Cómo hacer tu WORDPRESS SEGURO

Daruma Diseño Web y SEO
07/04/2022
¿Cómo puedes hacer tu instalación de wordpress más segura? Te enseñamos unos sencillos trucos para mantener a salvo tu instalación de acciones indeseadas.
como hacer tu wordpress seguro

Es muy importante dedicarle horas a la programación y al diseño de tu web pero todo será inútil si no le dedicas un poquito de tu tiempo a la SEGURIDAD.

WordPress es un CMS seguro. Siempre y cuando sigas estos sencillos consejos y los apliques en cada una de las páginas web que tengas o hagas.

Eso si, es bueno pero no infalible y puede pasar que incluso tomando estas medidas nadie te libre de un ataque. Pero con estos sencillos tips mejorarás la seguridad en tu página web y evitarás un porcentaje bastante alto de ataques automatizados.

¡Vamos al lío!

Primero algunos consejos generales

  1. Se creativo con tus contraseñas. Y si no te ves con imaginación prueba visitando este generador de contraseñas seguras.
  2. Mantén tus plugins y temas actualizados. Ya que además de añadir nuevas funcionalidades generalmente las actualizaciones arreglan brechas de seguridad.
  3. Ojo con el SPAM. Si tienes los comentarios activados en tu site deberías utilizar alguna herramienta para evitar bots . Yo uso reCAPTCHA de Google para verificar que no es bot. Y si eso no es suficiente buscaría alguna herramienta mas fuerte (tipo Akismet).
  4. HTTPS. La más básica pero la más necesaria. Si inicias sesión por http a una web la información será transmitida en texto plano. Si lo hacemos mediante https se hará mediante archivos cifrados mucho más seguros.
  5. Y por último pero no menos importante: Un hosting seguro.
 
Una vez claros los puntos anteriores vamos a ponernos al lío. 

Cambia tu nombre y su visualización

A priori parece una tontería pero algo tan sencillo puede salvarnos el día. Al instalar WordPress se crea un usuario admin con todos los privilegios. Si dejas este usuario tal cual, los atacantes ya sabrán tu nombre de usuario y tan solo tendrán que adivinar la contraseña. Les ahorras la mitad de trabajo para acceder al backend de tu web. Entonces ¿Qué hacemos? Muy sencillo: Panel de control de WordPress > Usuarios > Seleccionas al user Administrador >
Seguridad para wordpress

Añades un ALIAS  

Mostrar este nombre públicamente : Eliges el Alias

mejorar seguridad de tu wordpress

Oculta tu acceso al panel de control

Otra medida de seguridad adicional para que nadie acceda al backend de tu web es proteger tu wp-admin. Simplemente podemos hacer cambiando su nombre.

Hay muchas maneras de hacerlo pero la más sencilla es utilizando un sencillo plugin de seguridad que yo uso y que hasta ahora tengo que decir que ha venido a las mil maravillas. Y tiene un plus esencial para los que estamos empezando y es que es GRATIS.

ITHEMES SECURITY

Deberás instalar el plugin del repositorio de plugins de WordPress.

Una vez instalado veremos un nuevo icono en nuestra barra de plugins activos vertical de la derecha y ahí damos click en AJUSTES.

En la ventana que se nos abre, veremos que hay varias opciones, pues tenemos que darle click en ADVANCED (abajo del menú principal y que viene acompañado de un icono de un candado)

Y ahí activamos la pestaña de «Ocultar Escritorio»

 

securizar tu wordpress

Cambia el prefijo de tus bases de datos

Cuando leemos esta frase nos empieza a temblar el pulso y a sudar. ¡Oh no! ¿meternos ahora con bases de datos?

Os propongo una manera muy sencilla de llevar acabo esta tarea otra vez recurriendo a nuestro querido ITHEMES SECURITY.

Por defecto, WordPress asigna el prefijo `wp_` a todas las tablas de la base de datos en las que están tu contenido, usuarios y objetos. Para los potenciales atacantes, esto significa que es más fácil escribir scripts dirigidos a las bases de datos de WordPress, ya que todos los nombres del 95 % de las tablas importantes tienen nombres ya conocidos. Cambiando el prefijo `wp_`, hace más difícil, para herramientas que intenten aprovecharse de vulnerabilidades en otros lugares, que afecten a la base de datos de tu sitio. Antes de que hagamos estos cambios, te recomiendo encarecidamente crear una copia de seguridad de tu base de datos.

Dirígete a el plugin Security >  Ajustes

Una vez que ya estás ahí dentro metete en TOOLS (al lado del icono de antes, y este viene acompañado de una llave inglesa)

Aquí selecciona «Cambiar el prefijo de la tabla de la base de datos» > RUN

Con este sencillo botón, en cuestión de segundos se habrá cambiado todo.  

 

Bloquea el acceso a XMLRPC

WordPress siempre querido implementar características  que te permiten interactuar de manera remota con tu sitio. Y cierto es que hay veces en que necesitas acceder a tu sitio web y no estás en tu ordenador. Para ello y durante mucho tiempo, la solución fue xmlrpc. Pero en los últimos años, esto se ha convertido más en un daño que en una solución.

Para detener todas las solicitudes entrantes de xmlrpc.php antes de pasarlas a WordPress.

Abre tu archivo .htaccess. Es posible que debas activar la función «mostrar archivos ocultos» dentro del administrador de archivos o tu cliente FTP para ubicar este archivo.

Dentro de tu archivo .htaccess, pega el siguiente código: 

 


# Block WordPress xmlrpc.php requests 
<Files xmlrpc.php> 
order deny,allow 
deny from all 
allow from xxx.xxx.xxx.xxx 
</Files>

 


Nota: Cambia xxx.xxx.xxx.xxx por la dirección IP a la que deseas permitir el acceso a xmlrpc.php o quita esta línea completamente. Yo la eliminaría y listo

 

Palabras finales

En general, WordPress  es una solución sólida para el diseño de páginas web y sin duda uno de los CMS más utilizados con diferencia. Sin embargo, quizá debido a su facilidad de instalación algunos vacíos de seguridad han terminado siendo bastante dañinos para algunos propietarios de webs.

Para garantizar que tu sitio permanezca seguro, es una buena idea seguir los sencillos pasos que hemos expuesto arriba. 

Con el tiempo, podemos esperar que algunas de estas características se integren de manera nativa en WordPress pero, mientras tanto, es una buena idea protegerse de los potenciales vacíos de seguridad.

¿Has hecho ya todos los pasos? ¿O tuviste algún problema? Puedes escribirnos para que te ayudemos.

Tabla de contenidos

NO DES MÁS VUELTAS

ESCRÍBENOS YA

daruma diseño web y seo en madrid
daruma˙

Diseño web y SEO en Madrid.

Tabla de contenidos