Proteger WordPress

Home » Blog » Proteger WordPress
Iñigo Mezo Alvarez

Cada entrada, cada enlace que consigas a tu web, hará que seas cada vez más popular y ganaras reputación. WordPress es una plataforma muy popular no solo para gente que piense en su negocio sino para gente malintencionada. Vamos a ver que como podemos proteger wordpress de los hackers.

Pasos básicos para protegerse

Como hemos mencionado WordPress es muy popular porque es fácil de instalar, configurar, mejorar diseño, instalar funcionalidades, etc.  Y es openSource, algo muy muy positivo, ya que nos da acceso a todo su código fuente y podamos mejorarlo, pero eso (Qué es muy bueno) lo hace accesible a los que quieren hacernos daño, es decir tienen acceso a la configuración de base de datos, y la estructura del código fuente. Pero para eso, también WordPress, es muy bueno en actualizaciones de seguridad, solo hay que seguir estos consejos básicos:

  • Mantenerse al día: Esta bien temer un tema muy bonito o un plugin precioso, pero necesitamos que se actualice con cada nueva versión de WP. El CORE WordPress se actualiza cada pocos meses (3-4) para mejorar su código y solventar problemas de seguridad o rendimiento, ES OBLIGATORIO ACTUALIZARSE a cada nueva versión lo antes posible, y no solo el CORE sino los plugins y temas, si un tema / plugin no se ha actualizado en los últimos 2 años, descártalo. Este no es un problema de WordPress, es un problema general de la tecnología, pasa igual con el software del mvl, etc.
  • Cambiar prefijo de base de datos: Al instalar WordPress nos pide que pongamos un nombre de prefijo para las tablas de la base de datos, y por defecto nos propone wp_. Es OBLIGATORIO cambiar este prefijo, así protegemos la base de datos.
  • Contraseñas: Aunque sea un tópico, hay que usar contraseñas de calidad. Las que propone WordPress desde su gestor de usuarios son de muy buena calidad. Siempre hay quejas del tipo: es que no me acuerdo de ese pedazo contraseña, pero si queremos estar protegidos piense que los mayores robos de información empieza por una mala contraseña o una contraseña visible en forma de posit pegado (esto lo he visto yo) al escritorio o en un word en el escritorio sin contraseña. Piensa que los usuarios no son conscientes de muchos de los peligros de tener contraseñas típicas: 123456, nombre de mi mascota, etc.
  • Cambiar las claves de codificación de cookies: En el wp-config hay un bloque de claves que debemos actualizar con las nuestras (generador de claves). estas claves se usan en la generación de sesiones de los usuarios.
  • Copias de seguridad: Aunque no sea en si una medida para evitar, si permite, si sucede, recuperar la información al momento de la última copia.
  • En cuanto a temas y plugins revisar:
    • Calidad del código fuente.
    • Cada cuanto se actualiza.
    • Si es compatible con la última versión de WP.
    • Cuantos usuarios lo tienen instalado (Mirar este dato junto a la fecha del plugin, un plugin nuevo es normal que no tenga usuarios)
    • Revisa las preguntas en los foros del plugin (en wordpress.org/plugins/)  y mira si responden, si hay problemas, etc.
  • Debug: Desarrolla con el debug activado, te puede dar pistas de errores de seguridad en tu código fuente.
  • Activa HTTPS: Por lo menos en el gestor, aunque mejor para toda la web.
//en wp-config.php
define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);
//en .HTACCESS
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://midominio.ES/$1 [R,L]
  • Permisos de las carpetas: Por norma general para los archivos establece un permiso 644 y para carpetas 755, la única carpeta que debe ser accesible para escritura es uploads que es donde se almacenan las imágenes.
  • Controlar el SPAM. Tener enlaces a webs de baja reputación no solo afecta a la reputación, sino al rendimiento. Estamos diciendo que nuestra web está abierta a Spam y empezarán a llegar en oleadas.

Seguridad avanzada

Los puntos anteriores son el mínimo exigible para una web WordPress, pero podemos llevar la seguridad un paso más haya.

