WordPress es una CMS muy popular en todo el mundo. Su uso – según W3techs.com – representa el 64,3% de todas las webs en internet y un 43% de ellas están activas. Esto quiere decir que, WordPress es sin duda un objetivo muy codiciado por los atacantes en la red. Sin embargo, no todo está perdido si se implementan medidas de seguridad en WordPress.
¿Cuáles son las más importantes? ¿Cómo activar estas medidas de seguridad en WordPress? En el siguiente artículo te explicamos paso a paso lo que debes hacer para maximizar esta protección.
Paso 1. Contar con un certificado de seguridad válido
Para mejorar la seguridad en WordPress lo primero es tener un certificado de seguridad válido en la plataforma. El más conocido es Secure Sockets Layer (SSL), un protocolo de transferencia de datos muy potente, que encripta los datos durante el intercambio de información entre los usuarios y el sitio web.
Su activación y uso dificulta la entrada de intrusos al sistema y minimiza la posibilidad de robar información. Además, es un protocolo que se conecta perfectamente con los motores de búsquedas, que al validar su uso, actúan con mayor confianza y seguridad a la hora de mostrar un contenido. Es decir, aumentamos el tráfico hacia la web.
Para identificar que un sitio web hecho en WordPress cuenta con este protocolo de seguridad, solo hay que ver su URL y si cuenta con HTTPS en lugar de usar HTTP. A la hora de contratar un servicio de hosting, verifica que cuenten con este certificado de seguridad en el paquete.
Paso 2. Forzar el acceso SSL a todo el contenido seguridad en WordPress
Si quieres maximizar la seguridad en WordPress lo mejor es instalar el certificado SSL en todo el contenido que tengas. Solo tienes que hacer la instalación de un plugins. Existen varias opciones como Force SSL everywhere, wordpress-https, entre otros.
Otra opción es hacerlo directamente desde el sistema de control cPanel. Sin embargo, esto requiere de un mayor conocimiento en la materia. Si contratas un buen servicio de hosting los administradores de la plataforma pueden activar el acceso SSL en todo el contenido y no tendrás que preocuparte.
En caso de querer hacerlo manualmente, debes intervenir un archivo existente en el directorio de WordPress. Lo primero es ir a la administración de la Web / Ajustes / Generales. En los campos identificados como “dirección de WordPress y Dirección del sitio” debes colocar la URL completa pero con https.
Para forzar definitivamente el acceso SSL en todo el contenido, ingresa en el archivo “wp-config.php” ubicado en la raíz de la web. A continuación, añade el siguiente código:
- define(‘FORCE_SSL_LOGIN’, true);
- define(‘FORCE_SSL_ADMIN’, true);
y para que afecte a toda la web ubica el archivo .htaccess y al inicio coloca lo siguiente:
- RewriteEngine On.
- RewriteCond %{HTTPS} off
- RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Paso 3. Habilitar ModSecurity
ModSecurity es un firewall de aplicaciones web que funciona como una capa de seguridad para tu sitio. Activando dicha opción tu página se va a encontrar mucho más protegida ante amenazas conocidas. Puedes activarla dentro de tu cpanel.seguridad en WordPress
Paso 4. Utilizar la última versión disponible PHP para el sitio seguridad en WordPress
Existen muchas formas de actualizar la última versión disponible PHP para mejorar la seguridad en WordPress. Hoy te explicaremos como hacerlos desde cPanel, siendo la más sencilla y rápida de todas:
- Ingresa al cPanel
- Ubica la sección “otras herramientas”
- Presiona en “versiones de PHP”
- Luego en el botón “Editar”
- Selecciona la versión PHP más reciente
- Presiona el botón “Actualizar”
Paso 5. Actualizar periódicamente plataforma/themes/plugins seguridad en WordPress
Manualmente podemos actualizar la plataforma, themes y plugins sin necesidad de ser un experto. Sin embargo, es necesario seguir una serie de pasos que te explicamos a continuación:
- Ingresa al panel de administrador y sigue esta ruta: Plugins / Plugins instalados / Ubica el plugins a actualizar
- Desactivarlo manualmente y borrarlo (no hay nada de malo, ni riesgos)
- Regresa al menú de Plugins, selecciona “Añadir nuevo” y sube el plugins.
