Cómo Volver Más Seguro Tu Sitio WordPress (25 Consejos)

Hablemos en serio sobre seguridad.

WordPress es una excelente y segura plataforma desde el inicio, pero hay más que puedes (¡y deberías!) hacer para mantener tu sitio a salvo de los acechadores con malas intenciones. Muchas de estas mejoras de seguridad son fáciles de implementar y pueden ser realizadas manualmente en pocos minutos. Otros simplemente requieren instalar un plugin en particular.

En este artículo, te guiaremos a través de 25 diferentes estrategias para mejorar las defensas de tu fortaleza WordPress. Pero primero, vámonos un poco por las ramas sobre por qué la seguridad web debería importarte. 

Por Qué La Seguridad WordPress es Tan Importante

Si estás buscando crear un sitio seguro, elegir WordPress como tu plataforma es una excelente forma de comenzar. No es solo una plataforma flexible, poderosa para construir sitios web — también es notablemente seguro desde el inicio. 

Eso es porque a los desarrolladores de WordPress les importa la seguridad y están dedicados a “endurecer” el núcleo de la plataforma tanto como sea posible. Además, frecuentemente lanzan actualizaciones enfocadas en seguridad y parches, los cuales serán descargados automáticamente e instalados en tu sitio. Esto quiere decir que tu sitio estará bien equipado para tratar con cualquier nueva amenaza que aparezca. 

Relacionado: La diferencia entre WordPress.com & WordPress.org

Por supuesto, ninguna plataforma puede ser 100% segura. Los hackers son duros en el trabajo intentando encontrar una manera de entrar en incluso los sitios mejor protegidos (si ellos solo usaran esos poderes para algo bueno, ¿cierto?). Y ya que WordPress impulsa más del 30% de la web, es bastante popular para ser un objetivo constante.

Debería ser evidente, pero si los malos logran entrar en tu sitio, pueden causar mucho daño. 

Por ejemplo, pueden robar o comprometer información sensible, instalar malware, hacer cambios en tu sitio para que se ajuste a sus necesidades o incluso ponerlo fuera de línea por completo. Esto es dañino para ti y tus usuarios, y si estás administrando un negocio, puede significar clientes y ganancias perdidos.

Es de vital importancia tomar pasos adicionales para asegurar tu sitio WordPress. Querrás poner tanto tiempo y esfuerzo en esta tarea como lo gastaste diseñando tu sitio en primer lugar (si no un poco más). Afortunadamente para ti, querido lector, hay muchas formas simples, rápidas de mejorar la seguridad de tu sitio, así como también algunas técnicas más complejas que puede que quieras emplear. 

25 Consejos de Seguridad en WordPress

Con suerte, te he convencido de la importancia de mantener un sitio WordPress seguro. Si no, voy a tener que inscribirme de nuevo en el curso básico de Escritura Persuasiva. Por favor no me hagas hacer eso. 

A través del resto de este artículo, te presentaré 25 estrategias útiles para hacer tu sitio más seguro y reducir las probabilidades de que sea comprometido. Además, te mostraré la dirección correcta para comenzar con cada técnica.

No tienes que implementar cada sugerencia en esta lista — aunque ciertamente puedes — pero entre más pasos tomes para asegurar tu sitio, más bajas serán las probabilidades de que encuentres un desastre en el camino. 

Usa una compañía de alojamiento de calidad

Puedes pensar en tu compañía de alojamiento como la calle de tu sitio web en el internet — es un lugar donde tu sitio “vive”. 

Así como un buen distrito de escuelas importa para el futuro de tus hijos (o eso dicen; yo salí bien), la calidad de la base inicial de tu sitio web cuenta mucho de grandes formas.  

Un sólido proveedor de alojamiento puede impactar qué tan bien funciona tu sitio, qué tan confiable es, qué tanto puede crecer e incluso qué tan alto clasifica en los motores de búsqueda. Las mejores compañías de alojamiento ofrecen muchas funcionalidades útiles, excelente soporte y un servicio hecho a la medida para tu plataforma escogida. 

Relacionado: 13 Simples formas de aumentar SEO en tu sitio WordPress

Como probablemente ya adivinaste, tu compañía de alojamiento también puede tener un impacto significativo en la seguridad de tu sitio. Hay muchos beneficios de seguridad para elegir un servicio sólido de alojamiento, incluyendo: 

• Una compañía de alojamiento constantemente actualiza su servicio, software y herramientas para responder a las últimas amenazas y eliminar las potenciales violaciones de seguridad.
• Las compañías de alojamiento ofrecen varias funcionalidades específicas de seguridad, tales como certificados SSL/TLS y protección contra DDoS. También deberías obtener acceso a Web Application Firewall (WAF), lo cual ayudará a monitorear y bloquear serias amenazas dirigidas a tu sitio.
• Tu compañía de alojamiento web probablemente proveerá una forma de hacer copias de seguridad de tu sitio (en algunos casos, incluso haciéndolo por ti), para que si eres hackeado puedas revertir fácilmente tu sitio a una versión estable y previa al hackeo.
• Si tu compañía de alojamiento ofrece soporte confiable, 24/7, siempre tendrás a alguien para ayudarte si te encuentras con algún problema relacionado con la seguridad.