  • Limitar intentos de conexión: Es decir que cada usuario solo pueda intentar acceder 3 veces (por ejemplo) y si no lo consigue que no puede evitarlo durante 24 horas.  Esto se puede conseguir con un plugin como: WP Limit Login Attempts.
  • Reubicar o proteger wp-config.php: Podemos mover wp-config.php a una carpeta superior sin que WP deje de funcionar, por ejemplo si nuestra web está instalada en: miweb.com/blog/  podemos mover el fichero a miweb.com, todo funcionara igual. Otra opción es protegerlo desde htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
  • Reubicar wp-content: WordPress usa las variables globales:  WP_CONTENT_DIR, WP_CONTENT_URL, WP_PLUGIN_DIR, WP_PLUGIN_URL para determinar la ubicación de las carpetas wp_content y plugins. Desde wp_congif.php podemos indicarle que su dirección es diferente a la de por defecto. Hay que tener en cuenta que este cambio puede suponer un refuerzo de seguridad inmenso pero que algunos plugins o temas no funcionen correctamente, por lo tanto recomiendo hacer este cambio al comienzo del proyecto, y solo para aquellos en la que la seguridad sea clave.
  • Autentificación en 2 pasos: Lo que se hace es, además de los datos de usuario habituales, añadir otra capa de seguridad. Personalmente me gusta la idea del proyecto google authenticator que consiste en escanear un código QR generado en el momento de loguearse mediante la app del proyecto, que genera un código que solo se puede solo en ese momento, entonces compara que el usuario de la APP (logueado) es el mismo que intenta loguearse en WP.

Categorías

Foto de Iñigo Mezo Alvarez

IÑIGO MEZO ALVAREZ (IMAcreste)

Diseñador web, consultor SEO y programador web. Desde el 2001. Especializado en SEO técnico, desarrollo WordPress, ChatGPT API con Python y ERPs con SymFony. Autodidacta. Lector incansable. Amante de los animales y la naturaleza.

LinkedIn

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Déjame 1 reseña

Las reseñas son opiniones que las personas dejan en la página local de Google. Si son positivas, estas reseñas ayudarán a mejorar la confianza y credibilidad de una marca.

Escribir una reseña

Gana una Auditoría SEO

Participa en nuestro sorteo enviando un email con tu nombre y el asunto «Sorteo AUDITORÍA SEO». Se realizara un sorteo cada mes.

Participa AHORA!
 
 
 
  Evaluación EXCELENTE  
 A base de 7 reseñas 
 
   
 
 
 
  
 
  
Contactamos con Iñigo para el diseño web de nuestra tienda online y estamos encantados. Su asesoramiento, seguimiento y trato han sido excepcionales. Un verdadero crack. Recomendado al 100%. No dudes en ponerte en contacto con el.
  
 
 erlantz rique 
 
 
 erlantz rique 
 
19/02/2024
 
 
 
 
  
 
  
Un acierto quien elija a Iñigo. Autentico profesional, se preocupó en todo momento que entendiera el funcionamiento de la web. Me explicó todo las veces necesarias hasta entenderlo. Se preocupó y acertó en que la web tuviera lo que le pedí y lo hizo con creces. Muy contento con el servicio prestado. Una vez realizado el trabajo, cualquier duda que tengo me sigue ayudando. Lo recomiendo sin temor a equivocarme.
  
 
 Jose Marlasca 
 
 
 Jose Marlasca 
 
06/02/2024
 
 
 
 
  
 
  
Dió en la clave y nos dió los instrumentos que necesitábamos en esos momentos, y sobre todo entendió a la perfección lo que buscábamos. Lo mejor de web que hemos tenido en 24 años. Eskerrik asko Mezo!!
  
 
 Troka Abentura 
 
 
 Troka Abentura 
 
07/01/2024
 
 
 
 
  
 
  
Compromiso, implicación e innovación en los proyectos. Atento a las necesidades e incansable en la búsqueda de soluciones. Muy buena opción.
  
 
 Jabier Fuertes Udaondo 
 
 
 Jabier Fuertes Udaondo 
 
07/01/2024
 
 
 
 
  
 
  
Si buscas a alguien que además de hacer un diseño web moderno, responsivo y adaptado a tu sector, te explique por qué plantea el diseño web de esa manera y que te explique y ayude en posicionar tu web lo mejor posible en base a los objetivos fijados, ese es Iñigo Mezo y os lo recomiendo al 100%
  
 
 Asier Hermoso 
 
 
 Asier Hermoso 
 
03/01/2024
 
 
 
 
  
 
  
Genial trabajar con él! Además de ser muy buen profesional, experto y responsable, a destacar tanto su implicación en cada proyecto, así como su trato siempre cercano y su paciencia infinita ;)
Un crack!!
  
 
 itxaso zubia 
 
 
 itxaso zubia 
 
15/12/2023
 
 
 
 
  
 
  
El plugin gratuito para integrar productos de Prestashop en Wordpress muy sencillo de utilizar y muy bien documentado, os felicito.
  
 
 Fernando Cózar 
 
 
 Fernando Cózar 
 
02/11/2023