- Es importante que hayas descargado la última versión del plugins y lo tengas disponible en tu ordenador.
- Presiona el botón “seleccionar archivo” y sube el archivo .zip descargado.
- Activa el plugins y ya estará actualizado automáticamente.
- En el caso de los temas, estos son los pasos a seguir:
- Ingresa en el menú “Apariencia”, luego ve a temas y activa un nuevo tema.
- Esto es para eliminar el actual y actualizarlo.
- Selecciona el tema que quieres actualizar y borrarlo.
- Presiona en “añadir nuevo” y sube un tema que hayas descargado previamente. Puede ser el mismo actualizado.
- Presiona el botón “seleccionar archivo” y sube el archivo .zip descargado
- Activa el tema y se actualizará automáticamente.
Paso 6. Utilizar un plugin de seguridad
Un plugin de seguridad es un archivo que se instala en WordPress para ayudar a los administradores a mejorar el control de los archivos de la web. Sirven para determinar si algún elemento ha sido modificado, detecta presencias indebidas, arrojar alertas oportunas, entre otras ventajas. Incluso, se pueden integrar con Google reCAPTCHA y autenticación en dos pasos.
Entre los más populares y destacados del mercado tenemos:
- iThemes Security
- Wordfence Security
- SecuPress
- WPScan – Escáner de seguridad para WordPress
- Titan Anti-spam and Security
- Jetpack
Paso 7. Renombrar el acceso hacia el wp-admin con el plugin «change wp-admin» seguridad en WordPress
La seguridad en WordPress depende al máximo de su administrador. Una de los primeros procesos a cambiar o ajustar, son las credenciales de acceso al sistema. Por defecto, está programado para que sea por medio del usuario “admin” y la contraseña “admin”. Obligatoriamente, debes cambiar estos datos y para ello tienes que seguir los siguientes pasos:
- Ingresa en la configuración de WordPress y presiona el botón “Enlaces permanentes”
- Luego, presiona en “Cambiar el inicio de sesión de wp-admin”
- Coloca una nueva URL de inicio de sesión colocando su nuevo nombre de usuario y el redireccionamiento web.
- Otras URL que debes cambiar son las de contraseña perdida, registro y cierre de sesión.
Paso 8 (Opcional): Crear un .htaccess sobre el wp-admin para restringir el acceso desde la IP pública
Crea un archivo .htaccess y guárdalo en la ruta /wp-content/uploads/. En su interior debe contener el siguiente código:
<Files *.php>
deny from all
</Files>
Esta acción desactiva por completo cualquier tipo de ejecución de PHP en ella, siendo un modus operandi muy popular por los hackers, quienes tienen a subir archivos por la puerta trasera y van directo al directorio “Uploads”. Por lo general, se tratan de contenidos multimedia.
Otra forma de mejorar la seguridad en WordPress es protegiendo el archivo “wp-config.php”. En esta carpeta se almacenan los datos de acceso a WordPress y a la base de datos. Sin duda es un objetivo muy deseado por los hackers.
Para incrementar su seguridad, debes agregar en el archivo .htaccess el siguiente script:
<files wp-config.php>
order allow,deny
deny from all
</files>
Todas estas medidas de seguridad en WordPress se deben ejecutar lo más pronto posible en tu sitio web. Son pasos que garantizan una protección inminente ante ataques informáticos. Sin embargo, cuando contratas los servicios de una buena empresa de hosting, por lo general incluyen estas y otras estrategias de seguridad. NutHost ofrece el mejor servicio de alojamiento y protección de datos, información, contenido, tráfico y más.