Esta lista debería darte un buen punto inicial para trabajar cuando estés buscando una compañía de alojamiento para tu nuevo sitio, o incluso si estás pensando en cambiar de compañías de alojamiento. Querrás encontrar una que ofrezca todas las funcionalidades que vas a necesitar, además de tener una reputación de confiabilidad y excelente rendimiento. 

DreamPress es un servicio de alojamiento administrado para WordPress que es rápido, confiable, escalable y por supuesto, seguro. DreamPress incluye un certificado SSL/TLS preinstalado y provee un WAF dedicado diseñado con reglas para proteger sitios WordPress y bloquear intentos de hackeos. También obtienes copias de seguridad automatizadas, soporte 24/7 de expertos de WordPress y Jetpack Premium — un plugin que puede añadir muchas funciones adicionales de seguridad a tu sitio — sin ningún costo adicional. 

Con DreamPress, podrás estar tranquilo sabiendo que tu sitio está protegido. Nuestro servicio de alojamiento incluso se encarga de muchos de los siguientes pasos de mejoramiento de seguridad por ti — aunque nosotros aún te recomendamos seguir leyendo para aprender cuáles medidas adicionales puedes tomar.

Registro Privado de Dominio

Para registrar un dominio, se te pide que proporciones tu nombre, dirección y número de teléfono. Esta información es utilizada para rastrear al dueño de los nombres de dominio y está disponible en línea con una rápida búsqueda en el directorio WHOIS. 

Mientras que llevar registro de esta información es vital para la salud del internet, es razonable no querer tener tu información personal en línea. Aquí es donde el Registro Privado entra a la historia. Cuando registras un dominio con DreamHost (o cualquier otra plataforma de alojamiento seguro, asumo), tienes la opción de sustituir tu información personal con la información relevante de la plataforma de alojamiento.

Entonces, cuando buscas tu dominio en WHOIS, en cambio, aparecerá la dirección e información de contacto de DreamHost. Incluso puedes habilitar esta función de seguridad después de que tu dominio haya sido registrado. 

Cambia Tu Sitio a HTTPS

Hablemos más sobre un certificado SSL/TLS.  Esto te permite cambiar tu sitio a HyperText Transfer Protocol Secure (HTTPS) — una versión más segura de HTTP. Estos son importantes conceptos de seguridad que debes entender, pero son simples de comprender, incluso si nunca antes has escuchado de ellos antes.

El HTTP es el protocolo que transfiere información entre tu sitio web y cualquier navegador intentando acceder a él. Cuando un visitante hace clic en tu página inicial, todo tu contenido, multimedia y código de sitio web son enviados a través de este protocolo a la ubicación del visitante. 

Mientras que esto es necesario, por supuesto, de hecho presenta algunos problemas de seguridad. Los malos pueden intentar interceptar la información mientras que está en tránsito y usarla para sus propios propósitos nefastos. 

¡El HTTPS soluciona este problema! Hace lo mismo que el HTTP, pero también cifra la información de tu sitio mientras que está viajando de un punto a otro, así que no puede ser fácilmente accedida.

Inicialmente, el HTTPS fue utilizado principalmente para sitios administrando información sensible, tal como detalles de tarjetas de crédito. Sin embargo, se ha convertido cada vez más común para todos los sitios y grandes nombres tales como WordPress y Google ha estado presionando para que sea implementado en general. 

Para cambiar tu sitio a HTTPS, primero vas a necesitar un certificado SSL/TLS. Esto comunica a los navegadores que tu sitio es legítimo y que su información es propiamente cifrada. También puedes obtener uno de forma gratuita en algunos sitios, tales como Let’s Encrypt.
​​

Una compañía de alojamiento de calidad típicamente proveerá un certificado SSL/TLS como parte de tu paquete de alojamiento. De hecho, en DreamHost, ¡ofrecemos certificados Let’s Encrypt gratuitos con todos nuestros planes de alojamiento!

Una vez que tienes un certificado SSL/TLS instalado en tu sitio, simplemente tendrás que implementar el HTTPS. Tu compañía de alojamiento puede encargarse de esto por ti, aunque también es bastante fácil de hacerlo por tu cuenta. Si has decidido usar DreamPress, la limusina lujosa del alojamiento, tu sitio será creado usando HTTPS desde el principio. Nada mal, ¿verdad?

Cambia el Nombre de Usuario Administrador

Cuando creas tu sitio web, todo nuevo y bonito, se te da un Perfil de Usuario. En cualquier momento, puedes ingresar y cambiar tu ‘Apodo’ o utilizar tu ‘Nombre Completo’, pero cambiar tu nombre de usuario es otra historia totalmente diferente. Para cambiar tu nombre de usuario tendrás que crear un nuevo usuario completamente y proporcionar esa cuenta con un rol de administrador. ¿La desventaja? Necesitas usar una dirección de correo diferente a la que ya empleaste con tu cuenta actual. 

