Si haces tu sitio por tu cuenta o eres diseñador no debes dejar pasar estas recomendaciones de Seguridad en WordPress.
De igual manera, si mandaste a hacer tu sitio con alguien debes asegurarte que tu diseñador o agencia las implementen (algunas pueden tener algún costo adicional al diseño puro).
¿WordPress tiene vulnerabilidades de Seguridad?
Todos los sitios web sin importar con qué estén hechos son, en esencia, vulnerables. Hay todo tipo de software malicioso y personas malintencionadas intentando tomar el control o alterar los sitios web para lograr algún objetivo.
Sus tareas abarcan la posibilidad desde que instalen anuncios o contenido para adultos sin tu conocimiento, usar tu cuenta de hospedaje como zombie para ataques cibernéticos a escala global, hasta robar la información de tus clientes o registro de visitantes para suplantar su (o tu) identidad para conseguir algún beneficio.
Por lo anterior es muy importante tomar en serio la seguridad en nuestra instalación de WordPress.
No importa que tu sitio tenga pocas visitas o que nadie lo conozca. Pensar que por ese motivo no te pasará algo sería muy inocente, ya que esos no son los criterios que usan los atacantes para tomar el control (de hecho algunos de ellos atacan justamente a sitios con esa filosofía).
Para mitigar estos riesgos debemos de tratar de blindar nuestro WordPress para cerrar la puerta a los atacantes y minimizar al máximo las posibilidades de que nuestro sitio web se vea comprometido.
1.- Mantener tu Plugins y Temas al día y actualizados
Parece obvio, sin embargo es uno de los temas más recurrentes por los cuales hay ataques. Si tus Plugins o Temas son serios, estarán permanentemente en mantenimiento y estarán protegiendo la seguridad ante huecos de seguridad reportados y también en relación a la versión actual de WordPress.
No mantenerlos actualizados podría hacer tu sitio vulnerable cuando se encuentren debilidades en el código de ese componente.
Esto cobra una relevancia mayor cuando son muy populares ya que mientras más gente lo use, incrementa la posibilidad de ser objetivo de ataques.
2.- Usa Plugins de confianza
Para añadir funcionalidad y opciones a nuestro sitio web utilizamos plugins, sin embargo también hay plugins muy atractivos que incluyen código malicioso que podrían estar ejecutando acciones maliciosas sin darnos cuenta (por ejemplo minando bitcoins y otras criptomonedas).
Para evitarlo, puede ser recomendable usar plugins que ya tengan muchos usuarios en uso, así como ir a la pagina oficial del fabricante para saber más sobre la empresa y leer los reviews y calificaciones de otros usuarios.
Esto lo podemos resumir a la tarea de buscar la reputación del plugin y del desarrollador.
3.- Actualiza a la última versión de WordPress
El núcleo de WordPress está en desarrollo permanente. Por ello, regularmente están añadiendo nuevas características y funcionalidades para que nuestros sitios web tengan siempre la base para usar las últimas tendencias.
Sin embargo, estas actualizaciones también soy muy importantes para resolver huecos de seguridad reportados ya sea que ya hayan sido explotados o para prevenirlos en el futuro.
4.- Privilegios de usuarios mal asignados
Hay varios niveles de privilegios basados en roles dentro de WordPress. Puede haber más o menor roles de acuerdo a las funcionalidades o plugins instalados en tu sitio (incluso puedes crear los tuyos).
Sin embargo, si no somos cuidadosos, podemos estar dando más permisos de los adecuados a los usuarios y eso puede ocasionar muchos problemas.
Podrían eliminar algún archivo importante para el funcionamiento de nuestro sitio web así como del negocio, robar datos o poner en riesgo la seguridad al dar acceso a atacantes ya sea por ignorancia, por negligencia o por fastidiar a la empresa.
También es aconsejable asegúrate de revocar el acceso a usuarios que ya no tengan relación con el sitio web o la empresa.
5.- Contraseñas débiles
Aún con la mayor seguridad a nivel software e infraestructura si usas contraseñas débiles o que se usen en diversos lados, siempre será una puerta abierta para vulnerar la seguridad de tu sitio web.
En el día a día, tendemos a dar prioridad a la sencillez de una contraseña para todo que a ajustarnos a una política de uso de contraseñas (en la que por cierto, todos tus colaboradores deberías ajustarse también).
Además de la contraseña, también es muy importante que no uses nombres de usuario comunes como por ejemplo “admin, administrador, superusuario, etc”, ya que los ataques suelen usarse con una base de datos de usuarios y contraseñas muy comunes.
Recursos para contraseñas:
- Revisa qué tan segura es tu contraseña
- Generador de contraseñas seguras
- Usa administradores de contraseñas o llaveros como los de Google Chrome, Apple macOS o iOS, 1Password, LastPass y muchos más.
6.- Hospedaje web de mala calidad
Tu instalación de WordPress puede correr en servidores compartidos, virtuales o dedicados, sin embargo, en todos ellos, el proveedor de los servidores debe contar con un buena infraestructura técnica y de seguridad para ayudar a mitigar los riesgos.
