WordPress es el sistema de gestión de contenidos más extendido del mundo. Un tercio de los sitios de todo el mundo se desarrollan en esta plataforma.
Esto la convierte en una presa perfecta para hacker e spammer.
Afortunadamente, la seguridad en WordPress se tiene muy en cuenta y los desarrolladores han implementado todas las medidas posibles para evitar que un sitio sea "lavanderíapor personas malintencionadas".
A pesar de ello, podemos poner en práctica pequeñas medidas para que nuestra instalación sea más segura. ¡Y sin necesidad de utilizar plugins!
Actualizar WordPress
Mantener nuestro CMS actualizado es lo más importante. WordPress se actualiza constantemente con todos los parches para solucionar cualquier problema de seguridad.
De hecho, la mayoría de las actualizaciones de WordPress consisten en correcciones de errores y parches de seguridad.
Para los más perezosos, cabe mencionar que a partir de la versión 3.7 WordPress puede recibir actualizaciones automáticas. Para activar esta cómoda opción, basta con ir a la sección wp-config.php y añada o modifique la siguiente línea de código:
define( 'WP_AUTO_UPDATE_CORE', true );
Eliminar temas y plugins no utilizados
Puede ocurrir que haya instalado un plugin o un tema que, por una razón u otra, haya dejado de utilizar. De hecho, tener plugins y temas sin usar no solo aumenta el espacio ocupado en tu disco, sino que también puede conllevar un mayor riesgo de exponer tu sitio a ataques.
Limite la instalación de plugins a los que necesite y utilice con regularidad.
Borrar usuario admin
Por defecto, muchas instalaciones de WordPress crean el usuario admin. En caso de fuerza bruta, habrá muchos intentos de iniciar sesión con esta cuenta.
Para mejorar la seguridad, debería eliminarse la cuenta de administrador y sustituirla por un nombre menos obvio.
Utilice contraseñas eficaces
Obvio pero nunca trillado, el consejo de utilizar una contraseña difícil de adivinar es perenne.
No utilices la contraseña más sencilla que puedas recordar, como "mario83", pero procure utilizar uno que combine mayúsculas y minúsculas, números y caracteres especiales.
Puede utilizar uno como "!lm10Gatt0s!CH1am4G1g1o". Esta es una frase de contraseña y podrías utilizar una similar usando una frase que puedas recordar fácilmente.
WordPress asigna un valor para cada contraseña que introduzcas, intenta utilizar un fuerte.
Permisos de archivos y carpetas
Para una correcta instalación de WordPress, también hay que tener en cuenta los permisos de los archivos y carpetas. Para una configuración óptima, todas las carpetas deben estar 755 y archivos 644, el wp-config.php debe estar configurado con permisos 400.
Archivos/carpetas | Permisos |
wp-contenido | 755 |
wp-admin | 755 |
wp-incluye | 644 |
Todos los archivos .php | 644 |
wp-config.php (carpeta public_html) | 400 |
index.php (carpeta public_html) | 644 |
Utilizar las teclas de WordPress
Asegúrese de que en su wp-config.php Se han creado las claves de WordPress. Estas variables globales sirven para mejorar el sistema de seguridad cifrando las cookies que residen en el navegador.
Se generan durante la instalación en casi todos los hosts, pero en caso de que no estén presentes en su wp-config.php, puede crearlos yendo a https://api.wordpress.org/secret-key/1.1/.
define('AUTH_KEY', 'Mi@A%m`3adaTJ@#sL+{nq-WhrOwyCH|I(3k>NEoT=2+-.Fs^B*8*K|[jJ_GlQ~q[');
define('SECURE_AUTH_KEY', 'ag-?YfLW!<gYt~EtGRWD3?jp@h#8fW&cVb50FSL=6?)$ps?N8t*&]2U5jvZ4{wnQ');
define('LOGGED_IN_KEY', '++@dhNqKK8uv9OUM|-u^i>/sZt.2]-X(^n>i/+;vf!Fw;Dl(,<v.H>kV1+D-h:C7');
define('NONCE_KEY', 'WSR]KMRL%6<y|#0.] =r^W4PPse].T<g#S00It^O!BX%BBq0:XAYOg#g33[ZWlT<');
Hacer una copia de seguridad de la base de datos
Las copias de seguridad son algo fundamental. Puede parecer obvio, pero muchos subestiman la importancia de tener una copia de seguridad en caso de que el sitio se vea comprometido.
En la actualidad, todos los hosts ofrecen copias de seguridad automáticas, cuya periodicidad puede configurarse a voluntad, para que siempre tenga la seguridad de no perder su trabajo.
Deja una respuesta