Después de crearlo, puedes alterar tu nombre de usuario creando un nuevo usuario, dándole el rol de administrador y atribuyendo todo tu contenido a él, para posteriormente eliminar la cuenta original. Cuando tu nombre de usuario previo haya sido eliminado, puedes cambiar la dirección de correo de la nueva cuenta si lo deseas. 

Crea una Contraseña Segura

Es realmente importante seleccionar tus credenciales de inicio de sesión cuidadosamente. Mucho, muy, ¡realmente importante!

¿Por qué? Esto hace más difícil que una persona rara y sospechosa tenga acceso a tu sitio. Probablemente, tienes suficiente experiencia para elegir nombres de usuario fuertes y contraseñas para otras cuentas a través de la web — hacer lo mismo para tu sitio web WordPress es un tema importantísimo. 

Cuando creas tu sitio, se te dará la oportunidad de crear un nombre de usuario de inicio de sesión y contraseña. El nombre de usuario por defecto será ‘Admin’, aunque lo puedes cambiar si así lo deseas (y probablemente deberías). Pero, ya que hay varias formas de que las personas encuentren cuál es tu nombre de WordPress, puedes quedarte con la opción por defecto si así lo deseas.

Sin embargo, tu contraseña es crucialmente importante y querrás elegir una que sea fuerte. Recientemente, ha habido algunos giros en U sobre cómo elegir una contraseña fuerte, con la recomendación de una frase de cuatro palabras, venciendo la clásica mezcla de letras al azar, números y símbolos. Es un método que ha sido popular en algunos círculos por un tiempo.

Si toda esta charla de escoger una contraseña hace que tu cabeza de vueltas, te recomendamos quedarte con la contraseña del generador de WordPress, ya que automáticamente genera una contraseña (casi) acorazada directamente en el backend de WordPress. Solo asegúrate de grabar tus credenciales en algún lugar seguro, como un administrador de contraseñas cifrado, para que no las olvides.

Con respecto a tu contraseña, puedes simplemente ir a ‘Usuarios > todos los usuarios’ de tu panel administrativo de WordPress, haz clic en tu nombre de usuario e ingresa una nueva contraseña en la pantalla ‘Editar Usuario’. 

Habilita la Aplicación Web de Cortafuegos (WAF)

Posiblemente, estás familiarizado con el concepto de un cortafuegos — un programa que ayuda a bloquear todo tipo de ataques no deseados. Probablemente, tienes algún tipo de cortafuegos en tu computador. Un Web Application Firewall (WAF) es simplemente un cortafuegos diseñado especialmente para sitios web. Puede proteger servidores, sitios específicos o grupos enteros de sitios web. 

Un WAF en tu sitio WordPress funcionará como una barrera entre tu sitio web y el resto de la web. Un cortafuegos monitorea la actividad entrante, detecta ataques, malware y otros eventos no deseados, y bloquea cualquier cosa que se considere un riesgo. #Ganancia

Si has optado por nuestro paquete DreamPress, te puedes relajar; no necesitarás un cortafuegos adicional. DreamPress incluye un WAF integrado que monitoreará tu sitio en busca de amenazas y bloqueará usuarios maliciosos y programas para que no obtengan acceso. No se necesita ninguna acción de tu parte. 

DreamHost también ofrece DreamShield, nuestro servicio de escaneo contra malware de la casa. Cuando habilitas DreamShield en tu cuenta de alojamiento, escaneamos tu sitio semanalmente en búsqueda de código malicioso. Si encontramos algo sospechoso, se te notificará inmediatamente a través de correo. 

Implementa la Autenticación de Dos Factores

Antes de continuar, hay más de una técnica para abordar: la autenticación de dos factores (que también es conocida como autenticación de dos pasos y una variedad de otros nombres similares). El término se refiere al proceso de dos pasos que necesitarás seguir cuando estés iniciando sesión en tu sitio. Esto toma un poco más de tiempo por tu lado, pero ayuda bastante a mantener a los hackers fuera de tu sitio. La autenticación de dos factores involucra usar un smartphone y otro dispositivo para verificar tu inicio de sesión. Primero, visitarás tu sitio WordPress e ingresarás tu nombre de usuario como normalmente lo haces. Un código único entonces será enviado a tu dispositivo móvil, el cual tendrás que proveer para completar el inicio de sesión. Esto te permite probar tu identidad al mostrar que tienes acceso a algo que es solamente tuyo — tal como un teléfono particular o tablet.

Tal como con muchas funcionalidades de WordPress, la autenticación de dos factores es fácil de añadir con un plugin dedicado. La Autenticación de Dos Factores es una opción sólida — es creada por desarrolladores confiables, compatibles con el Google Authenticator, y te permitirá añadir esta funcionalidad a tu sitio sin tanto problema. 

Otra opción es el plugin Two-Factor, el cual es bien conocido por su confiabilidad y por qué fue construido por desarrolladores principales de WordPress. Como con cualquier plugin en esta categoría, la curva de aprendizaje es un poco empinada, pero hará el trabajo y es bastante seguro. Si estás dispuesto a gastar un poco de dinero, también puedes echar un vistazo a la solución premium de Jetpack.

