En esta era de la tecnología, es importante tener una presencia digital en forma de un sitio web. Ya sea que lo uses para publicidad, para vender tus productos o servicios o incluso como un medio para ganar dinero, depende completamente de ti. Sin embargo, al digitalizarte, siempre enfrentas el riesgo de que alguien hackee tu sitio web. Cuando tu sitio es hackeado, puedes sufrir un gran golpe financiero o incluso ver afectada tu reputación. Dado que WordPress es el CMS más común, pensamos que deberíamos ayudarte con algunos consejos de seguridad de WordPress para mantener tu sitio a salvo de hackers.
Mantén una contraseña fuerte
Uno de los consejos más básicos para prevenir que tu sitio web sea hackeado es tener una contraseña de administrador fuerte. Una contraseña fuerte es aquella que no esté relacionada contigo de ninguna manera. Por supuesto, esto hace que sea más difícil de recordar, pero mantiene tu identidad cibernética segura.
Para crear una contraseña fuerte, asegúrate de que sea larga (más de 16 caracteres), contenga letras mayúsculas y minúsculas, contenga números e incluso caracteres especiales. Usa una combinación aleatoria de estos para establecer una contraseña sólida. Recuerda no usar palabras o nombres en la contraseña para hacerla aún más fuerte.
También es importante mantener un nombre de usuario de administrador que no sea fácil de adivinar. Sigue pautas similares para asegurarte de que el nombre de usuario de administrador también sea fuerte.
Cambia la URL de inicio de sesión
Generalmente, es bastante fácil acceder a la página de inicio de sesión de los sitios de WordPress utilizando el sufijo “wp-admin” o “wp-login”. Mantener esta página de inicio de sesión predeterminada facilita el trabajo a un hacker. Por lo tanto, necesitas cambiar la página de inicio de sesión a algo más complicado como “mi_nueva_página_de_inicio_de_sesión”. También puedes usar el plugin iThemes Security para ayudarte con esto.
Asegúrate de que tu WordPress esté actualizado
Un truco común que utilizan los hackers para acceder a tu sitio web es encontrar agujeros en versiones anteriores del software. Por eso, todas las aplicaciones y el software reciben actualizaciones regularmente para asegurarse de que estos agujeros se eliminen.
La última actualización lanzada por WordPress es la WordPress 4.9.1 Security and Maintenance Release a finales de noviembre del año pasado. Si aún no la has descargado, ¡actualízala ahora!
Activa la autenticación de dos factores
Con esta función de WordPress, la seguridad del sitio web se incrementa significativamente al añadir otro paso al procedimiento de inicio de sesión. Cada vez que intentes iniciar sesión, recibirás un código de un solo uso (OTP) en tu teléfono o correo electrónico. Solo después de ingresar este código podrás acceder al sitio web.
Así, los hackers necesitarán no solo tu contraseña de WordPress, sino también la contraseña de tu correo electrónico o de tu teléfono móvil. Las posibilidades de esto son considerablemente menores, lo que asegura una mayor seguridad para tu sitio web.
Obtén un certificado SSL para tu sitio web
Cada vez que veas una URL de un sitio web, notarás que comienzan con ‘http’ o ‘https’. Los sitios web ‘https’ son los que están protegidos con encriptación SSL. Esta encriptación asegura que cualquier dato que se transfiera del cliente (como tu navegador) al servidor esté cifrado. De esa manera, si los hackers obtienen la información, no podrán entenderla. Esta encriptación es especialmente importante si planeas aceptar pagos en línea o si tienes múltiples usuarios iniciando sesión en tu sitio web.
Ten cuidado con los plugins y enlaces peligrosos
Una de las características que hacen que WordPress sea tan popular es el hecho de que puedes usar plugins para mejorar la experiencia. Sin embargo, dado que es tan popular, casi todos están creando un plugin para WordPress. Algunos de estos plugins pueden ser virus u otros tipos de malware que pueden afectar gravemente tu sitio web.
