La popularidad de WordPress para la construcción de sitios web lo convierte en un interesante objetivo de ataque por parte de los ciberdelincuentes. La vulnerabilidad de nuestro sitio web también depende de nosotros, por lo que a continuación te doy 7 tips de buenas prácticas que podemos llevar a cabo, sin códigos, ni complementos (plugins), para mejorar la seguridad de nuestro sitio Web con WordPress.
Estas estrategias, que son más de sentido común que de otra cosa, forman parte de los procedimientos de seguridad activa, es decir, que nos ayudan a reducir la posibilidad de accidentes por vulnerabilidades en nuestro sitio:
1. Actualiza WordPress
Mantén el WordPress actualizado a la última versión. En tu escritorio WP puedes ver la notificación cuando es requerida:
WordPress es un software de código abierto y tras cada actualización notifica los fallos de la versión anterior que fueron corregidos. Esta información es aprovechada por los hackers para atacar aquellos sitios que aún no se han actualizado a la última versión.
Al hacer clic en actualizar te hace una advertencia: que realices previo una copia de seguridad.
2. Utiliza contraseñas seguras
Pon contraseñas seguras para ingresar a tu escritorio de WP, nunca utilices la misma contraseña en dos sitios diferentes, y si llega a presentarse algún problema cámbialas inmediatamente.
Para revisar y/o cambiar la contraseña, ve a tu escritorio de WordPress y selecciona en el menú de la izquierda >usuarios>todos los usuarios> haz clic sobre tu usuario>editar
Se abre una página de tu perfil con varias opciones, desliza hacia abajo hasta “Gestión de la cuenta”
Puedes utilizar la que te muestra el sistema por defecto o establece una a tu gusto que sea más fácil de recordar: mínimo 8 caracteres, combina letras minúsculas con mayúsculas e incluye caracteres especiales y números. No utilices datos personales, ni secuencias de números, ni repitas el mismo número n veces. No compartas tu contraseña con nadie.
Importante: Copia (y pega, si lo haces en digital) esta contraseña en un documento donde organizadamente lleves apuntados todos los datos de usuario y contraseñas; y que sea un lugar confiable y seguro.
Este procedimiento es válido para cualquier usuario, pídeles que utilicen contraseñas seguras y no la compartan con nadie.
3. Actualiza tu lista de usuarios
Cada usuario debe tener el perfil mínimo que le corresponde por las funciones que va a desempeñar, no le otorgues más permisos de los que requiere.
4. Elimina usuarios no activos
Elimina los usuarios que no estén activos a excepción de los que han creado contenido, en cuyo caso modifica su perfil a suscriptor. Esto se debe a que al momento de borrarlo el sistema te va a preguntar a quién se le va a atribuir el contenido creado por él y no sería ético asignarlo a otra persona. De esta manera, como suscriptor no puede ejercer ninguna función pero sigue siendo el dueño del contenido creado.
5. Usa temas y complementos (plugins) confiables
Otro práctica muy importante para la seguridad de tu sitio Web con WordPress es que utilices temas y plugins confiables. Nunca los descargues de sitios desconocidos, y menos, si te ofrecen gratis los que son de pago. Revisa cuánta gente lo ha descargado, cuántas instalaciones están activas, qué opinan (valoraciones con estrellas), cuándo fue actualizado por última vez (desconfía de los que no actualizan con frecuencia, aunque no necesariamente es así para todos los plugins), si es compatible o no con la versión de WordPress que estás utilizando…
5.a) Dónde obtener complementos confiables:
- Puedes descargarlo haciendo clic en «Plugins» (Complementos) en el menú de la izquierda del escritorio y en “añadir plugin” de la lista que se despliega o bien en el botón superior al lado del título Plugins, y escribiendo el nombre del plugin requerido en el buscador
Supongamos que hacemos clic en el menú de la izquierda y colocamos el nombre en el buscador, por ej.: Bookly> enter>seleccionas entre los que te aparecen abajo y haz clic en el botón de «instalar ahora«, una vez instalado el botón cambia a «activa», vuelves a hacer clic y listo, ya tienes el plugin instalado y activado.
- También podemos descargar el complemento (plugin) desde el sitio de «WordPress.org».. Hacemos clic en «Complementos» (plugins) y se abre la página para escribir en el buscador el nombre del plugin requerido escribimos en el buscador el nombre del requerido
Siguiendo con el mismo ejemplo, escribimos Bookly y hacemos enter. Aparece debajo el plugin requerido.
Una vez descargado, vamos al escritorio WordPress de nuestro sitio>plugins>añadir nuevo (botón de la parte superior) y se convierte en «subir plugin», hacemos clic en él
Al subirlo se activa el botón instalar ahora. Una vez instalado nos va a aparecer el botón para que lo activemos, y listo.
5.b) En el caso de los Temas
El procedimiento es el mismo, solo que en el escritorio se encuentran en Apariencia (menú izquierdo del escritorio)>Temas
Haciendo clic en Tema, te va a presentar los temas que tienes actualmente instalados, cuál está activo y te da la posibilidad de añadir en dos posiciones, superior e interior del recuadro, o de eliminar temas.
6) Mantén actualizados los plugins y temas que estás utilizando a la última versión.
Otro asunto muy importante para la seguridad de tu sitio Web con WordPress es mantener actualizados los plugins y temas a la última versión disponible. En tu escritorio vas a ver las advertencias tanto en el menú de Actualizaciones como en Plugins, o en apariencia>temas:
En la información del plugin a actualizar te indica cuál es la versión que tienes y en la notificación de la disponibilidad de una nueva versión te permite ver los detalles de la misma y hacer clic para actualizar.
En el aparte de plugins tienes la opción de dejar que se actualicen automáticamente. Yo prefiero estar pendiente y hacer la actualización manual, un plugin a la vez, borro caché y recargo la página para verificar que se causó ningún problema por incompatibilidades..
Importante: no dejes que se acumulen las actualizaciones (varias versiones de un mismo plugin) porque si hay un problema no sabremos cuál versión fue la que nos dio la incompatibilidad y se dificulta buscar la solución.
En el caso del tema, vas a apariencia > tema> actualizas y activas.
7) Elimina todos los temas y complementos (plugins) inactivos
Si solo los desactivas, pero no los borras, los archivos siguen en el FTP, y si tienen alguna vulnerabilidad, a pesar de estar inactivos, vas a tener problemas.
Conclusiones
Como has podido observar son muchas las razones por las que podemos crear vulnerabilidades en nuestro sitio web si no seguimos simples prácticas de sentido común. Estos tips no requieren saber de programación, ni agregar códigos, ni utilizar complementos. siguiendo estas buenas prácticas estarás añadiendo capas de seguridad a tu sitio. En próximos artículos te explicaré qué otras medidas puedes tomar para mejorar la seguridad de tu Web con WordPress.
Si te quedó alguna duda coméntala abajo en el apartado correspondiente y con gusto te daré respuesta. Un abrazo.
Bibliografía
Curso de Seguridad WordPress