Cualquiera que sea la ruta que escojas, asegúrate de planear anticipadamente con tu equipo si es relevante, ya que necesitarás recolectar sus números de teléfono y otra información para comenzar. Con eso, tu página de inicio de sesión ahora está asegurada y lista. 

Ten Cuidado Cuando Añadas Nuevos Plugins y Temas

La disponibilidad pronta de temas y plugins es una de las mejores cosas sobre el uso de WordPress. Con estas herramientas útiles, puedes hacer que tu sitio se vea correcto y añadir casi cualquier funcionalidad en la que puedas pensar. 

Aunque, no todos los plugins y temas son creados por igual.

Los desarrolladores que no son cuidadosos o no tienen el nivel de experiencia correcto pueden crear plugins que no son confiables y son inseguros — o simplemente, son malos. Ellos pueden estar usando prácticas pobres de codificación que deja huecos que los hackers pueden explotar fácilmente o inconscientemente interferir con cualquier funcionalidad crucial. Todo esto quiere decir que debes ser MUY CUIDADOSO con los temas y plugins que eliges añadir a tu sitio. Cada uno debería ser analizado para asegurarte de que es una opción sólida que no dañará tu sitio o causará problemas. Hay muchos elementos para tener en cuenta, pero los siguientes consejos te ayudarán a seleccionar herramientas de calidad:

• Lee las reseñas: Revisa las calificaciones de usuarios y reseñas para conocer si las personas han tenido una buena experiencia con el plugin o tema en cuestión.
• Soporte de desarrolladores: Echa un vistazo para ver qué tan recientemente el plugin o tema ha sido actualizado. Si han pasado más de seis meses, es probable que no sea tan seguro como podría ser.
• Facilidad: Instala nuevos plugins y temas uno a la vez, para que si algo sale mal, sepas cuál fue la causa. También, asegúrate de hacer una copia de seguridad de tu sitio web antes de añadir algo a él. 
• Examina los recursos: Obtén tus plugins y temas de fuentes confiables, tales como el directorio de temas y plugins de WordPress.org, ThemeForest y CodeCanyon, y sitios web de desarrolladores confiables.

Actualiza a Menudo

Tu trabajo no está terminado una vez que has instalado los plugins y temas que quieres en tu sitio. 

También tendrás que mantenerlos actualizados para asegurarte de que funcionan bien juntos y que están asegurados contra las últimas amenazas. Afortunadamente, esto es bastante fácil — simplemente necesitarás ir a tu panel de WordPress, buscar las notificaciones en rojo diciendo que hay temas y/o plugins con actualizaciones disponibles y hacer clic en ‘Actualizar Ahora’ junto a cada uno. 

También puedes actualizar tus plugins en bloque al seleccionarlos todos y luego haciendo clic en el botón ‘actualizar ahora’, ya sea aquí o en el panel de WordPress. Esta es una opción más rápida, pero ten en cuenta, que actualizarlos todos a la vez puede hacer más difícil diagnosticar cualquier problema que resulte de la actualización. Sin embargo, si te estás asegurando de solo seleccionar los plugins y temas confiables, esto no debería ser un problema.

Antes de continuar, vale la pena mencionar que también deberías mantener WordPress actualizado. Bloques más pequeños y actualizaciones de seguridad serán añadidos automáticamente, pero puede que necesites implementar actualizaciones más grandes por tu cuenta (de nuevo, esto es bastante simple de realizar). Esto probablemente no tenemos que mencionarlo, pero DreamHost administra estas actualizaciones por ti, para que no tengas que preocuparte.

Recuerda: dejar WordPress o cualquiera de tus temas y plugins desactualizados es un riesgo que no quieres tomar. 

Configura Tus Permisos de Archivo

Hablemos un poco técnicos por un momento. 

Mucha de la información, datos y contenido de tu sitio WordPress está almacenado en una serie de carpetas y archivos. Estos están organizados en una estructura jerárquica y a cada una se le dan un nivel de permisos. Los permisos en un archivo de WordPress o carpeta determinan quién puede ver y editarlo, y puede ser configurado para permitir el acceso de cualquier usuario, solo tú, o casi cualquier cosa en la mitad. 

Los permisos de archivo son representados por un número de tres dígitos en WordPress y cada dígito tiene un significado. El primer dígito significa un usuario individual (el dueño del sitio), el segundo dígito del grupo (por ejemplo, miembros de tu sitio) y el tercero para cualquiera en el mundo. El número mismo significa que el usuario, grupo o el mundo:

• 0: No tiene acceso al archivo.
• 1: Puede solo ejecutar el archivo.
• 2: Puede editar el archivo.
• 3: Puede editar y ejecutar el archivo.
• 4: Puede leer el archivo.
• 5: Puede leer y ejecutar el archivo.
• 6: Puede leer y editar el archivo.
• 7: Puede leer, editar y ejecutar el archivo.

Entonces al archivo se le asigna un nivel de permisos de 640, por ejemplo, quiere decir que el usuario principal puede leer y editar el archivo, el grupo lo puede leer pero no editarlo, y cualquier otra persona no puede acceder al archivo. Esto incluso puede ser más complicado de lo que parece, pero es importante asegurarse de que cada persona solo tiene el nivel de acceso a los archivos de tu sitio y carpetas que quieres que tengan. WordPress recomienda configurar las carpetas en un nivel de permisos de 755 y archivos en 644. Estás bastante a salvo al apegarte a estas guías, aunque puedes configurar cualquier combinación que desees. Solo recuerda que es mejor no darle más acceso a nadie del que necesitan absolutamente, especialmente a los archivos principales. 

