Si tienes una pagina web echa con WordPress mejorar la seguridad tiene que ser uno de tus principales objetivos, aun que no lo creas continuamente están intentando entrar a tu cuenta de WordPress de múltiples formas con la finalidad de obtener tu usuario y contraseña de administración.
Aviso este articulo es largo y detallado, seguirlo al pie de la letra te ahorrara perder meses o años de trabajo.
Hay varios métodos para mejorar la seguridad en WordPress aun que nunca vas a estar 100% a salvo ya que los Hackers con malas intenciones siempre buscan la manera de saltar las protecciones y vulnerar la seguridad de tu pagina web. No por eso hay que tirar la toalla y dejar de tomar precauciones, todo lo que hagamos para dificultar el trabajo de los que intentan atacarnos hará que las posibilidades de ser hackeados disminuyan considerablemente.
Protege tu web WordPress y evita ser hackeado
Primer paso para estar mas seguros en WordPress, cambia la URL de acceso a tu panel de administración. Por defecto la URL de acceso a tu panel de administración es el dominio de tu web/wp-admin (en mi caso www.freeboxinformatica.club/wp-admin)
Si no cambiamos esta URL cualquiera puede acceder y probar de entrar con un usuario y una contraseña al azar, además existen programas que van probando usuarios y contraseñas de manera automática y pueden llegar a probar cientos de usuarios y contraseñas en poco tiempo.
Para cambiar esta URL necesitaremos un plugin que permitirá cambiar la dirección de acceso de manera fácil y rápida, el plugin se llama WPS Hide Login lo instalamos y activamos para después acceder ajustes de WordPress y encontraremos una nueva opción con el nombre del plugin WPS Hide Login.
Una vez en ajustes de WPS Hide Login vamos abajo del todo veremos URL de acceso la cambiamos por el texto que queramos por ejemplo: abrete-sesamo
Limitar intentos de inicio de sesión errónea
La segunda carta de seguridad para nuestra web WordPress será limitar los intentos de login. Limitar el intento de logins hace que si alguien intenta probar contraseñas al azar o con algún programa diseñado específicamente para ir probando usuarios y contraseñas va a ser bloqueado y posteriormente puede ser vaneado para que desde esa IP ya no pueda volver a intentar autentificarse nunca mas.
Para ello utilizaremos el plugin Limit Login Attempts lo instalamos y activamos para que nos aparezcan las opciones de limit login attempts en ajustes de WordPress.
Una vez ya estamos en los ajustes del plugin vamos a configurar el numero de intentos erróneos de inicio de sesión que queremos permitir y vamos a marcar la casilla para que nos envíen notificaciones por Email cada vez que alguien haya excedido el limite de intentos asignados.
También podemos ajustar el tiempo que tenga que esperar para volver a poder probar de iniciar sesión y el numero de veces que va a provocar el bloqueo de la IP por 24H. Si queremos podemos incluir la IP manualmente en la lista negra para que quede bloqueada para siempre.
Una vez hemos configurado todo a nuestro gusto le damos en guardar opciones.
Doble factor de autentificacion en WordPress
Una de las medidas de seguridad mas interesantes y efectivas a día de hoy es el doble factor de autentificacion, es decir, necesitaremos verificar dos veces que somos el usuario que decimos ser.
Ya no será suficiente poner nuestro usuario y contraseña para entrar en el panel de administración de WordPress, a partir de ahora además tendrás que poner un código creado aleatoria mente por una aplicación echa por Google.
Para activar la verificación en dos pasos tendremos que instalar el plugin Two Factor Authentication y la aplicación Google Authenticator para Android.
Una vez instalado y activado vamos a ver que en el panel izquierdo de nuestro escritorio WordPress tenemos una nueva opción llamada Two Factor Authentication.
Una vez en dentro podemos ver todos los ajustes, vamos activar la verificación en dos pasos marcando el circulo Enabled y guardamos cambios.
Después tendremos que descargar la aplicación Google Authenticator para móvil por que la vamos a necesitar para escanear el código QR que veremos luego.
Una vez instalada le damos al icono con el signo de mas (+) se abrirá un lector de códigos QR y leemos el que tenemos en los ajustes de Two Factor Authenticator
Es muy importante anotar las claves privadas (Private Key) por que si algún día no podemos acceder por lo que sea será nuestra salvación.
Ya solo queda guardar los cambios y cuando volvamos a iniciar sesión nos pedirá el código que obtendremos en la aplicación Google Authenticator.
