¿Cómo aumentar la seguridad en WordPress sin morirse en el intento?

 

1. Pon una password difícil de averiguar.

La primera medida a adoptar es utilizar una password que no sea fácil de averiguar. Por ejemplo, la peor de todas es “1234” porque, aunque es muy fácil de recordar, será la primera que pruebe cualquier intruso. Se denomina contraseña “fuerte” a aquella que posee un número alto de caracteres (más de 8) con letras, números y signos de puntuación. El escritorio  de WordPress te indica si la password elegida es fuerte o no, pero existen también plugins como Enforce Strong Password que te obligan  a configurar una contraseña fuerte.

2. No utilices el nombre de usuario Admin.

El segundo punto obligatorio es eliminar el usuario “Admin” que es el que asigna WordPress por defecto. Ten en cuenta que para lograr un acceso no autorizado, el intruso (quizás un programa informático) lo primero que pruebe es el usuario “Admin”. Esto se puede llevar a cabo creando un nuevo usuario haciendo uso del panel de administración de WordPress y borrando el “Admin”. Al nuevo usuario no se le debe denominar con el nombre del dominio del blog porque eso será lo segundo que pruebe un hacker.

3. Limita los intentos de login fallidos.

La tercera medida imprescindible que debes adoptar es evitar que los intentos fallidos de acceso a tu cuenta sean más de tres. Debes dejar uno o dos intentos por si tú mismo te equivocas al intentar entrar al panel de administración de WordPress pero no más. Cualquier hacker que emplee la fuerza bruta para acceder a tu cuenta debe ser bloqueado si prueba más de dos o tres combinaciones de usuario y contraseña erróneas. Existen plugins para controlarlo, comoLimit Login Attempts.

4. Controla el spam.

En un blog, el sistema de comentarios es una fuente continua de mensajes spam y ahí puedes tener una puerta abierta a troyanos, virus y demás programas fraudulentos. En WordPress existe el plugin Akismet que mantiene a raya el spam pero quizás debas plantearte estrategias más drásticas como emplear un sistema de comentarios exerno que se encargará por ti de eliminar el spam: Disqus o Google+.

Si permites el registro de usuarios en tu blog de WordPress, entonces tienes que instalar uno de los plugins que controlan los registros spam.

5. No instales muchos plugins.

Cada plugin que instalas en WordPress es un paso más hacia la posibilidad de que tengas un problema en tu instalación. Antes de instalar un plugin debes probarlo en un entorno distinto al de producción. Esto es debido a que no todos los desarrolladores emplean código seguro. Mi consejo es que solo instales los plugins imprescindibles.

6. Busca código malicioso en los archivos de tu theme.

Una buena forma de averiguar si el daño ya está hecho es escanear los archivos de tu theme con el fin de encontrar agujeros de seguridad. Pero los cambios fraudulentos no tienen por qué haberse hecho solo en el theme. También puedes rastrear cualquier archivo de tu instalación con estos plugins.

7. Añade un Firewall o un proxy inverso.

Otra medida de seguridad que añade un nivel de dificultad más a los hackers es el Firewall. Eso se puede hacer también con plugins. Una alternativa al Firewall es implementar un sistema de proxy inverso. Yo te recomiendo dos plataformas: Google Page Speed y CloudFlare. Ambos gratuitos y muy fáciles de configurar. El proxy inverso, como decía al principio de este post, te garantiza no solo funciones de protección sino también de caché con lo que se mejoran mucho los tiempos de carga de las páginas y el consumo de recursos.

8. Haz un backup de tu instalación periódicamente.

Nadie está libre de sufrir un desastre en su blog. Así que, indudablemente, una medida de seguridad que puede evitar que te quedes sin tu blog es el backup. Existen muchas herramientas pero yo aconsejo simplemente realizar un backup regularmente con el plugin WP DB Backup y, por supuesto, una copia de los archivos modificados de la instalación, tales como los del theme, wp-config.php, la carpeta wp-content, etc. Un backup completo de tu blog (base de datos y archivos de la instalación) te permitirá restaurarlo todo tanto en el mismo servidor como en otro nuevo. Si quieres emplear un plugin más completo y llevar tus copias de seguridad a la nube, el mejor es UpDraftPlus.

9. Mantén actualizados themes, plugins y software de WordPress.

Una forma de evitar problemas es actualizar a la última versión tanto los plugins como los themes y, claro está, el software de la aplicación. Los desarrolladores de WordPress se esfuerzan en corregir cualquier problema de seguridad por pequeño que sea, así que ésta es una práctica necesaria, aunque a veces pueda resultar tediosa. Actualiza siempre que veas el indicativo en tu escritorio de WordPress.

10. Usa un plugin como iThemes Security.

Y, por último, te recomiendo el uso de un plugin específico de seguridad integral como puede ser iThemes Securiy. Con este tipo de plugins te ahorrarás dolores de cabeza, ya que de una forma sencilla y eficaz cubre, de una sola vez, muchos aspectos de los que hemos enumerado anteriormente.

Plugins de seguridad para wordpress:

Duo Two-Factor Authentication
Google Drive for WordPress
Ultimate Security Checker
BackWPup Free – WordPress Backup Plugin

Fuente: blogpocket.com

You may also like...