques de «fuerza bruta», en los que los ciberdelincuentes tratan de iniciar sesión automáticamente probando una contraseña detrás de otra.

Para ponérselo más difícil, lo mejor es elegir una contraseña fuerte (no solo para la zona de administración de WordPress, sino también para las cuentas de FTP, la base de datos, el hosting y las direcciones de correo electrónico con tu nombre de dominio) y no utilizarla en ningún otro sitio.

También puedes poner un límite a la cantidad de veces consecutivas que se permite intentar el inicio de sesión. Esta opción está disponible en algunos alojamientos y cortafuegos, pero también puedes instalar un plugin para habilitarla.

Además, es conveniente no usar «admin» como nombre de usuario. Antiguamente, el nombre de administrador era ese para todo el mundo. Esto facilitaba a los piratas los ataques por fuerza bruta, porque conocían de antemano la mitad de las credenciales.

3. Habilita la autenticación doble

Con la autenticación de dos factores, los usuarios que quieran iniciar sesión en tu web tendrán que dar su nombre de usuario y contraseña. Entonces recibirán un código de verificación en su móvil, el cual deberán introducir para poder entrar.

Para ello, es necesario instalar y activar un plugin en WordPress, y descargarse una aplicación en el móvil. Hay varias disponibles, pero LastPass Authenticator es interesante, porque hace una copia de seguridad en la nube.

Incluso puedes añadir un captcha a tu web para validar que quien quiere acceder es realmente una persona y no un bot. También hay plugins para esto, como reCaptcha de BestWebSoft.

4. Elige un tema de WordPress fiable

Al igual que no instalarías un plugin poco fiable, resiste la tentación de utilizar cualquier tema que tenga buena pinta.

Los llamados «nulos», por ejemplo, son reproducciones baratas de temas de pago. El problema está en que suelen tener muchas brechas de seguridad: o bien el tema no está actualizado y no tiene ningún tipo de asistencia, o bien los diseñadores son piratas que han hackeado el tema original y le han insertado código malicioso.

Lo mejor es elegir un tema de WordPress de su repositorio oficial. También puedes echarle un vistazo a los diseños de programadores de confianza en portales reconocidos. En cualquier caso, puedes comprobar si un tema se ajusta a las normas de WordPress copiando la URL en el validador de W3C.

5. Limita los permisos de los usuarios

Otro ataque habitual consiste en obtener acceso utilizando una cuenta de usuario válida, pero sin acceso privilegiado. Es decir, el pirata entra con un perfil verdadero y aprovecha algún fallo para obtener un grado de acceso superior, con más permisos.

Si sois muchos en la plantilla o colaboras con redactores externos, antes de crearles una cuenta y darles acceso a tu WordPress, presta mucha atención a las funciones que les concedes: WordPress tiene seis roles.

Limitando la cantidad de cuentas, hay menos probabilidades de que un pirata fuerce la entrada. Asignando los roles con cuidado, se limita el daño que puede hacer un hacker si adivina las credenciales de uno de los usuarios.

6. Escoge bien el hosting web

La mayoría de los planes de alojamiento low-cost almacenan los sitios web en servidores compartidos. En los proveedores de buena reputación, estos entornos no suponen un problema.

Sin embargo, en empresas menos reputadas, pueden colocar tu web en un hosting compartido en el que otra persona en la misma máquina puede llegar a conseguir permisos que le den acceso de «lectura» o «lectura y escritura» a tus archivos.

Un pirata informático puede usar estos permisos para acceder a tu base de datos o para insertar código malicioso en tu web.

A la hora de elegir el hosting para WordPress, busca un servicio que aísle a los clientes y que tome el máximo de medidas para proteger tu información.

7. Instala un plugin de seguridad

Es muy recomendable instalar un plugin de auditoría y vigilancia (o varios) para supervisar automáticamente la integridad de los archivos, los intentos de inicio de sesión, la búsqueda de malware, etc.

Hay muchos complementos de este tipo, pero uno muy útil es Wordfence. Se trata de un sistema de seguridad económico (hay versión gratuita y licencias anuales de pago que empiezan en 99 dólares) que monitoriza la página en tiempo real para detectar posibles ataques.

Está diseñado específicamente para sitios en WordPress e incluye tanto firewall de punto final como escáner de malware. También cuenta con un feed de amenazas en tiempo real que actualiza las funciones del firewall con los datos más recientes sobre malware.

Cualquier alerta de seguridad te llega por email y también se resalta en el panel de control, donde hay una lista organizada por gravedad en la que encontrarás instrucciones sobre cómo solucionar cada ataque.

8. Haz copias de seguridad

Hasta los portales de la Administración son pirateados. Por eso, vale la pena tener copias de seguridad de tu WordPress. Así podrás restaurar tu página lo antes posible si ocurre algo.

Lo más importante es guardar las copias de todo el sitio web al menos en un par de ubicaciones que no sean tu cuenta de alojamiento.

La frecuencia depende sobre todo de cada cuánto actualices tu web, pero lo mejor es hacer un backup una vez al día o, idealmente, en tiempo real.

9. Elimina las aplicaciones antiguas

Esto incluye las copias de seguridad viejas y los usuarios inactivos.

Si mantienes tu página WordPress al día de las actualizaciones, los piratas buscarán otras aplicaciones sin mantenimiento que sean vulnerables. Si logran acceder a tu web a través de ellas, podrán infectarla aunque hayas protegido el propio WordPress.

Si eliminas un plugin o un tema desde el panel de control, no te olvides de borrar todos los datos asociados en la base de datos.

10. Instala un certificado SSL

El protocolo SSL cifra los datos que se intercambian entre tu sitio web y el navegador de los usuarios, lo cual dificulta que los piratas roben la información (además de ayudar a mejorar el posicionamiento web).

La mayoría de las empresas de hosting ya incluyen SSL en sus planes. Por ejemplo, Nominalia ofrece el servicio gratuito Let’s Encrypt, además de opciones prémium más completas.

Tras instalar el certificado SSL en la cuenta de alojamiento, es necesario activarlo en WordPress. Si necesitas asistencia para manejar los aspectos técnicos y la activación de SSL, nuestros expertos te pueden asesorar.

No te olvides de la seguridad

Un día sí y otro también, los ciberdelincuentes buscan nuevas formas de explotar la presencia digital de las empresas y los usuarios. Por eso, proteger tu página web de WordPress no es un trabajo de una sola vez: es una tarea constante y en evolución.

Aunque el riesgo siempre estará ahí, esperamos que estas medidas de seguridad para WordPress te ayuden a mitigarlo.