Filtro Anti-Spam WordPress
El próximo paso será poner un filtro Anti-Spam, es necesario para que no colapsar nuestro WordPress con comentarios de publicidad que dejan los boots o usuarios que quieren hacer propaganda de sus productos o servicios aprovechando en trafico de nuestra web o blog.
Instalaremos el plugin Akismet, nos registraremos en WordPress.com y nos darán una API Key para que quede activado el filtro Anti-Spam de manera totalmente gratuita.
Una vez tenemos el plugin activado arriba nos aparecerá un mensaje diciendo activa tu cuenta de Akismet, hacemos clic encima.
En este punto ya podemos introducir la API Key o si no tenemos le damos en consigue tu clave API.
Si tenemos que conseguir la API Key tendremos que seguir todos los pasos hasta registrarnos, es muy fácil lo único que llegaremos a un punto en el que tenemos que escoger el importe a pagar y tenemos que mover hasta 0€.
Rellenamos el nombre el apellido y la URL de la web que estamos activando el filtro anti-spam Akismet. Ya por ultimo solo quedara iniciar sesión en WordPress (lo podemos hacer con nuestra cuenta de Google o crear una cuenta en WordPress.com) y si todo va bien aparecerá un mensaje diciendo Activate this site.
Ya por ultimo recomiendo activar la casilla del RGPD para que en los comentarios haga cumplir la normativa de protección de datos.
Copias de seguridad en WordPress
Incluso teniendo una web in-hackeable pueden ocurrir otras desgracias que hagan que nuestra web caiga o incluso que perdamos todo nuestro trabajo de meses o años. Las copias de seguridad son imprescindibles en todo sistema informático y WordPress no se libra de ello.
Utilizaremos el plugin All in One WP Migration, de todos plugins que he probado para copias de seguridad en WordPress es sin duda de los mas sencillos de utilizar.
Lo instalamos y activamos y ya tendremos acceso a su configuración en el panel de herramientas de WordPress de la izquierda.
Solo tiene esas tres opciones, yo recomiendo hacer una exportación y descargarla a nuestro ordenador para tener a mano la copia en caso de necesidad. Vamos a exportar.
De todas las opciones escogemos archivo.
Comenzara el proceso y al terminar nos dejara la opción de descargar el archivo.
haciendo clic en Download comenzara la descarga.
La versión gratuita de este plugin solo permite restaurar copias que no ocupen mas de 500mb la he probado con web’s pequeñas y funciona a la perfección incluso para migrar toda la web a un servidor local y tenerla de pruebas.
Si tenemos una web de mas de 500mb podremos hacer igual las copias de seguridad pero no restaurarlas, siempre podemos pagar en caso de emergencia la versión pro. Este plugin dejara todo exactamente como lo tenias antes de la catástrofe.
Actualizaciones de WordPress
Las actualizaciones en gran medida son parches de seguridad que mejoran o reparan posibles fallos de seguridad encontrados. Por muchas precauciones de seguridad que tengamos si hay un agujero de seguridad nos van a hackear igualmente. Antes de actualizar hacer copia de seguridad.
Mantener siempre actualizado a su ultima versión, plugins, temas y WordPress es imprescindible para no ser victimas de un fallo de seguridad en algunas de nuestras aplicaciones, temas o WordPress.
Actualizar WordPress es muy simple solo tenemos fijarnos en la barra superior de nuestro escritorio en WordPress y veremos que aparece el signo de actualizar con un numero, ese numero indica las actualizaciones pendientes.
Si hacemos clic nos enviara a la pagina donde podemos seleccionar y actualizar.
Personalmente recomiendo actualizar todo, seleccionar todas las casillas y le damos en actualizar plugins.
Es muy importante no detener este proceso en ningún momento ni intentar trabajar en otra ventana ni hacer nada que suponga utilizar o editar la web, por que si interrumpimos las actualizaciones podemos quedarnos con nuestra web bloquead (me ha pasado mas de una vez)
Creo que si has implementado todos estos métodos de seguridad en tu web echa con WordPress, es muy difícil que tengas problemas o que te hackeen la web. Hay mas cosas para mantener a salvo tu web como añadir verificación en dos pasos en nuestro CPanel del hosting y en las cuenta de correo electrónico vinculadas a nuestra web.
Recuerda que si hackean el dispositivo con el accedes a WordPress puedes comprometer tu seguridad aun con todos estos métodos.
Que métodos utilizas tu para mantener a salvo tu web? Déjalo en los comentarios y me ayudaras a mi y mas usuarios a mantener a salvo sus WordPress.
Que bien que estés aquí, tus artículos siempre me ayudan, muchas gracias.