Hace unos días, un amigo me llamaba preocupado porque la web de su negocio tenía problemas. No podía acceder a ella a través del panel de control de su CMS, era imposible entrar por FTP o en el cpanel de su hosting y, lo peor de todo, nada en la página funcionaba como debía. No le quise alarmar, pero lo primero que me vino a la mente fue “Te la han hackeado, chaval”. Todo parecía indicar que su página web había sufrido un ataque. Y tuve razón.
Después de una serie de consultas con su proveedor de alojamiento y la intervención de otro amigo, experto en estos temas, conseguimos que todo volviera a la normalidad. Su web en WordPress volvió a ser la que era.
WordPress es el sistema de gestión de contenidos de webs y de blogs más utilizado y extendido en la actualidad. Esto también implica que esas páginas sean el objetivo principal de muchos hackers a la hora de iniciar ataques.
Con una serie de sencillos pasos podemos proteger una página en WordPress.
1 – No te llamas Admin
Lo primero de todo, cambiar el nombre de usuario. Por defecto, cuando instalamos WordPress para desarrollar una web, el sistema usa “admin” como primer usuario. Esto es como colocar un felpudo en el que ponga “Bienvenidos hackers”.
Cambiar el nombre del usuario administrador es una operación muy sencilla y ayudará a evitar que, algún día, nos llevemos un susto al entrar en nuestra web.
2 – Mejor una contraseña que ni tú recuerdes
Cae de cajón, pero una contraseña fuerte es fundamental para proteger nuestro sitio en WordPress. Nuestra fecha de cumpleaños o 12345, no lo son. ¿Y cómo es una contraseña fuerte? La que usa al menos 12 caracteres, combinando letras (en mayúscula y minúscula), números y caracteres especiales. Existen webs que generan este tipo de contraseñas en un momento.
Pero no basta con poner una contraseña fortachona y olvidarnos. Hay que ir cambiándola a lo largo del tiempo para evitar males mayores.
Y recuerda, guarda las contraseñas en un lugar seguro.
3 – Pon un captcha en tu login
Junto a estas dos acciones, si queremos reforzar el formulario de entrada al sitio, podemos instalar un plugin que le añada un captcha.
4 – No seas el propietario de la web desactualizada
Uno de los motivos por los que WordPress, sus temas y sus plugin tienen tantas actualizaciones es por seguridad. Así que, es fundamental mantener al día la versión de nuestro CMS, del tema que usamos y de todos los plugin instalados.
Hay que tener en cuenta que no llevar a cabo actualizaciones periódicas puede implicar tener una vulnerabilidad en nuestro sitio y, por lo tanto, un coladero para cualquier ataque.
5 – Original, esta vez, mucho mejor
Si has decidido usar un tema premium, pero eres de esas personas a las que les cuesta rascarse el bolsillo, no quieres pagar por ese tema tan chulo y estás pensando en tirar de P2P, quizá ahorrarte de 50 euros te cueste un disgusto.
Es fácil que muchos de los temas “gratuitos” disponibles en el BitTorrent estén infectados por malware. Asegúrate de conseguir los temas en sitios de confianza y fiabilidad comprobada.
Esto mismo es aplicable a los plugins que instales en tu sitio web.
6 – Más vale hacer una copia de seguridad que llorar
Es algo que se olvida con facilidad, pero hacer una copia de seguridad de nuestra web de forma regular debería ser obligatorio en las tareas de mantenimiento del sitio para evitar males mayores después de un ataque. Existen plugins que ayudan a realizar automáticamente este tipo de tareas. También se puede hacer manualmente desde los ajustes del panel de control de WordPress, exportando todo el contenido, excepto las imágenes.
Estos son pasos que cualquiera puede llevar a cabo sin excesivas molestias. Existen otras medidas como cambiar las rutas de los directorios wp-content y wp-config, proteger el fichero .htaccess o modificar la URL para acceder al formulario de login, quizá más técnicas pero muy útiles para proteger aún más nuestra página en WordPress.
Si no quieres complicarte demasiado la vida, puedes encontrar plugins que se encargan de todas estas tareas por ti, simplemente realizando unos sencillos ajustes de configuración.
7 – Toma medidas de seguridad, usa uno de estos plugin
Tres de los plugins más utilizados para realizar este tipo de medidas de seguridad, más técnicas que las anteriores, de una forma más o menos sencilla son:
Wordfence Security, iThemes Security y BulletProof Security.
Con ellos podremos controlar las URL al formulario de acceso, los nombres de los directorios de WordPress, bloquear las IPs que han provocado múltiples accesos fallidos u ocultar las etiquetas meta que informan de la versión de WordPress instalada, entre otras funciones de seguridad.
Aunque intervienen más factores a la hora de proteger una web, como la calidad del servicio de hosting, este tipo de acciones son necesarias para poner una base sólida a la seguridad de nuestra página en WordPress.
¿Qué otras prácticas para asegurar y proteger tu sitio WordPress conoces y utilizas?