Si estamos hablando de un servidor compartido, que es el hospedaje más popular, definitivamente tu proveedor debería estar brindando parte de la seguridad, a diferencia de un servidor virtual o dedicado en el que gran parte de esa administración te toca a tí.
Hay muchos proveedores de hospedaje web allá afuera que, con el afán de disminuir costes, sacrifican la seguridad de las cuentas de sus clientes.
Si bien no hay manera de garantizar un 100% de efectividad aún con los mejores esfuerzos, el riesgo que se corre al no contar con un proveedor serio es gigantesco.
En Lidergia nos preocupamos por la seguridad de nuestros servidores y garantizamos a nuestros clientes que tenemos programas permanentes de monitoreo y esfuerzos de mitigación de ataques, lo que genera confianza en las instalaciones de WordPress que se hospedan con nosotros.
Si deseas más información de nuestros planes, te dejamos estos recursos:
Planes de Hospedaje recomendados para WordPress de buena calidad
- Planes de Hospedaje compartido
- Planes de Hospedaje compartido Cloud
- Planes de Servidores Privados Virtuales
7.- Cambiar la página de inicio de sesión de administrador
En WordPress contamos un par de páginas para iniciar sesión que son los slugs login y wp-admin, sin embargo, al ser estas las páginas por default, se programan ataques automáticos específicamente hacia estas ubicaciones, lo cual puede derivar en que eventualmente se rompa la seguridad.
Afortunadamente, podemos utilizar plugins para cambiar esta ubicación a la que queramos, de esta manera, los atacantes automáticos no podrán saber a dónde apuntar para iniciar sesión. Aquí te presentamos un par de opciones de plugins:
8.- Asegúrate de usar HTTPS
El protocolo https a diferencia de http, permite encriptar tanto la información como la comunicación entre el visitante de tu sitio y el servidor web para que personas o software ajeno no puedan comprender lo que se está “hablando” (como formularios, datos personales, tarjetas de crédito, información confidencial, etc.).
Hoy en día es el estándar y ya muchos países y organizaciones lo están haciendo obligatorio, sin embargo, necesitas un Certificado SSL para activarlo. Puedes saber más de este tema en este artículo.
Sino habilitas el protocolo https en WordPress estarás poniendo en riesgo la información de tus visitantes y eso es incluso penado en algunos países incluyendo México de acuerdo a la Ley de Protección de Datos Personales.
Si ya tienes en tu hospedaje web un certificado SSL, solo tienes que habilitar https en WordPress y, aunque puede hacerse vía plugins puede implicar algunos pasos adicionales de acuerdo a los plugins que tengas instalados.
Si aún no tienes un Certificado SSL te recomendamos:
- Hospedaje Web Compartido con Certificado SSL incluido
- Compra tu Certificado SSL
- Soporte técnico para instalar Certificados SSL
Aquí algunos plugins que te ayudarán a pasar de HTTP a HTTPS
9.- Versiones antiguas de PHP
Sí, WordPress funciona con PHP. Por si acaso no sabes que es PHP, es un lenguaje de programación sobre el que está hecho WordPress y el hospedaje web o servidor que tienes contratado lo tiene instalado, de lo contrario, no podría funcionar.
PHP es un lenguaje que ya tiene muchos años en el mercado y ha sufrido muchas mejoras en su estructura desde su lanzamiento en 1995. Estas mejoras se hace por medio de versiones y en la mayoría de los casos tienes oportunidad de controlar cuál de esas versiones puedes usar.
Es muy importante que uses la versión estable más reciente de PHP (que al momento de escribir este artículo es PHP 7.4, si tienes una anterior urge que la actualices) porque además de las mejoras también tiene ajustes en la seguridad.
De hecho también hay ajustes de seguridad de los plugins, temas y del núcleo de WordPress que sólo pueden funcionar si tienes la versión más reciente.
Revisa con tu proveedor de hospedaje cómo actualizar la versión de PHP que más se ajuste a tus necesidades.
10.- Instala un software de Seguridad
Es muy recomendable que instales un plugin que ofrezca seguridad reforzada a tu WordPress. La mayoría de los buenos plugins son de pago, pero algunos de ellos ofrecen una versión limita gratuita.
En este sentido, uno de los que te recomendamos en Wordfence, ya que es uno de los plugins de seguridad más usados y comprometidos con la comunidad. En la versión gratuita podrás disfrutar de muchas opciones de firewall, bloqueo de IP, políticas de accesos, escaneo de malware y mucho más.
Conclusiones
Al igual que nuestras computadoras y celulares, los sitios web son propensos a infectarse de virus, instalación de software espía y suplantación de identidad.
Preocuparnos por tener un sitio web sano no solo nos da tranquilidad a nosotros, sino también la tranquilidad de que nuestros visitantes estarán seguros al entrar a nuestro sitio.
Además siempre será muchas veces más barato prevenir que remediar…
