Si utilizas WordPress para crear tus páginas web habrás podido comrpobar cómo cada año los ataques a este CMS van en aumento. Las bondades de este software para la creación de páginas web son muchas y, de hecho, es líder en el mercado de los CMS. Sin embargo las amenazas en forma de troyanos, bots e infecciones varias son muchas.
En numerosas ocasiones nos encontramos con clientes que vienen a nosotros alarmados por hackeos o infecciones que dicen cosas como: ¡Me han hackeado la web! ¡Mi web está infectada! ¡Han metido un virus en mi WordPress! ¡Sale publicidad en mi página web! ¡Google me ha bloqueado la web! Lo primero que hacemos es tranquilizar a nuestro nuevo cliente. Todo tiene solución. A continuación limpiamos la infección de virus y troyanos y para finalizar aplicamos medidas de seguridad para que no vuelva a ocurrir.
En este artículo veremos algunos trucos para proteger tu WordPress.
Actualiza tu WordPress y sus plugins
Una de las puertas de atrás que encuentran los atacantes para infectar tu web es alguno de tus plugins desactualizado o incluso el propio WordPress. Es muy importante que lo tengas todo siempre actualizado. De lo contrario tendrás código del que se ha documentado alguna vulnerabilidad y los bots que rastrean las webs de todo el mundo buscando vulnerabilidades acabarán por dar con la tuya e instantáneamente será infectada.
Instala un Firewall
Siempre es recomendable instalar un plugin firewall en tu WordPress. Este tipo de software se encarga de filtrar todo el tráfico de tu web y bloquear ataques maliciosos.
Nosotros recomendamos el plugin Wordfence. Si bien es algo pesado, permite en su versión gratuita proteger tu web de una forma muy óptima. Con él podrás escanear tu web para detectar si ya estás infectado, bloquear intentos de login fraudulentos, etc. Y recibirás informes periódicos por correo electrónico.
No es la solución ideal ya que lo mejor es que las tareas de firewall las realice el servidor, pero si tu hosting no tiene este servicio o es deficiente, tendrás una protección extra más que recomendable.
Protege tus formularios
Una página web realizada en WordPress tiene numerosos campos de texto y logins que por supuesto los bots van a intentar utilizar. Es más que recomendable instalar plugins que insertan captchas en todos ellos para hacerle las cosas más difíciles a todos aquellos que quieran hackear tu web.
Existen diversas opciones pero nosotros recomendamos aquellos que utilizan reCaptcha, la solución de Google al respecto.
Hosting con seguridad
En Consultis trabajamos con numerosas empresas de hosting. En muchos casos nos llegan clientes con sus páginas web en hostings de distintas empresas. Cada una de ellas tiene sus ventajas e inconvenientes. Nosotros siempre recomendamos no escatimar en este apartado. Un pequeño ahorro en nuestras anualidades puede significar lentitud en el acceso a la página web con su correspondiente penalización en Google (Posicionamiento SEO), menor seguridad, poca optimización, etc.
Nosotros recomendamos Webempresa como primera opción. Contarás con las últimas versiones de software, personalización, seguridad, optimización de velocidad, caché a nivel de servidor, servicio postventa de primer nivel, etc.
Bloqueo del Wp-admin
La URL para acceder a la administración de una web realizada en WordPress es por todos conocida: wp-admin. Esto los atacantes lo saben e intentarán entrar en las «tripas» de tu web desde allí.
Hace unos años era habitual la práctica de cambiar esa dirección por otra, sin embargo nosotros la desaconsejamos. Incluso se han documentado casos graves de vulnerabilidades con estos plugins.
Para nosotros la mejor solución hoy es el bloqueo automático de esta URL para todas aquellas IP’s que sean de fuera de nuestro país. Hostings como el anteriormente mencionado de Webempresa realizan este bloque por defecto.
Usuarios y contraseñas
Evita en la medida de lo posible utilizar un usuario administrador que se llame como el nombre del dominio. El primer intento de acceso a la administración de tu web será el usuario «admin» y el siguiente el nombre de tu dominio.
Esta sencilla recomendación no se cumple en muchas de las webs realizadas por otras empresas.
La contraseña ha de ser complicada. No debe contener el nombre del usuario y debe estar compuesta por letras, números, alguna mayúscula y en la medida de caracteres especiales. También debe ser larga a partir de 10 caracteres. Sí, será difícil de memorizar, pero cuando se trata de la seguridad de tu web no se debe escatimar el esfuerzo.
Copias de seguridad
Es muy recomendable hacer copias de seguridad frecuentes. Aunque existen plugins para realizarlas nosotros recomendamos copias realizadas por el propio hosting. De esta manera, ante una infección por descuido o por no haber aplicado alguna de las medidas anteriormente enumeradas, se podrá recuperar una copia anterior para aplicar dichas medidas una vez restaurada.
Aunque actualizaremos con más información estas son las medidas básicas de protección para tu web WordPress. ¿Te parece complicado? No te preocupes. Nosotros podemos encargarnos. Somos especialistas en este tipo de servicio. Contacta con nosotros, podemos ayudarte.