Cómo fortalecer tu instalación de WordPress

Generalidades

Este artículo detalla cómo fortalecer tu instalación de WordPress. Si tu sitio de WordPress ha sido hackeado, primero revisa el siguiente artículo:

Hay algunos pasos comunes que puedes seguir para fortalecer tu instalación de WordPress de inmediato. La tabla a continuación enumera algunas precauciones básicas:

Cosas a tener en cuenta Detalles
Conexiones seguras
Mantener el software actualizado
  • Mantén actualizados tus complementos, temas y la versión de WordPress
Eliminar software antiguo
  • Elimina plugins y temas no utilizados
  • Elimina cualquier otra aplicación no utilizada bajo tu usuario
Comprobación de registros y archivos
  • Verifica tus registros de acceso y error para identificar cualquier comportamiento inusual
  • Comprueba los permisos en carpetas y archivos
Mantener copias de seguridad
  • Haz una copia de seguridad continua de tu sitio (plugin/SVN/git)

Este artículo describe cada uno de los anteriores con más detalle.

Usa contraseñas seguras

Uno de los pasos más importantes que puedes tomar es utilizar siempre contraseñas seguras para todos los inicios de sesión de tus usuarios. Éstos incluyen:

  • Usuario del Sitio Web. Este es el usuario que utilizas para iniciar sesión en tu servidor a través de FTP, SFTPSSH.
  • Usuario de MySQL. Este es el usuario que tiene acceso a tu base de datos.
  • Usuario de WordPress. Este es el nombre de usuario que usas para iniciar sesión en tu sitio de WordPress.

Para obtener más información sobre cómo crear contraseñas seguras, consulta el siguiente artículo:

Usa nombres de usuario diferentes

Una contraseña segura es un buen comienzo. También es una buena idea usar diferentes nombres de usuario para tus inicios de sesión. Por ejemplo, tu nombre de usuario SFTP debe ser diferente del nombre de usuario de tu base de datos MySQL, que debe ser diferente de tu nombre de usuario de WordPress.

Además, también es una buena idea alojar tu sitio de WordPress solo con un nombre de usuario específico / único. En tu panel, puedes asignar un solo nombre de usuario a todos los dominios que desees. Mira el siguiente artículo para más detalles:

Sin embargo, si ese usuario se ve comprometido, todos los sitios bajo ese usuario son vulnerables. Por lo tanto, se recomienda crear un nuevo usuario  SFTP y asignar solo ese usuario a tu sitio específico de WordPress.

Si luego creas un nuevo sitio, crea un nuevo usuario. Esto asegurará que todos los datos estén separados en el servidor web.

Agrega un usuario administrador de WordPress con nombre

Asegúrate de que tu usuario administrador no se llame admin.

Si tu usuario administrador se llama ‘admin’, crea un nuevo usuario con otro nombre y dale privilegios de administrador. Después de que hayas confirmado que esta cuenta funciona, inicia sesión como esta cuenta y regresa a la pestaña de usuarios de la izquierda y elimina el usuario de la cuenta llamado ‘admin’.

Esto es muy importante ya que ‘admin’ es el nombre de usuario más atacado. Consulta el siguiente artículo para obtener más información:

Usa el protocolo HTTPS para tu sitio

Cuando normalmente te conectas a un sitio web, generalmente se realiza utilizando el protocolo HTTP que no está encriptado. Esto significa que si inicias sesión en tu sitio de WordPress usando HTTP://example.com, tu contraseña se envía en texto sin formato. Este también es el caso si inicias sesión en tu base de datos a través de phpMyAdmin.

Para evitar que tu contraseña se transmita libremente, se recomienda que agregues un certificado SSL a tu sitio. Esto agrega un certificado SSL que te permite conectarte usando HTTPS (ten en cuenta la 's' al final). Cuando te conectas usando HTTPS, tu conexión está encriptada y segura de cualquier persona que espíe en tu red.

Revisa el artículo Agregar un certificado SSL para obtener detalles sobre cómo agregar el certificado.

