En esta guía veremos cómo aplicar las mejores prácticas de seguridad en WordPress para evitar las vulnerabilidades más habituales de WordPress. No nos confundamos, WordPress es un CMS muy seguro, pero el problema suele estar en los archivos de los temas y plugins creados por terceros.
Contenidos
- 1 No utilices admin como nombre de usuario
- 2 Utiliza contraseñas seguras
- 3 Mantén WordPress actualizado
- 4 Oculta la versión de WordPress
- 5 Limitar el número de accesos por IP
- 6 Configura los permisos del archivo wp-config.php
- 7 Desactiva la edición de archivos desde WordPress
- 8 Cambia el prefijo de las tablas de WordPress
- 9 Crea copias de seguridad
- 10 Utiliza conexiones seguras
No utilices admin como nombre de usuario
Evitar el uso de «admin» como nombre de usuario para el administrador. Una vez hayamos decidido el nombre de usuario administrador, debemos usar un alias en la cuenta para que el nombre de usuario no esté expuesto al público. Aún así nuestro nombre de usuario estará expuesto al público mediante la url de autor; por ejemplo: http://tuWeb.com/author/usuario/. Podéis ver aquí cómo ocultar el nombre de usuario en WordPress.
Utiliza contraseñas seguras
Las contraseñas deben ser también seguras, siendo lo más aleatorias posibles y conteniendo letras, números y caracteres especiales. Puedes utilizar la función que genera contraseñas automáticamente en WordPress
Mantén WordPress actualizado
Actualizar siempre WordPress a la última versión y si es posible, activar las actualizaciones automáticas para versiones menores que no suelen suponer ninguna incompatibilidad. Debemos tener también actualizados los temas y plugins que utilicemos.
Oculta la versión de WordPress
Debemos ocultar la versión de WordPress que estamos utilizando. Existes varias cosas que hacer al respecto, y la primera de ellas consiste en eliminar el archivo readme.txt del directorio raíz de WordPress. Sin embargo, además de esto, se recomienda eliminar todas las referencias en el código, para lo cual puedes utilizar el siguiente filtro.
function quitar_version_wp() {
return "";
}
add_filter('the_generator', 'quitar_version_wp');Puedes agregar el filtro en el archivo functions.php.
Limitar el número de accesos por IP
Hay que limitar de algún modo el número máximo de intentos de acceso por IP, algo que como decíamos, podemos lograr con algún Plugin como Wordfence Security, BulletProof Security, All In One WP Security o Sucuri Security.
Configura los permisos del archivo wp-config.php
Tenemos que dotar de seguridad extra al archivo wp-config.php, ya que es el que puede proporcionar un acceso total a la web.
Desactiva la edición de archivos desde WordPress
Siguiendo con el archivo wp-config.php, debemos agregar la siguiente línea de código para deshabilitar la edición de archivos tanto de temas como de Plugins mediante la interfaz de WordPress:
define( ‘DISALLOW_FILE_EDIT’, true);Cambia el prefijo de las tablas de WordPress
Es una buena opción cambiar el prefijo de las tablas de WordPress en nuestra base de datos para que sea más complicado modificarlas. Podemos hacerlo siguiendo las instrucciones del enlace anterior o mediante algún plugin.
Crea copias de seguridad
Es muy importante realizar copias de seguridad diarias tanto de nuestros archivos como de nuestra base de datos. Si nuestro panel de Hosting dispone de esta funcionalidad, es lo más recomendable. Podemos utilizar también plugins como VaultPress o BackWPup.
Utiliza conexiones seguras
Por último, es recomendable usar el protocolo seguro SFTP (SSH) cuando nos conectemos mediante FTP a nuestro servidor.
Si aún así logran hackear tu web, aquí puedes encontrar qué hacer cuando tu web con WordPress está hackeada.
Edu Lázaro: Ingeniero técnico en informática, actualmente trabajo como desarrollador web y programador de videojuegos.
