Cómo proteger tu WordPress

¿Cómo proteger tu Wordpress? 5 medidas y plugins de seguridad Wordpress para proteger tu sitio web

La seguridad de Wordpress es algo que no puedes ignorar si tu sitio ya ha empezado a crecer y proporcionar ingresos. Por eso, quiero hablarte en esta ocasión sobre los pasos que debes seguir para proteger Wordpress.

Además, te hablaré sobre los mejores plugins de seguridad Wordpress, gratuitos y de pago, que puedes instalar para proteger tu sitio web y convertirlo en una fortaleza contra toda clase de ataques cibernéticos.

5 medidas de seguridad en Wordpress

5 medidas de seguridad en Wordpress

Wordpress es, por lejos, el gestor de contenidos más popular del mundo. Para que tengas una idea, el 35,8% de todos los sitios web de Internet y el 26% de los comercios online corren sobre esta plataforma.

Pero semejante popularidad también lo hace propenso a recibir ataques cibernéticos de toda clase. Por eso, es imprescindible saber cómo proteger Wordpress a como dé lugar.

1. Cambiar el prefijo de las tablas

La primera medida de seguridad en Wordpress es cambiar el prefijo de las tablas de la base de datos. Como sabes, cuando instalas el CMS, el asistente de instalación te sugiere “wp_” como prefijo. De este modo, si hay otras tablas en la base de datos, Wordpress puede reconocer cuáles son suyas.

Pero esto implica una brecha de seguridad, porque cualquier hacker con un mínimo de conocimientos probará con ese prefijo para acceder a tus tablas. Así que lo mejor es cambiar el prefijo predeterminado por cualquier otro, más personalizado y, aun mejor, más complicado, de tal forma que le hagas más difícil el trabajo a los atacantes.

Ahora bien, si ya tienes instalada tu tienda, puedes modificar el prefijo en el archivo wp-config.php. Solo tienes que ir a la línea que dice $table_prefix = ‘wp_’; y cambiar el valor. Por ejemplo, podrías ponerle “wp_a9x7e_”.

Si ahora intentas acceder a tu sitio web, notarás que te sale el asistente de instalación. Esto es porque cambiaste el prefijo en wp_config.php, pero en la base de datos las tablas siguen con el prefijo antiguo, así que el CMS no puede acceder. Para cambiar el prefijo, ve a la base de datos utilizando PHPMyAdmin o la consola, y ejecuta las siguientes líneas de código:

RENAME table `wp_commentmeta` TO `wp_a9x7e_commentmeta`;
RENAME table `wp_comments` TO `wp_a9x7e_comments`;
RENAME table `wp_links` TO `wp_a9x7e_links`;
RENAME table `wp_options` TO `wp_a9x7e_options`;
RENAME table `wp_postmeta` TO `wp_a9x7e_postmeta`;
RENAME table `wp_posts` TO `wp_a9x7e_posts`;
RENAME table `wp_terms` TO `wp_a9x7e_terms`;
RENAME table `wp_termmeta` TO `wp_a9x7e_termmeta`;
RENAME table `wp_term_relationships` TO `wp_a9x7e_term_relationships`;
RENAME table `wp_term_taxonomy` TO `wp_a9x7e_term_taxonomy`;
RENAME table `wp_usermeta` TO `wp_a9x7e_usermeta`;
RENAME table `wp_users` TO `wp_a9x7e_users`;

He utilizado el prefijo de ejemplo que te puse más arriba: “wp_a9x7e_”, pero puedes poner cualquiera que te parezca bien. Solo con esta medida de seguridad en Wordpress, dificultarás considerablemente el acceso malintencionado a tu base de datos.

2. Usuario y contraseña

Cuando instalamos Wordpress, es muy tentador elegir nombres de usuario como “admin”, “Admin”, “root”, etc. Pero esto no nos ayuda a proteger Wordpress, ya que son los primeros nombres que prueba un atacante para acceder a tu panel de administración.

Por eso, aunque no sea cómodo, lo mejor es elegir un nombre de usuario tan complejo que no haya forma de adivinarlo. Una buena recomendación de los expertos en seguridad Wordpress es utilizar mayúsculas, minúsculas, dígitos y caracteres tipo “@”, “#”, “-”, etc., cual si se tratase de una contraseña.

En cuanto a la contraseña, se aplica el mismo principio. Nada de claves cortas y fáciles de adivinar. Mientras más larga sea la contraseña, y más variedad de caracteres tenga, mucho más difícil la tendrán los hackers y robots. Nuevamente, esto puede no ser lo más cómodo, pero sí lo más seguro.

Otra recomendación es cambiar no solo tu usuario y contraseña, sino la de todos los administradores del sitio. Y no una vez, sino cada cierto período de tiempo. Por ejemplo, cada 30 días, para no darles a los atacantes el tiempo suficiente para descifrarlas.

Esta clase de medidas de seguridad en Wordpress, aunque parezcan extremas, son siempre deseables a descubrir un día que tu sitio ha sido violentado, más todavía si es una tienda online.

3. Actualiza el CMS y los plugins instalados

Las actualizaciones son un principio de seguridad básico en cualquier sistema informático. Y Wordpress no es la excepción. De ahí que tener desactualizados el CMS y los plugins puede ser una oportunidad perfecta para los intentos de acceso malintencionados.