Luego, debes usar un complemento como WordPress-https para configurar un alojamiento seguro en tu sitio web.

Usa SFTP o SSH para conectarte a tu servidor

Debes conectarte a tu servidor web de vez en cuando para realizar ajustes en tu sitio o solucionar un problema. Hay algunas formas de conectarse.

Opciones sin cifrar (No recomendada)

  • WebFTP - Este cliente está disponible desde el panel DreamHost.
  • FTP - Puedes usar cualquier cliente FTP para conectarte a tu servidor a través del puerto # 21. Esto no está encriptado, por lo que toda la información se envía en texto plano para que cualquiera pueda verla.

Opciones encriptadas (Recomendada)

  • SFTP - La mayoría de los clientes que admiten FTP también admiten SFTP a través del puerto # 22. Esta es una forma segura de conectarte a tu servidor y siempre se recomienda.
  • SSH - Esta es una forma de conectarte a tu servidor utilizando un programa de terminal como PuTTY para Windows.

Siempre que sea posible, usa siempre una conexión encriptada como SFTP o SSH para conectarte a tu servidor.

Mantén el software actualizado

Es muy importante actualizar continuamente tu software. Las actualizaciones de software a menudo se realizan para resolver problemas de seguridad. Cuanto más actualizado esté tu software, menos vulnerable será. Esto significa mantener tu versión, plugins y temas de WordPress actualizados.

Actualiza tu versión de WordPress

Actualiza plugins

Una de las formas más rápidas de destruir tu credibilidad como blog de WordPress es tener toneladas de spam en las áreas de comentarios. La manera fácil de resolver esto es con un complemento anti spam como los siguientes:

Consulta la siguiente guía de WordPress para obtener más información:

Actualiza temas

Eliminar software antiguo

Incluso si un plugin o tema está inactivo, aún podría representar un riesgo de seguridad. Si no estás utilizando un tema o complemento, asegúrate de eliminarlo de tu servidor web. Los complementos y temas se encuentran en el siguiente directorio:

/home/username/example.com/wp-content/

Dentro de esa carpeta /wp-content, navega al directorio /plugins o /themes y elimina los que no uses.

Lo mismo ocurre con las instalaciones adicionales de WordPress. Por ejemplo, es posible que se haya creado un sitio de prueba en example.com/wptest. O tal vez tenías un sitio antiguo pero ya no lo usas. En cualquier caso, si tienes otra instalación de WordPress que no estás utilizando, elimínala.

Finalmente, si tiene otras aplicaciones como Joomla, Drupal o Moodle instaladas bajo tu usuario que no está utilizando, asegúrate de eliminarlas también.

La conclusión es que si no estás utilizando el software instalado bajo tu usuario, es mejor eliminarlo. Solo guarda lo que necesitas.

Comprobación de registros y archivos

Si sospechas algún comportamiento inusual, es una buena idea verificar tus archivos access.log y error.log. Ve al siguiente artículo para más detalles:

Asegúrate de verificar también los permisos de tu carpeta:

Mantener copias de seguridad

Con cualquier sitio web, siempre es importante hacer una copia de seguridad continua de tus datos. Esto significa hacer una copia de seguridad tanto de los archivos de tu sitio web como de cualquier base de datos. Ve al siguiente artículo para más detalles:

Una opción más avanzada es usar un sistema de control de versiones como Subversion o git. Sin embargo, para la mayoría de los usuarios, una copia de seguridad normal es suficiente.

Protege tu sitio con un archivo .htaccess

Puede usar un archivo .htaccess para proteger aún más tu sitio. Por ejemplo, wp-config.php nunca debe ser accesible públicamente. Para proteger este archivo, agrega lo siguiente a un archivo .htaccess en el directorio de tu sitio donde se encuentran todos los demás archivos de WordPress:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Hay varias otras cosas que puedes hacer con un archivo .htaccess para proteger tu sitio. Mira el siguiente artículo para más detalles:

Ver también

¿Este artículo ha respondido sus preguntas?

Última actualización el PST.

¿Aún no encuentra lo que busca?