Otra posibilidad es que el plugin que estás utilizando no sea lo suficientemente seguro y pueda llevar a un ciberataque. Por eso, deberías asegurarte de que todos tus plugins estén actualizados. También es una buena práctica descargar nuevos plugins solo de fuentes conocidas que tengan una cantidad considerable de reseñas y descargas. Al mismo tiempo, recuerda eliminar plugins y temas antiguos que ya no uses.
Si tienes enlaces dañinos apuntando a tu sitio web, habla con un profesional de SEO en https://www.cymaxmedia.com/colorado-springs-seo/ sobre cómo mantener un perfil limpio. Muchos sitios web de baja calidad que apuntan al tuyo pondrán tu sitio en un mal vecindario y te harán más propenso a sufrir ataques.
Agrega usuarios con cuidado
Administrar un sitio web no es un trabajo fácil y, a menudo, necesitas múltiples autores o editores para ayudarte con esto. Sin embargo, esto aumenta el número de responsabilidades, ya que sus cuentas pueden ser hackeadas o pueden ser la amenaza en sí mismas.
Por lo tanto, antes de agregar nuevos usuarios, asegúrate de que tengan un buen historial y grandes reseñas que los respalden. Además, asegúrate de que estén utilizando contraseñas fuertes. Ayuda mucho si estas contraseñas son generadas usando una aplicación creada para este propósito, como ‘Force Strong Passwords’.
Ten cuidado con los permisos de directorio
Si estás utilizando un entorno de hosting compartido, entonces múltiples personas pueden acceder a los archivos o directorios alojados por el servidor. Naturalmente, esto aumenta los riesgos de seguridad y, por lo tanto, es una buena opción restringir el acceso a estos archivos y directorios.
Puedes hacer esto cambiando los códigos de permiso para ellos. Los expertos recomiendan que los permisos de directorio se configuren en “755” y los archivos en “644” para protegerlos. Asegúrate de no usar el código “777” para ninguno de los archivos, ya que esto otorga acceso total a otros.
Mantén el archivo wp-config.php seguro
La mejor manera de dificultar la vida de un hacker es negarle el acceso al archivo wp-config.php. Este archivo es crucial para la instalación de WordPress. La forma más sencilla de mantenerlo seguro es eliminarlo de la carpeta raíz y moverlo a una carpeta de nivel superior. El orden de prioridad asegurará que WordPress siga accediendo a este archivo en el momento adecuado, lo que mantendrá todo funcionando sin problemas.
Oculta tu versión de WordPress
Dependiendo de cómo hayas configurado tu sitio web, el número de versión de WordPress es fácilmente visible tanto para usuarios como para visitantes. Si un hacker obtiene este número de versión, es como si un ladrón de safes tuviera los planos del safe que debe abrir. Varios plugins de seguridad de WordPress, como “Wordfence Security”, pueden ayudarte a ocultar este número de versión de aquellos que están husmeando.
Crea un respaldo regularmente
Seguir todos los consejos anteriores ayuda mucho, pero no podemos ignorar la posibilidad de que alguien, de alguna manera, logre superar todas estas medidas de seguridad y hackee el sitio web. En tales momentos, es bueno tener un respaldo offline que no pueda ser tocado por hackers. Esto te ayudará a comenzar de nuevo si lo impredecible sucede. Hay muchos plugins de WordPress que pueden ayudarte con esto. VaultPress crea un respaldo cada 30 minutos, manteniendo así tus datos offline actualizados con una mínima pérdida de datos (si es que hay alguna).
Estos son solo algunos de los consejos que te ayudarán a mantener WordPress a salvo de hackers. Como puedes ver, incluso estos pasos básicos son bastante numerosos. Además, siempre necesitas mantenerte actualizado sobre nuevas medidas de seguridad para estar un paso adelante de los hackers. Por eso, recomendamos contratar un servicio profesional para ayudarte a gestionar la seguridad de tu WordPress. Si tienes alguna pregunta sobre el post o una parte específica de la seguridad de WordPress, no dudes en preguntarlas en los comentarios a continuación.