También querrás tener en cuenta que la configuración ideal de permisos dependerá de cierta forma de tu servicio de alojamiento, así que puede que quieras enterarte qué recomienda tu compañía de alojamiento. 

Nota: debes tener mucho cuidado cuando estés haciendo cambios a los niveles de permiso — elegir los valores incorrectos (como el temido 777) puede hacer tu sitio inaccesible. 

Mantén El Número de Usuarios en Tu Sitio Al Mínimo

Si estás administrando tu sitio de WordPress por tu cuenta, no necesitas preocuparte por este paso. Solo no le des una cuenta en tu sitio a nadie más y serás la única persona que puede hacer cambios. 

Sin embargo, a muchos humanos les gustan las personas y eventualmente añaden más de un usuario a su sitio web.  Puede que quieras dejar que otros autores contribuyan a tu contenido o simplemente necesites personas para ayudarte a editar ese contenido y administrar tu sitio. Es incluso más probable que te encuentres a ti mismo con un equipo entero de usuarios, quienes accederán regularmente a tu sitio WordPress y harán sus propios cambios. 

Esto puede ser beneficioso en muchas formas e incluso a veces es necesario. Sin embargo, también es un riesgo potencial de seguridad.

Entre más personas dejes entrar en tu sitio web, más alta es la probabilidad de que alguien cometa un error sin querer con las teclas o que un usuario cause problemas solo por no saber qué está haciendo. Por esta razón, es inteligente mantener la cuenta de usuarios en tu sitio web tan baja como sea posible mientras no obstaculice su habilidad de crecer. Particularmente, intenta limitar el número de administradores y otros roles de usuario con altos privilegios.

Aquí hay algunas sugerencias adicionales:

• Limita a cada usuario solo a los permisos que son necesarios para que hagan su trabajo. Obviamente.
• Alienta a los usuarios a usar contraseñas fuertes (recuerdas el punto no. 3?).
• Intenta tener solo un administrador, si es posible, y pequeños grupos de editores.
• Aquellos usuarios que han abandonado el sitio o simplemente no necesitan acceso, diles adiós y elimínalos. 
• Considera descargar un plugin, tal como Members, el cual provee una interfaz de usuario para roles y habilidades del sistema de WordPress.

Cierra la Sesión de Los Usuarios Inactivos

Nos ha pasado a todos — estamos navegando en el computador cuando algo nos distrae en la vida real. El perro ladra, el timbre suena, y luego de que nos levantamos y nos ocupamos de lo que sea que llamó nuestra atención, hay algo más que hacer. Una y otra, y otra vez. Cuando te das cuenta han pasado 3 horas desde que estabas sentado en tu computador, y tu gato escribió “fdhhsgkhhhhhhhhhhhhhhh” en tu chat. 

Por supuesto, que Bigotes escriba sus pensamientos en discord de hecho es lo menos malo que podría pasar. Dejar tu computador desbloqueado, quiere decir que alguien podría tomar el control de la sesión y realizar cambios a su cuenta o a tu sitio. 

Mientras que la concientización de usuario es una gran solución, algunas veces solo debes decir “¡hay un plugin para eso!”. En este caso, el plugin Inactive Logout.

 Una vez que instalas y activas el plugin, visita la página ‘Settings >> Inactive Logout’. Aquí puedes configurar cuándo se activa el timeout, y añadir un mensaje para que sea mostrado durante el tiempo de inactividad. 

Ya sea que elijas instalar el plugin o no, recuerda que la práctica hace al maestro, y recuérdale a cualquiera con acceso a tu sitio que deberían cerrar su sesión o bloquear su computador cuando se retiren de él. 

Limita los Intentos de Inicio de Sesión

Olvidarse de tu contraseña es una experiencia universal. Puede tomar 2-3 intentos antes de que intentemos cambiar nuestra contraseña de mala gana y recibamos el error “la contraseña no puede haber sido anteriormente”.

WordPress permite una cantidad ilimitada de intentos, lo que quiere decir que los ataques de fuerza bruta, o ataques donde un hacker intenta un número de contraseñas, son una de las maneras más comunes en las que los hackers pueden obtener acceso a cuentas privadas. Sin límite en los intentos de inicio de sesión, un hacker podría intentar introducir cada contraseña en el libro sin tener consecuencias.

Para configurar un límite de intentos de inicio de sesión que un usuario puede hacer, primero revisa tu Web Access Firewall (WAF) mencionado anteriormente. Si tu firewall ya está configurado, ya habrá un límite existente 

Pero, siempre recuerda, ¡hay un plugin para eso! De hecho, hay varios. 

Login Lockdown y Cerber Limit Login Attempts registran la dirección IP, la Hora y fecha de cada uno de los inicios de sesión fallidos, y te permite configurar cuántos intentos fallidos están permitidos en una cierta cantidad de tiempo, así como la cantidad de tiempo que la dirección IP debería estar bloqueada.

