Ya sabéis mi pasión por WordPress, pero si tiene algo malo, sin duda, es la seguridad. Al ser el CMS más usado a nivel mundial, también es el más atacado, por lo que es tarea nuestra blindarlo ante estos ataques, y a continuación os voy a detallar como, en unos sencillos pasos.
Tabla de contenidos
No poner de nombre de usuario admin, administrator ni el nombre de la web.
Si instalamos cualquier plugin de seguridad que nos informe de los login fallidos, observaremos que la mayoría de los intentos se realizan con el usuario admin, administrator o el nombre de la web. Si no usamos ninguno de estos nombres, evitaremos un buen número de ataques.
WordPress, al realizar la instalación siempre crea por defecto un usuario con el rol de administrador y el nombre de usuario sugerido “admin”. Una vez concluida la instalación ya no es posible cambiar el nombre de este usuario que tiene el rol de administrador. Después de esto sólo hay 2 maneras de solucionar esto:
- Accedemos a phpMyAdmin en el panel de nuestro hosting, en la base de datos donde este instalado WordPress buscamos la tabla “wp_users” , y cambiamos el valor admin del campo “user_login”.
- La otra es borrar la cuenta de admin, en el panel de administración de WordPress y controlar el blog desde una nueva cuenta, con el perfil de administrador.
Poner contraseñas seguras
Poner una contraseña fuerte a los usuarios de WordPress, es algo obligatorio para la seguridad de nuestra web. El mismo WordPress nos indica el nivel de seguridad de la contraseña cuando la asignamos. también hay diferentes recursos web para crear contraseñas seguras, aquí os dejo algunos:
Limitar los login fallidos
Los ataques de fuerza bruta, prueban contra el login infinidad de intentos, por lo que es esencial bloquear cualquier IP, que tenga un número elevado, de intentos de login fallidos. Con número elevado me refiero a 4 intentos. Lo más sencillo para esto es usar un plugin, pero la mayoría de estos plugin llevan sin actualizarse más de 2 años, con lo que no recomiendo usarlos. Pero rebuscando, he encontrado este, que aunque la versión gratuita es muy limitada, es suficiente y muy seguro, y está totalmente actualizado.
El plugin WP Limit Login Attempts, en su versión gratuita nos ofrece un captcha de seguridad previo al login, y limitará el acceso al login durante 10 minutos, si se fallan 5 intentos en el login o 3 en el captcha.
No mostrar el nombre de usuario públicamente
Si no hacemos nada para evitar esto, el nombre de usuario puede aparecer en diferentes partes de nuestro WordPress, dando una información sensible para la seguridad de nuestro WordPress. Por ejemplo, aparece en las entradas o posts, junto a la fecha y categoría de la entrada, en las respuestas a los comentarios, …
¿Cómo lo evitamos? Tenemos que crear un alias y hacer que se muestre este alias públicamente.
Para ello vamos al panel de administración de nuestro WordPress, al menú lateral, Usuarios -> Perfil y añadimos un alias y lo elegimos para ser mostrado publicamente
Mantén siempre actualizado tu theme, el software de WordPress y todos tus plugin activos.
Cualquier parte del software de nuestra web, que este sin actualizar (plugins, themes o núcleo de WordPress) puede ser una puerta de entrada para el malware. Así que siempre debemos tenerlo todo actualizado.
Plugins
A partir de la versión de WordPress 5.5, esta tarea la podemos automatizar para los plugins, activando las actualizaciones automáticas
Núcleo de WordPress
Hay 2 tipos de actualizaciones del núcleo de WordPress:
Las actualizaciones menores: están formadas por 3 dígitos, por ejemplo, WordPress 5.7.1. Se ejecutan automáticamente, sólo corrigen errores menores o realizan pequeños ajustes en las funciones existentes.
Las actualizaciones mayores: están formadas por 2 dígitos, por ejemplo, WordPress 5.8. Se ejecutan manualmente, aportan mayores ajustes y nuevas funciones al núcleo de WordPress.
Themes
Las actualizaciones de los themes se ejecutan manualmente. Lo recomendable es tener instalados sólo 2 themes, el activo y otro reservar para activarlo en caso de problemas en el activo principal.
Usa un plugin de seguridad de WordPress.
Yo os voy a recomendar el plugin Wordfence. Es un plugin totalmente actualizado, con más de 1 millón de instalaciones activas, y que nos ofrece una serie de prestaciones automáticas muy interesantes en su versión gratuita.
Siguiendo estás 6 recomendaciones, vuestro WordPress, estará a prueba de bombas !!!