Por suerte, Wordpress te notifica cada nueva actualizaciones, tanto de los plugins como del sistema. No ignores estas notificaciones y mantén a la orden del día todo tu sitio web. Recuerda que cada nueva actualización de software incorporan mejoras y cambios de seguridad que solventan las deficiencias de versiones anteriores, e impide el acceso a los hackers que ya conocen dichas deficiencias.

4. Plugins de seguridad Wordpress

Plugins de seguridad Wordpress

Hasta aquí, te he explicado algunas medidas básicas y de sentido común para proteger Wordpress. Pero esto no es suficiente. Un experto siempre buscará la manera de saltarse los obstáculos que le pongas y acceder. Así que nunca está de más instalar plugins de seguridad Wordpress para reforzar la protección del sitio web.

Entre los mejores plugins de seguridad Wordpress que puedes encontrar, se encuentran los 5 siguientes:

  1. Sucuri Security. El objetivo de este plugin es mejorar la seguridad de Wordpress al brindar múltiples variaciones de certificados SSL, protección DDoS avanzada, análisis de malware, monitoreo de las blacklists y de la integridad de los archivos, etc. Tiene dos versiones, una gratuita y otra que es de pago.

  2. iThemes Security. Entre otras medidas de seguridad Wordpress, este plugin añade una capa adiciona de protección al inicio de sesión mediante integración con Google reCAPTCHA. Además, ofrece detección de cambios de archivo, comparación de ficheros con la versión actual, actualización de claves, bloqueo del panel de WordPress, detección de 404, protección contra ataques de fuerza bruta, etc…>

  3. Wordfence Security. Uno de los plugins de seguridad Wordpress más populares, y con razón, porque brinda algunas de las soluciones más avanzadas de protección. Entre ellas, un set entero de firewalls con herramientas de bloqueo, protección contra ataques de fuerza bruta y amenazas en tiempo real, firewall de aplicaciones web, anti-malware y anti-SPAM, monitoreo de tráfico y más.

  4. WP Fail2ban. Un plugin sencillo pero muy útil para proteger tu sitio web contra ataques de fuerza bruta. Para ello, registra todos los intentos de login mediante LOG_AUTH, así como información sobre SPAM, pingbacks y enumeración de usuarios, y brinda dos opciones de prohibición de acceso: suave o dura. Es gratuito y muy simple de instalar. Y, una vez instalado, solo tienes que dejar que haga lo suyo.

  5. All In One WP Security & Firewall. Usar esta herramienta es una de las mejores formas de proteger Wordpress. De hecho, figura entre los mejores plugins gratuitos que puedas encontrar. Incorpora gestión de blacklists, gráficos de seguridad, opciones de bloqueo, etc. Su interfaz es muy bonita e intuitiva, y las funciones se dividen en 3 categorías de protección: Básica, Intermedia y Avanzada.

Cualquier de estos plugins de seguridad Wordpress te ayudarán a fortalecer la protección de tu sitio web de manera considerable. Así que te recomiendo instalarlos. Y, aunque sus versiones gratuitas son bastante buenas, no dudarás en utilizar las de pago si de verdad te importa proteger tu Wordpress.

5. Cambiar a un hosting seguro

Todas las medidas de seguridad en Wordpress explicadas son más que suficientes para disuadir a cualquier atacante y mantener tu sitio seguro. Sin embargo, hay un elemento que debes tener muy en cuenta: la seguridad del hosting.

Y es que, aunque sepas cómo proteger Wordpress y hayas tomado las acciones pertinentes, si tu hosting no es seguro, todo el esfuerzo habrá sido en vano, ya que la infraestructura que soporta tu sitio web no garantiza que los hackers y robots se queden fuera.

Por eso, vale la pena gastar unos euros de más en migrar tu Wordpress a un servicio de hosting que combine una elevada seguridad con un excelente rendimiento. Por ejemplo, Siteground, Webempresa, Raiola Networks, DreamHost o Factoría Digital.

Y, si tienes una tienda Prestashop con un blog Wordpress, la mejor opción es acudir al servicio de hosting que te brindamos en Innovadeluxe. No solo tenemos un Data Center eficiente de alto rendimiento con servidores ubicados en España y discos duros SSD ultra rápidos, sino que ofrecemos SSL gratis, copias de seguridad diarias y un set de firewalls que hacen virtualmente imposible cualquier ataque.

Conclusiones

Las medidas de seguridad en Wordpress mencionadas no son las únicas, pero sí las principales. Si las tomas, puedes dar por sentado que tu sitio web estará mucho más protegido contra cualquier tipo de ataque cibernético, ya sea de naturaleza humana o programada.

Pero no olvides que la seguridad nunca tiene un límite. Hay otras medidas que puedes sumar para fortalecerla. Por ejemplo, realizar backups encriptados, configurar permisos seguros de archivos y carpetas o utilizar algún proxy inverso como CloudFlare, entre muchas otras.

Si te pareció útil esta guía sobre la seguridad en WordPress, compártela con tus amigos de las redes sociales. Así ellos también sabrán como proteger su sitio web manualmente y qué plugins de seguridad Wordpress instalar. Y no olvides dejarme un comentario para saber tu opinión o cualquier experiencia que hayas tenido al respecto.

Si este artículo te ha sido de utilidad, valora con 5 estrellas


Artículos relacionados

Nelson Ochagavía

Redactor de contenidos SEO en IDX Engine. Me apasionan las tecnologías, el Marketing y el e-commerce y te lo cuento todo en este blog.

© IDX Engine by Innovadeluxe Diseño y Desarrollo Web, S.L. Todos los derechos reservados