Seguridad en WordPress: 5 medidas esenciales

Bienvenidos una vez más al blog con el que aprenderás diseño, estructura y navegación web, marketing online y todo lo que necesitarás para crear una página web en WordPress.

Seguramente nunca te has planteado si tu sitio de WordPress es seguro, algo vital hoy en día! Podría ser muy fácil que alguien suplante tu identidad, borre todo lo que has hecho o se haga con todos tus datos de contactos, …

Por eso me gustaría explicarte las 5 medidas esenciales que debes tomar, de momento nada de código extra, ni plugins ni nada, solamente aquellas acciones de sentido común.

Así que vamos allá.

Modifica usuario y passord

Pues bien, la primera acción que debes hacer al crear un WordPress o al acceder por primera vez a él si alguien lo ha creado por ti, es revisar tu usuario y tu password. Es algo básico que tu usuario no sea el típico “admin” de turno que viene por defecto y que tu password sea seguro. Y ¿Cómo puedo crear un password seguro? Pues fácil.

En el menú de wordpress, iremos a Usuarios -> Perfil y accederemos a nuestro perfil de usuario. Una vez allí buscaremos el apartado Gestión de la cuenta y haremos click en el botón Establecer una nueva contraseña.

WordPress automáticamente nos generará una contraseña Fuerte, pero podemos modificarla por otra del mismo grado de seguridad que nos sea más familiar. Por favor, no pongáis “1234”.

Así nos aseguraremos que ningún hacker pueda acceder fácilmente con ataques de fuerza bruta que realizan habitualmente.

Estos ataques informáticos muchas veces se basan en que el usuario es admin, por eso es muy importante cambiarlo. ¿Cómo lo haremos? Pues creando un nuevo usuario. Este paso también se podría realizar a través de la base de datos del servidor, pero es un poco más complejo.

Para crear un nuevo usuario iremos otra vez al menú de WordPress Usuarios -> Añadir nuevo, y completaremos los campos. El nombre de usuario será el que utilizarás para acceder a WordPress y otra vez ten en cuenta a utilizar un passord Fuerte.

Muy importante, modifica el perfil de este nuevo usuario para que sea Administrador. Dentro de la creación del usuario, en el último apartado verás que está el perfil y aparece un desplegable dónde podrás seleccionar Administrador.

Una vez creado el nuevo usuario con perfil Administrador, puedes borrar el antiguo usuario “admin”.

Bien, ya tenemos la medida más esencial completada. Vamos a por el segundo

Elimina usuarios antiguos

Si el WordPress que gestionas es el de una empresa, puede ser que a él tengan acceso diferentes usuarios, algunos de ellos a lo mejor ya no trabajan aquí o ya no realizan ninguna acción en el WordPress.

Por eso es muy importante borrarlos para tener siempre los perfiles actualizados. Para ello iremos a Usuarios -> Todos los usuarios. Aquí podemos encontrar dos casos:

Usuario perfil de editor

Si el usuario que queremos borrar tiene un perfil de “Editor” no sería justo borrarlo, porque puede ser que haya creado algunos posts antiguos y ese contenido es suyo. Por lo que en este caso, en lugar de borrarlo, podríamos acceder a su perfil en Editar y modificar el rol de usuario de Editor a Suscriptor , te este modo los posts que el escribió seguirán siendo suyos.

Usuario perfil de suscriptor

Por el contrario, si el perfil de usuario que necesitamos eliminar es un “Suscriptor” lo podemos eliminar sin problemas.

Al poner el ratón encima del usuario veremos que aparece un botón rojo que pone Borrar. Y solo nos quedará confirmar el borrado.

Actualiza siempre los plugins

En cuanto a la actualización de plugins lo más importante es tenerlo siempre todo actualizado a la última versión. Ya sé que mucha gente no actualiza los plugins por si les provoca un error en la web, o cualquier otro problema, … Esto es un Error! Error en mayúsculas.

Además, esto es un pez que se muerde la cola, porque cada vez estos plugins se quedarán en una versión más antigua y será más fácil que al actualizarlos deje de funcionar una parte e la web y no podrás hablar con el autor para ver que ha ocurrido, …

Pues bien, siempre actualizados. Por una sencilla razón. Muchas veces, estas actualizaciones conllevan también mejoras en la seguridad.

Que hacer con los plugins inactivos

Un tema a parte son los plugins inactivos, ¿Por qué tienes un plugin sin usar en tu página? De verdad, ¿Por qué? Eliminalo y ya está, ya lo volverás a instalar si alguna vez lo necesitas.

Estos plugins inactivos también pueden sufrir vulnerabilidades y ser accesibles por algún hacker. Al final, aunque tu lo tengas inactivo está almacenado en la base de datos y se podría llegar a acceder a él, por lo tanto, borra siempre los plugins inactivos.

Utiliza solo plugins fiables

Finalmente otra cosa importante y que debes tener en cuenta antes de instalar un plugin es que revises si puedes confiar en él.

Al acceder al plugin, te dará mucha información, entre ella y muy importante quién es el autor. Puedes acceder a su perfil para ver la actividad, su antigüedad en WordPress, … También acceder a la página de soporte del plugin para ver si hay un foro activo, se responden las preguntas, etc.

Otra información que nos puede ayudar a decidir si deberíamos instalar el plugin es cuánto tiempo hace que se actualiza, si el plugin es compatible con la versión de WordPress actual y por supuesto, el número de descargas activas y su valoración.

Hay que tener en cuenta que WordPress es el CMS más popular del mercado y que tiene millones de usuarios, por lo que si encontramos un plugin que parece increible pero que solo tiene 4 instalaciones,… pues sospecha. No quiere decir que sea malo, puede ser muy nuevo o que resuelva un caso muy concreto. En cualquier caso analiza bien antes de instalarlo.

Pues bien, espero que este post te haya sido útil y que empieces a aplicar estas estrategias de seguridad en WordPress esenciales cuánto antes. Ya verás que estos pequeños cambios aportarán mucho valor a tu web.

También y por supuesto, si tienes cualquier duda en alguno de los consejos, has tenido una mala experiencia de seguridad en tu web o quieres que haga algún otro post explicando estrategias más avanzadas de seguridad en WordPress mándame un mensaje en el formulario que estaré encantado de leerte.

Consigue una web profesional