WordPress es el CMS (sistema de gestión de contenidos) más extendido del mundo, y eso es una navaja de doble filo. Por un lado, le hace contar con una ingente comunidad de desarrolladores web que aportan a su funcionamiento. Por otro, su omnipresencia le convierte también en un gran blanco para todo tipo de hackers y spammers. Por ello, es imprescindible mejorar la seguridad de WordPress con algunos pasos básicos.
Antes que nada, activa y configura el certificado de seguridad en tu servidor
Una de las primeras medidas que recomendamos para el lanzamiento de un sitio web es la activación de un certificado de seguridad. En muchas compañías de alojamiento, el más básico es incluso gratuito, por lo que el trabajo de desarrollo sólo supone algunos pasos que resumimos en su momento en ese tutorial de cómo pasar de HTTP a HTTPS en un sitio WordPress.
Con él cifraremos las comunicaciones que se realizarán dentro de nuestro WordPress, y los hackers y bots tendrán más difícil acceder a las diferentes transacciones de información que se realicen dentro de nuestro gestor de contenidos.
Instala un plugin de seguridad como Wordfence
Después, la comunidad de WordPress ofrece una amplia gama de plugins que pueden reforzar la seguridad de tu instalación. A título personal, solemos recomendar el uso de Wordfence.
Wordfence es un plugin de modalidad freemium que ofrece una amplia variedad de características orientadas a reforzar la seguridad. Entre ellas: escaneo de malware, sistema de alertas, reparación y limpieza de archivos, e integraciones con APIs y otras plataformas.
Dentro de las integraciones, es muy fácil (y de nuevo, forma parte de la versión gratuita) integrar Wordfence con la Two Factor Authentication, así como con la v3 del Recaptcha de Google para el login y registro de usuarios. Así impediremos el registro en lotes de bots como usuarios suscriptores
Más orientado específicamente al SPAM en los comentarios, también recomendamos la configuración de Akismet Anti-Spam, que viene de serie con la instalación de WordPress y es muy certero en su funcionamiento.
Para mejorar aún más la seguridad de tu WordPress: modifica tu URL de entrada
Una de las vías más probadas para hacerse con el control de tu instalación es el acceso al panel de administración. Por eso, para mejorar la seguridad de tu WordPress conviene modificar la URL estándar de acceso: de wp-admin a cualquier otra que, a ser posible, no sea ninguna evidente.
Si no tienes soltura a la hora de manejar el código, puedes recurrir a un plugin. Hay uno muy ligero que se utiliza estrictamente para eso y que recomendamos con frecuencia. Se trata de WPS Hide Login, que es también el recomendado por muchas compañías de alojamiento.
Su funcionamiento se limita a añadir un sencillo campo al panel de administración para indicar cuál quieres que sea la nueva URL de acceso. No tendrás que realizar ningún cambio más en tus usuarios ni contraseñas.
Mantén un reducido número de usuarios y contraseñas complejas
Precisamente con tus propios usuarios y contraseñas viene una de las recomendaciones que realizamos de inicio. Utilizando el dashboard de Wordfence es fácil ver como nuestros usuarios administradores serán, con frecuencia, los primeros forzados por los bots para hacerse con un acceso al panel.
Esto sucede porque los administradores en WordPress son también autores, y de ahí que los hackers puedan hacerse fácilmente con un primer listado de usuarios. Por esto, es siempre recomendable moderar cuanto sea posible el número de administradores.
Y también, aunque ya casi es obligatorio en cualquier aspecto de la informática, asegurarnos de que las contraseñas utilizadas sean de alta seguridad. Aunque de un tiempo a esta parte es todavía más sencillo ya que WordPress incorpora también una funcionalidad de ‘evaluador’ de contraseñas. Si es demasiado fácil, no te dejará guardarla a menos que lo indiques expresamente.
Esperamos que estas indicaciones te sirvan para dar un primer repaso a la seguridad de tu instalación WordPress. Además de seguirlas, te recomendamos tener un ojo siempre puesto en las actualizaciones del gestor y en las notificaciones que WordFence te hará llegar. Estarás en buenas manos.