Ambos son gratuitos, sin embargo, Login Lockdown es más fácil de navegar, limitando tus opciones solo a lo que un principiante podría necesitar. Si requieres un sistema más robusto, Cerber Limit Login Attempts es la opción para ti, permitiéndote no solo añadir tu IP a la lista blanca/negra, sino que también notificará a los administradores si un cierto número de intentos es alcanzado. 

Rastrea La Actividad de Tu Área Administrativa

Si tienes múltiples usuarios, puede ser una gran idea mantener las cuentas sobre qué están haciendo todos ellos en el sitio. Rastrear actividad en tu área administrativa de WordPress te ayudará a identificar cuando otros usuarios están haciendo cosas que no deberían y puede indicar si algún usuario sin autorización obtuvo acceso. 

Cuando un cambio extraño se ha realizado o algo sospechoso es instalado, querrás poder encontrar quién estuvo detrás de esa actividad. Los plugins te tienen cubierto. 

Los plugins más grandes no incluyen esta funcionalidad desde el inicio, así que querrás encontrar una solución dedicada. Si quieres tomar un enfoque donde no tengas que involucrarte, Simple History hace honor a su nombre creando un registro optimizado, fácil de entender de cambios importantes y eventos en tu sitio.

Para funcionalidades de rastreo más específicas, también puedes echar un vistazo al registro de auditoría de WP Security, el cual mantiene vigilado casi todo lo que pasa en tu sitio y ofrece muchos complementos premium útiles. 

Una vez que tienes un plugin apropiado instalado, es una idea inteligente revisar el registro periódicamente en busca de cualquier cosa fuera de lo ordinario. Si algo que no estabas esperando pasa en tu sitio o de un momento a otro aparecen bugs, busca en la actividad más reciente.

Utiliza Un CAPTCHA

El Correo no deseado, ¡Spam! Como sea que lo llames, se muestra en tus comentarios o nuestras bandejas de entrada tarde o temprano. Usualmente, el spam son comerciales inofensivos que intentan obtener tu atención. El daño viene del correo no deseado que esconde enlaces de phishing o software malicioso. Entonces, ¿cuál es la mejor manera de sacar esos anuncios de tu sección de comentarios, y asegúrate de que cualquier resultado recopilado con tus formularios es legítimo? Sería muy útil si tuviéramos algo como un Test Público Automatizado de Turín para Diferenciar Computadores y Humanos, mejor conocido como nuestro amigo, el CAPTCHA. 

El CAPTCHA funciona pidiéndole a un usuario que realice algo que un software no puede hacer. Puede que te pida seleccionar una casilla, hacer clic en todas las imágenes con un barco en ellas (ah, cómo amamos esas en específico, ¿no?), o escribir unas letras y números al azar. Cuando el usuario completa la tarea correctamente, el sistema dice “oh, este no es un bot de spam” y les permite acceder. 

Hay algunos plugins diferentes que te permiten añadir un CAPTCHA a ciertas páginas en tu sitio web, el más popular siendo reCaptcha by BestWebSoft. Con muchas versiones diferentes de CAPTCHA disponibles a través del plugin, actualizaciones frecuentes y el plugin estando disponible en 12 idiomas, ciertamente es una muy buena opción. 

Otra opción es CAPTCHA 4WP By WP White Security. CAPTCHA 4WP te permite añadir un CAPTCHA no solo a formularios de WordPress, sino también a páginas de e-Commerce y otros plugins de terceros. 

Como la página de BestWebSoft reCAPTCHA dice “fácil para las personas, difícil para los bots”.

Realiza Copias de Seguridad de Tu Sitio Regularmente

Estaría mintiendo si dijera que hay una solución mágica para proteger tu sitio web de todas las amenazas. Incluso si implementas todas las sugerencias de esta lista, aún hay posibilidades de que experimentes una violación de seguridad en tu sitio. 

Los hackers son buenos en lo que hacen. 

Solo debes ganarles en su juego. Un plan completo de seguridad, quiere decir que debes prepararte para lo que harías si lo peor llega a pasar, incluso mientras que estás intentando asegurar que nunca pase. 

Hacer copias de seguridad de tu sitio regularmente es la forma más simple y mejor de salvaguardarlo en el evento de un desastre, si tienes una copia de seguridad reciente, puedes restaurar tu sitio a como estaba antes de que fuera hackeada o dañada. Esto te ayudará a arreglar el problema y podrás continuar tan pronto como sea posible.

Por supuesto, querrás ser inteligente sobre la forma en la que creas y usas tus copias de seguridad. Los siguientes consejos son un buen inicio:

• Mantén más de una copia de seguridad. Una buena regla de oro es tener al menos tres copias de seguridad recientes a la mano en todo momento, ya que es posible que tu copia de seguridad más reciente tenga problemas que no hayas notado aún.
• Guarda tus copias en múltiples ubicaciones externas, tales como almacenamiento en la nube y discos duros físicos.
• Organiza y apégate a un calendario de copias de seguridad. La frecuencia y el tiempo dependen de ti, aunque hay bastantes recomendaciones sólidas que puedes seguir.

