10 Consejos para asegurar un sitio web de Wordpress

¿Qué tan seguro es tu sitio web de WordPress? ¿Es tu sitio un blanco fácil para los hackers? Con algunas modificaciones y mejoras prácticas de seguridad de su sitio en Worpress, puede reducir significativamente los ataques. En esta publicación mencionaremos diez consejos para asegurar sitio web en WordPress.

1. Mantenga el núcleo de WordPress, los complementos y los temas actualizados.

Uno de los problemas más comunes de WordPress está relacionado con la ejecución de versiones obsoletas del núcleo, temas y complementos de WordPress. Además tener versiones obsoletas, es por eso que es de suma importancia mantener todo actualizado con las últimas versiones.

Es importante revisar las actualizaciones de WordPress que aparecen en su panel correspondiente.

Cuando su sitio web de WordPress ejecuta versiones anteriores corre el riesgo de que su sitio tenga vulnerabilidades que pueden ser aprovechadas por los hackers. Las notificaciones de actualizaciones pueden parecer molestas sin embargo su ejecución es eminente y necesaria ya que están directamente relacionadas con la seguridad de su sitio web.

Lista de verificación de actulizaciones de WordPress.

1. Antes de ejecutar actualizaciones, haga una copia de seguridad de su sitio web. En este caso le recomendamos tener un plugin instalado en su sitio web como UpdraftPlus.
2. Revisar el registro de cambios para la actualización de la versión antes de actualizar. Puede encontrar los registros de cambios en la página de Actualizaciones en su panel de control de WordPress.
3. Navegue a la página de Actualizaciones en su panel de administración de WordPress.
4. Haga clic en los botones de Actualizar para ejecutar las actualizaciones. 
5. Confirme que todo sigue funcionando como se espera en su sitio web. Es recomendable realizar un recorrido en su sitio web para asegurarse que no se haya rompido nada o se vea algo extraño luego de la actualización.

Herramientas para ayudar a ahorrar al administrar actualizaciones de versión.

Si administra más de un sitio web de WordPress, el proceso de ejecución de las actualizaciones puede llevar mucho tiempo y se deberá de iniciar sesión en cada sitio web de manera individual para realizar las actualizaciones. Afortunadamente existe una herramienta como iThemes Sync para ayudarle a administrar múltiples sitios de WordPress. Con esta herramienta podrá ejecutar actualizaciones de varios sitios web con tan solo unos pocos clics y visualizarlas en un solo sitio. La versión gratuita tiene para administrar hasta 10 sitios la versión premium ya es para más sitios más otras ventajas.

Los usuarios pueden recibir un correo electrónico de notificación con los detalles sobre las actualizaciones de WordPress que se instalaron de manera automática.

2. Nunca instale complementos o temas de fuentes no confiables.

Instale solo los complementos y temas de WordPress de fuentes confiables. Solamente desacargue el software de WordPress.org, de desarrolladores conocidos y sus sitios web. Siempre es importante verificar que los desarrolladores son afiliados al sitio web que ofrece su producto a un precio gratuito o con descuento. Evite las versiones “anuladas” de los complementos comerciales porque a menudo contienen código malicioso; sin embargo si es usted quién lo instala con consentimiento no habrá nada que hacer.

3. Revise la seguridad de su contraseña de WordPress.

Una estrategia de seguridad de WordPress exitosa debe incluir pasos para fortalecer su inicio de sesión de WordPress: este en última instancia se realaciona con las contraseñas utilizadas para iniciar sesión en su sitio web. Esto ya que es la parte con mayor vulnerabilidad de todo su sitio web para ser atacado.

Utilice una contraseña fuerte, única y compleja.

Los ataques por medio de la fuerza bruta son el método más común para explorar su inicio de sesión de WordPress, consiste en adivinar y adivinar una y otra vez hasta lograr dar con el inicio de sesión exitoso.

Su contraseña en WordPress deberá seguir los siguientes requisitos:

1. Incluya en su contraseña números, mayúsculas, caracteres especiales.
2. Que tenga una longuitud de por lo menos 12 caracteres.
3. Puede incluir espacios y ser una frase de contraseña.
4. Cambiar cada 120 días o 4 meses.

4. Agregue autenticación de dos factores a su inicio de sesión de administrador de WordPress.

La autenticación de dos factores es un sistema que requiere dos elementos para inciar sesión en su cuenta: primero es el nombre de usuario y la contraseña habituales, pero el segundo es un código único que se entrega a través de otro formato. El código secundario se puede entregar a través de texto, correo electrónico, códigos de un solo uso, aplicaciones móviles u otros elementos.

5. Comience a hacer copias de seguridad regulares de su sitio web.

Otra forma de garantizar la seguridad de WordPress es hacer una copia de seguridad de su sitio web. Las copias de seguridad garantizan que, si alguna vez se compromete su sitio web, podrá recuperarlo. Ejemplo de plugin para instalar con esta función sería UpdraftPlus.

Un buen plan de copia de seguridad de WordPress incluye:

1. Copias de seguridad programadas que se producen automáticamente.
2. Escaneo de esas copias en busca de malware.
3. Almacenamiento de archivos de copias de seguridad.
4. La capacidad de restaurar su sitio web desde una copia de seguridad.

6. Instale un complemento de seguridad de WordPress para manejar las tareas de seguridad.

Como ya hemos señalado algunas veces, el uso de un complemento de seguridad de WordPress puede ayudar a varias tareas de seguridad de WordPress que, de lo contrario, requerirían un registro de tiempo y conocimientos técnicos.

Recomendamos la herramienta de Wordfence que le puede ayudar a reparar los agujeros de seguridad comunes y fortalece las credenciales de los usuarios.

7. Utilice un servidor web de calidad.

No todos los servidores web son iguales y la elección de uno solo basado en precio puede costarle mucho más a largo plazo con problemas de seguridad serios. 

Su host debe estar atento a aplicar los últimos parches de seguirdad y seguir otras prácticas importantes de seguirdad de hosting relacionadoscon la seguridad del servidor y los archivos. Elija un host de buena reputación para su sitio web con un registro de seguridad sólido.

8. Añadir un certificado SSL.

Cuando el usuario visita su sitio web de WordPress comienza la línea de comunicación entre su dispositivo y su servidor. La información transmitida entre el visitante y su servidor hace varias paradas antes de ser enviada a su destino final.

Cuando un usuario o visitante ingresa en su sitio web de WordPress formas de pago, esta información no está cifrada de manera predeterminada. Por lo cual cabe la posibilidad que su información de pago se descubra en cada parada entre la computadora y su servidor. Para evitar esto debemos de agregar o adquirir un certificado SSL ya que es una manera excelente de cifrar y empaquetar la comunicación en su sitio para garantizar que solo los destinatarios pueda ver la información confidencial que se comparte.

9. Desinstale y elimine por completo los complementos y temas no utilizados.

Si tiene completmentos y temas no utilizados que se encuentren en su sitio web de WordPress osea los actualmente marcados como inactivos. Se recomienda desinstalarlos o eliminarlos ya que pueden representar un riesgo para la seguridad si existen vulnerabilidades conocidas dentro del complemento o tema; esta acción se realiza desde el panel de administración de WordPress.

10. Configurar el registro de seguridad de WordPress.

Los registros de seguridad de WordPress son otra forma de controlar la actividad de su sitio web relacionado con su seguridad; de esta manera hasta puede llegarnos un correo electrónico sobre ciertas actividades sospechosas dentro de nuestro sitio web.