¿Qué hay de la seguridad en WordPress?

En este tutorial WordPress, quiero hacer un par de comentarios sobre el tema pues hay varias normas básicas a seguir si quieres instalar WordPress de forma segura.

¡Escoge una buena contraseña! Cuanto más larga sea y cuantos más caracteres especiales tenga (¡’#$% etc)… mejor. Y lo mismo aplica para el password de acceso al servicio del hosting.

Cambia el nombre estándar de usuario y elimina “admin” de dicho nombre pon cualquier otra cosa en su lugar (lo que sea). No has de crear nunca contenidos desde la cuenta de administrador. Si te “hackean” el atacante pasaría a tener control absoluto de tu website. Crea una cuenta aparte con permisos limitados y úsala para publicar contenidos.

Crea copias de seguridad con regularidad (si es posible cada día). La mayor parte de los alojamientos web ofrecen esa posibilidad.

Mantén tu versión de WordPress, tu theme (tema) y los plugins actualizados. Cada vez que salga una actualización debes instalarla si no quieres que tu sitio web quede desprotegido. Cualquier plugin que no uses debes desinstalarlo por completo y ten cuidado: antes de hacer una actualización crea una copia de seguridad por si surgen problemas. Lo ideal sería que primero lo experimentarás en un entorno de pruebas.

¿Qué otros factores influyen para que tu web pueda ser insegura?

• Utilizar una versión desactualizada y vulnerable del CMS.
• Instalar plugins indiscriminadamente y olvidarse luego de ellos.
• Excederse en la protección de la web con demasiados plugins de seguridad.
• No hacer copias de seguridad regularmente, al margen de las que haga el proveedor de Hosting.
• Utilizar plugins poco confiables, incompatibles con tu actual versión de WordPress o abandonados.
• Acceder a tu dashboard desde conexiones inseguras (wifis públicas, bares, etc) sin protección.
• No usar segundos factores de autorización (2FA) para los accesos al dashboard.

Las vulnerabilidades existen. Eso es incuestionable. Por lo que tener políticas de prevención y contención frente a fallos de seguridad de un sitio web deben formar parte de tu checklist de trabajo con WordPress. Sobre todo si tu enfoque es comercial y gestionas un sitio con mucha visibilidad.

Checklist de Seguridad para tus instalaciones de WordPress

1. Mantén el núcleo de WordPress siempre actualizado a la versión estable.
2. Tus plugins deben estar actualizados y que mantengan la compatibilidad con WordPress y PHP.
3. Mantén el Tema siempre actualizado y trabaja con temas hijo (child themes) si vas a personalizarlo.
4. Evita la exploración de directorios. Posiblemente tu servidor ya lo aplique.
5. Protege el directorio wp-admin de posibles escaneos.
6. Protege el archivo wp-config.php
7. En sitios con varios usuarios, fuerza el cambio de contraseñas de forma regular.
8. Deshabilita la carga del archivo .htaccess desde el navegador.
9. Utilizar contraseñas robustas y no predecibles. Usa llavero.io.

1. Deshabilita las llamadas a procedimiento remotos mediante XML-RPC.
2. Deshabilita los Trackbacks y Pingbacks si no los necesitas.
3. Evita o elimina el usuario administrador admin.
4. Elimina regularmente los usuarios registrados inactivos.
5. Utiliza el perfil de colaborador para autores invitados. (Regla MPE = Mínimo Punto de Exposición)
6. Realiza de forma regular copias de seguridad.
7. Elimina aquellos Temas y Plugins que no necesites.
8. Oculta los errores de PHP para no dar pistas ante posibles problemas.
9. Utiliza Certificados SSL en WordPress.
10. Lleva un control de cambios realizados por diferentes administradores.
11. Utiliza segundos factores de autorización (2FA).
12. Accede siempre a la web de forma segura con una VPN.
13. No uses plugins de seguridad, delega el hardening a un buen Hosting.