Adicional a tu calendario regular de copias de seguridad, siempre es inteligente crear una copia de seguridad extra para tu sitio antes de hacer cualquier cambio en él. Entonces, antes de implementar cualquiera de estas técnicas de mejoramiento de seguridad, asegúrate de que tienes lista una copia de seguridad reciente.

Protege Tu Página de Inicio de Sesión con Contraseña

La página de inicio de sesión es la manera más probable en la que los hackers accederán a tu sitio web y si estás alojando contenido que tal vez no todo el mundo debe ver, la protección con contraseña aún es la mejor manera de proceder. 

Como una solución simple, para las publicaciones de blog o una sección ‘Sobre nosotros’, puedes añadir protección de contraseña a tu sitio, yendo a ‘Páginas > todas las publicaciones’ en tu panel de WordPress.  Una vez que haces clic en “editar” verás la opción para cambiar la visibilidad a “Protección con Contraseña”. Simplemente, guarda los cambios y sim sala bim, la página está asegurada.  

Hay otros métodos para bloquear diferentes áreas de tu sitio web. Algunas opciones pueden ser un poco más técnicas, pero aun así vale la pena aprenderlas. Por ejemplo, puedes crear un archivo htaccess, y añadir solicitud de contraseña a tu página de inicio de sesión. Un inicio de sesión, para tu inicio de sesión. ¿Qué se inventarán ahora? 

Esconde Tu Página de Inicio de Sesión

Añadir protección con contraseña a tu página de inicio de sesión es genial, pero ¿qué pasa si los hackers ni siquiera encontraron tu página de inicio de sesión? Como lo mencionamos anteriormente, las configuraciones predeterminadas pueden ser nuestra más grande debilidad, y cambiar tus páginas de wp-admin y wp-login es demasiado fácil para no hacerlo. 

Hay varios plugins que ofrecen este servicio e incluso redirigirán la página predeterminada de inicio de sesión a otra página de tu elección. Es posible encontrar plugins que ofrecen esto como parte de un paquete amplio (Defender también incluye un escáner de malware y un firewall), pero si estás buscando algo simple, también hay algo para ti (WPS Hide Login esconde tu página de inicio de sesión y eso es todo. Hay otras extensiones disponibles, pero este mantiene las cosas sencillas). Solo, recuerda que necesitarás añadir tu página de inicio a los marcadores de tu navegador, ya que la predeterminada no estará disponible. 

Actualiza Tu Versión PHP 

Así como Estados Unidos funciona con Donas (nosotros no lo dijimos), WordPress funciona con PHP. Actualizar WordPress no es suficiente para mantener tu sitio seguro — también, necesitas asegurarte de que estás usando una de las versiones más recientes de PHP. 

Normalmente, cada versión de PHP es soportada por al menos 2 años después de su fecha de lanzamiento, entonces cualquier vulnerabilidad será abordada por los ingenieros que diseñaron el código. Cuando ese código se desactualiza (o llega a su EOL o final de vida útil), es momento de una actualización, o te arriesgas a estar expuesto a riesgos de seguridad, ralentización de rendimiento, y un festival de bugs. 

En noviembre del 2022, PHP 8.2 será lanzado. Para ver qué versión de PHP estás ejecutando actualmente, inicia sesión en tu sitio WordPress y selecciona ‘Herramientas > Site Health’. Navega a ‘Info > Servidor’ y ahí verás la versión actual PHP que estás usando. 

Asegura Tu Base de Datos

Dejar cualquier cosa con su configuración predeterminada es una ventaja para los hackers, y por defecto WordPress utiliza wp_ como el prefijo para TODAS tus bases de datos relacionadas. ¡Buenas noticias! Si estás usando el Instalador de Un Clic ya existe un prefijo de letras y números aleatorios. Siempre y cuando finalice con un guión bajo, el sistema estará feliz. ¡Las mejores noticias! Incluso si tu WordPress ya está instalado, puede ser elegible para el Instalador de un Clic, siempre y cuando el sitio web esté completamente alojado y cumpla ciertos requisitos. 

Este es un gran paso para la seguridad y romper algo puede ser tan fácil como un guion faltante. Por suerte, hay una versión predeterminada del archivo wp-config.php disponible en WordPress Core, para que puedas reconstruirlo, ya sea que hayas intentado cambiar el prefijo de tu base de datos manualmente o con un servicio como phpMyAdmin.

Añade Preguntas de Seguridad

Mientras que no es la solución más común, las preguntas de seguridad le dan ese empuje adicional a tu seguridad. Dependiendo del plugin que elijas, puede que necesites elegir entre preguntas de seguridad existentes, o tal vez puedas crear las tuyas. Esta función a menudo viene en conjunto con otra, por ejemplo la autenticación multifactor. No subestimes la abundancia de métodos disponibles para proteger tu página de inicio de sesión de aquellos nefastos actores. 

