Single Blog

Tips para mejorar la Seguridad de su WordPress.

junio 19, 2017, Written by 0 comment

Sabemos que la importancia de mantener un Sitio web en muchos de los casos es muy complicado debido a la falta de recursos a destinar para este objetivo, quizás pagar por un programador o desarrollador web sea un costo innecesario, hoy en día existen herramientas muy fáciles de utilizar y en esta ocasión te presentamos WordPress. Uno de los CMS más utilizados en la actualidad y es por ese motivo que muchos hackers se dedican a vulnerar dicha plataforma para hacer distintos tipos de abuso en la Red, un claro ejemplo de ellos es Phishing, Spam, Email masivos, Etc.

Con el tiempo, quizás puede que no suceda ninguno de los eventos anteriormente mencionados, pero es muy recurrente los problemas de esto, en nuestro caso en particular, recibimos muchos clientes con problemas con sus instalaciones de WordPress por que simplemente nunca se preocuparon de mantener sus actualizaciones al día o bien, cuándo pagaron por realizar un sitio web utilizaron Plugins piratas y no dejaron lo suficientemente protegido su Sitio bajo WordPress.

Costos relacionados, más vale prevenir que lamentar.

En la actualidad, como lo explicamos anteriormente, WordPress es muy famoso y contiene una gran cantidad de Plugins que pueden ahorrar mucho trabajo a la hora de realizar su sitio web, es por ese motivo que los Hackers lanzan múltiples ataques de distintos tipos para buscar sitios vulnerables y con esto cometer delitos informáticos o bien, sacar provecho de este.

Explicaremos paso a paso en este artículo cómo empezar con WordPress en rendimiento y seguridad.

1.- Hosting de calidad

Muchos Proveedores de Hosting en la actualidad, suelen publicar precios muy atractivos, esto no quiere decir que sea de mala calidad, sin embargo, es posible que su proveedor no tenga herramientas como Firewalls físicos u otros que impidan que sus sitios estén más seguro.

En esta ocasión, nosotros siempre recomendamos un Servicio en el cuál pueda usted confiar su sitio web ya que este es su entrada al gran mundo del Marketing Digital y su Empresa dependerá de ello, es muy importante que el apoyo de su proveedor esté presente en cualquier momento ante cualquier problema.

También es importante destacar lo que pueda ofrecer un proveedor como Servidores de última generación, Actualizaciones periódicas del Software que utiliza para alojar su servicio de Hosting, Hardware de calidad y también que ofrezca optimización del servidor.

2.- Mantenga su Sitio actualizado.

Usted siempre debe tener en cuenta que WordPress lanza actualizaciones muy seguidas y en su mayoría es por seguridad, mencionamos a continuación los principales factores en los que usted debe siempre debe mantener actualizados.:

  • Mantener siempre la última versión de WordPress.
  • Trabajar siempre con Plantillas que proporciona WordPress o bien, Planillas o “Themes” comprados los cuáles siempre incluyen plugins con licenciamiento y también ofrecen soporte. Por ningún motivo utilice Plantillas Piratas.
  • Evitar utilizar demasiados Plugins, por lo general le quita velocidad a su sitio web. Para actualizar los plugins, puede hacerlo desde su Panel de control de WordPress.

En general, todo lo pirata puede causar daños a su sitio web como código malicioso o bien, estar expuesto a vulnerabilidades, las actualizaciones son importantes y por ese motivo es que son lanzadas frecuentemente.

3.- Login Seguro

Es muy importante tener acceso seguro a su Administración de WordPress, a continuación le dejaremos algunas recomendaciones.

No utilices un nombre de usuario común, como admin, administrador, sysadmin, tu nombre o cualquiera que pueda ser fácilmente predecible.

Respecto de la contraseña, intenta que respete las siguientes reglas:

  • La longitud de las contraseñas no debe ser inferior a ocho caracteres. Mayor longitud implica mayor seguridad.
  • Las contraseñas deben estar formadas por una mezcla de caracteres alfabéticos (donde se combinen las mayúsculas y las minúsculas), dígitos e incluso caracteres especiales (@, ¡, +, &).
  • No utilizar por ningún motivo, nombres de usuario como por Ejemplo: admin, administrador, wordpress o cualquiera que pueda ser predecible.

4.- Copias de seguridad, Backup en todo momento.

Debes hacer copias de seguridad de manera periódica, al menos una vez por semana. En algunos casos, los Proveedores de Hosting ofrecen el servicio de Backup, pero siempre es recomendado que usted mismo realice actualizaciones de su sitio web y así evitará pérdidas de información.

Dejaremos una corta lista que pueden ayudar a mantener su sitio respaldado si usted no puede realizar dichos respaldos por que es muy complejo.

  • Google Drive for WordPress, que aprovecha el espacio de tu cuenta de Google Drive para volcar allí las copias de seguridad.
  • BackUpWordPress, que permite enviarte las copias de seguridad a un email que le indiques previamente.
  • BackupBuddy, que permite enviar las copias de seguridad mediante email, FTP o a otros servicios como Dropbox o Amazon S3, por ejemplo. Este es de pago.

Algunos proveedores incluyen herramientas llamadas Auto-Instaladores, puede ser el caso de Softaculous, Fantástico u otros, es una muy buena herramienta y opción, ya que usted puede dejar configurado Backups automáticos de su WordPress.

5.- Plugins de Seguridad WordPress.

Aparte de todo lo mencionado, dejaremos dos Plugins de versión Gratuita y Premium. En muchos casos la versión gratuita es suficiente para proteger su sitio, si usted tiene la posibilidad de comprar la versión Premium, sería mucho mejor.

6.- Protección de WordPress mediante htaccess.

Una de las mejores herramientas para asegurar su Sitio basado en WordPress es mediante el archivo .htaccess ubicado en la carpeta raíz de su Servidor FTP. Con esto, usted ppodrá proteger carpetas, accesos y muchas otras cosas.

# Deshabilitar firma del Servidor.
ServerSignature Off
 
# Restringir la navegación de Carpetas
Options All -Indexes
 
# Proteger el archivo wp-config.php
 
  order allow,deny
  deny from all
 
 
# Proteger el archivo .htaccess
 
  order allow,deny
  deny from all
  satisfy all
 
 
# Proteger el acceso directo a "ciertos" archivos.
<FilesMatch "^(php\.ini|php5\.ini|install\.php|php\.info|readme\.html|bb-config\.php|\.htaccess|readme\.txt|error_log|error\.log|PHP_errors\.log|\.svn)">
  Deny from all
 
 
# Proteger contra el seguimiento de sitios cruzados XST
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
 
# Redirigir búsquedas vacías a raíz
RewriteCond %{QUERY_STRING} ^s=$
RewriteRule ^ /? [L,R=301]
 
# Errores PHP
php_flag display_startup_errors off
php_flag display_errors off
php_flag html_errors off
php_value docref_root 0
php_value docref_ext 0
 
# Mantenga a los bots lejos de comentar
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
RewriteCond %{HTTP_REFERER} POST
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteCond %(.*) http://%{REMOTE_ADDR} /$ [R=301,L]

Con esto, ya podemos empezar a trabajar con un WordPress seguro y más tranquilo, aunque no son los únicos métodos para mejorar la seguridad en su sitio, siempre es bueno realizar dichos pasos comentados, pueden ayudar mucho para futuras intrusiones en su sitio.

Esperamos que nuestro artículo sea de mucha ayuda para usted.

Compartir