Esconde la Versión de WordPress

Ya hablamos sobre mantener tu sitio web actualizado, pero ¿qué pasa si esa no es una opción? Sabemos lo renuentes que son algunas personas a actualizar Microsoft Windows… 

Bueno, la seguridad por oscuridad. Si lo pueden encontrar, lo pueden hackear. Esconde qué versión de WordPress estás usando o esconde que estás utilizando WordPress del todo. Puedes esconder tu información de WordPress al alterar el código del encabezado. Mientras que puedes entrar a la configuración de tu tema y editar la información que se muestra allí, esos fragmentos de código sólo regresarán cuando se realice la siguiente actualización de tema. 

Y, por supuesto, hay un plugin para eso. WPCode es un plugin gratuito que te permite ingresar una variedad de fragmentos de código, incluyendo uno para remover el número de la versión, sin importar cuantas veces intente escribirlas de nuevo ese tan terco tema. 

Evita el Hotlinking 

El hotlinking o enlace directo de imágenes, es el acto de robar el ancho de banda usando archivos alojados en un sitio, y enlazarlos a otro. Por ejemplo, digamos que alguien dibuja una caricatura llamativa, y tal vez algún otro sitio web quiere mostrar ese contenido sin permiso. Podrían hacer hotlink de esos cómics – en lugar de alojarlas desde sus propios servidores, simplemente crearían un enlace a ellas. Esto le costará más ancho de banda al sitio original, y, por lo tanto, más dinero.

Para prevenir el hotlinking puedes elegir rechazar ciertos dominios, permitir solo ciertos dominios o remover la habilidad de realizar hotlinks del todo al realizar un par de cambios a tu archivo htaccess. Incluso, puedes incluir un fragmento en tu archivo .htaccess que enrute todos los intentos de hotlinking a una página o una imagen de tu elección — tal vez algo que diga “No hagas Hotlinking, ¡es el 2022!”

Protección DDoS (Deshabilita el XML RPC)  

Una Negación Distribuida de Servicio (o DDoS), es cuando un hacker utiliza múltiples sistemas para enviar un gran volumen de datos y abruman su objetivo. Esto puede ralentizar y dañar su objetivo — imagina un gran embotellamiento de tráfico para tu sitio web donde no podría entrar tráfico legítimo. 

Sabemos que la paciencia en el internet es difícil de encontrar, con el usuario promedio esperando tan solo 3 segundos a que una página cargue antes de irse, entonces entre más rápido puedas identificar y solucionar un ataque a tu sitio, mejor. 

Mientras que prevenir un ataque DDoS puede parecer desalentador, uno de los primeros pasos que puedes tomar es remover (o al menos deshabilitar) cualquier plugin viejo o que no uses. Los plugins son increíblemente útiles, pero al incrementar la funcionalidad, también tienen un acceso a tu sitio web que puede ser explotado.  Por primera vez, descargar más plugins no es la respuesta. 

También puedes estarte preguntando qué es XML-RPC. Bueno, específicamente, le permite a WordPress acceder a través de la aplicación en tu dispositivo móvil. Si no estás usando tu smartphone para hacer cambios en tu sitio WordPress, entonces probablemente no necesitas esta funcionalidad habilitada. Apagarla requiere añadir rápidamente un fragmento de código a tu archivo .htaccess, y estarás más seguro así. 

Escaneo de Malware

Desafortunadamente, hay software allá afuera que está más encubierto que el virus de pop-up promedio. El malware (abreviación de malicious software) se esconde en lo que parecen ser aplicaciones decentes, entonces el usuario no sabe que su computador o sitio web ha sido infectado.

El escaneo de malware es una defensa importante. Funciona escaneando profundamente el computador y usando un software anti malware para identificar y aislar archivos sospechosos hasta que decidas si necesitan ser removidos. Si una amenaza es detectada, un buen escáner de malware eliminará cualquier rastro de ella de tu computador de inmediato. Por suerte, varios plugins de firewall vienen con un escáner de malware integrado, entonces asegúrate de revisar tus plugins actuales de seguridad para ver qué ofrecen.  

Si DreamHost es tu plataforma de alojamiento web, puedes activar DreamShield para que se encargue del escaneo de malware por ti semanalmente. 

Seguridad WordPress: Asegurando Tu sitio

Si tu sitio es hackeado, gastarás horas (¡incluso días!) intentando reparar el daño. Perderás información permanentemente o verás comprometida tu información personal — o peor, la de tus clientes.

Es por eso que debes invertir bastante tiempo y energía asegurándote que esa situación no ocurra jamás. De lo contrario, es posible que pierdas una importante parte de tu negocio y ganancias mientras intentas reparar el daño.

Estos 25 consejos de seguridad de WordPress, deberían ayudar. Algunos son simples ajustes. Otros afectan tu sitio entero, tal como cambiarte a HTTPS o añadir un certificado SSL. Por supuesto, querrás asegurarte de que tu sitio se ejecuta en una compañía de alojamiento asegurada para WordPress. 

Nuestro alojamiento de DreamPress (con migración de WordPress gratuita) está específicamente diseñado para el ambiente de WordPress. Además, si alguna vez encuentras un problema de seguridad, te tenemos cubierto con copias de seguridad realizadas automáticamente a diario, un escaneo semanal de Malware y ¡nuestro equipo de expertos de WordPress!