Seguridad WordPress: Guía completa paso a paso

La seguridad en WordPress es una cuestión muy importante para todos los propietarios de sitios web. Si te tomas en serio tu sitio web, debes adoptar las mejores prácticas de seguridad de WordPress. En esta guía compartiremos los principales consejos de seguridad de WordPress para ayudarte a proteger tu sitio web contra piratas informáticos y malware.

¿Es WordPress seguro?

Lo cierto es que no podemos decir que WordPress sea seguro completamente y esto se debe, por un lado, a que, como en todo en informática, no existe el riesgo cero y WordPress, así como los complementos que pueden usarse en esta plataforma, no están exentos de sufrir vulnerabilidades, que son explotadas por cibercriminales para «colarse» en las páginas web hechas en ella y llevar a cabo sus objetivos.

Además, aparte de los problemas que pueda presentar WordPress en seguridad informática, también debemos tener en cuenta el factor humano, es decir, los usuarios que trabajan con esta plataforma y que, normalmente, representan el eslabón más débil de la cadena de seguridad, llevan a cabo prácticas que ponen en riesgo la seguridad en WordPress y en su página web.

¿Por qué es importante la seguridad en WordPress?

Puesto que no existe el riesgo cero, la seguridad en WordPress debe ser una prioridad para mantener lo más segura posible nuestra página web. De la misma forma que cerramos puertas y ventanas en nuestra casa u oficina cuando nos marchamos, debemos hacer lo mismo con nuestro sitio web. Además, no solo se trata de nuestra seguridad, sino también de la de nuestros usuarios o clientes, ya que en la base de datos de nuestro sitio en WordPress almacenamos gran cantidad de información, parte de la cual puede tener un valor importante (por ejemplo, datos personales, direcciones de correo, números de tarjeta, etc.).

Por lo tanto, no podemos tomarnos a la ligera la seguridad de WordPress y la web que tengamos hecha en la plataforma, sobre todo, porque legalmente también tenemos la obligación de garantizar la seguridad de la información que manejamos y tratamos en nuestra web (por ejemplo, como responsables del tratamiento de datos personales, debemos adoptar las medidas de seguridad necesarias para asegurar la confidencialidad, integridad y disponibilidad de los datos, no cumplir con este deber de manera proactiva, puede suponer la imposición de sanciones administrativas).

Comprender qué es la seguridad en WordPress y cómo mejorarla te ayudará a implementar las medidas de seguridad proactivas adecuadas, evitando que los piratas informáticos y el software malicioso infrinjan tu sistema.

Para ayudarte a ello, hemos elaborado esta guía sobre WordPress y seguridad, en la que no solo te damos diferentes consejos de seguridad para WordPress para 2022 y 2023, sino que también aprenderás a mantener segura tu página web en la plataforma, de acuerdo a las pautas de implementación de seguridad de OWASP (Open Web Application Security Project).

La seguridad en WordPress trata de implementar todas las medidas necesarias para garantizar que tu página web en WordPress no es vulnerable a ataques informáticos o software malicioso.

¿Cómo darle mayor seguridad a WordPress?

WordPress es uno de los sistemas de gestión de contenido (CMS) más usados y también más pirateados, son varias las vulnerabilidades que ha sufrido a lo largo de los años y aunque estas se van solucionando, otras persisten o surgen nuevos problemas de seguridad tras algunas actualizaciones y cambios de versión.

A eso, y como decíamos al principio, hay que sumarle el factor humano y los incidentes de seguridad en WordPress debido a descuidos, malas prácticas en ciberseguridad o desconocimiento de algunos riesgos.

Para mejorar la seguridad de nuestra página web, debemos diseñar e implementar un plan de seguridad para WordPress, que nos ayudará a proteger nuestro sitio de ciberataques e intrusiones. En los siguientes puntos detallamos varias acciones que debes llevar a cabo para mantener la seguridad en WordPress.

Contrata un hosting seguro

El primer paso para mejorar y reforzar la seguridad de nuestra web en WordPress comienza en la contratación de un hosting seguro; podemos poner todas las medidas de seguridad que queramos a nuestro sitio online, que como el hosting no sea seguro, seguiremos teniendo un punto débil, que puede ser explotado por los ciberdelincuentes para asaltar nuestra web.

Por ello, busca un servicio de hosting que garantice la implementación de medidas de seguridad adecuadas y que sea compatible con las necesidades de tu sitio online. La seguridad del hosting se convertirá en una primera línea de defensa, por lo que algunas de las características que debe ofrecer tu plan de hosting son:

• Medidas de seguridad del centro de datos.
• Sistemas de seguridad del lado del servidor, como firewalls y software anti-malware.
• Complementos de certificados SSL.
• Backups automatizados o administrados.
• Actualizaciones gestionadas.

Así mismo, también debes buscar estas características en un proveedor de hosting:

• Obtienes lo que pagas: si tu sitio web es principalmente un pasatiempo, esto no debería importar. Sin embargo, como herramienta empresarial imprescindible, muchas veces es una mala decisión apostar por la propuesta más barata que se ofrece.
• Ten cuidado con los trucos de precios, la gran mayoría de los servicios de alojamiento ofrecen precios bajos al comienzo de su contrato, pero luego aumentan los precios una vez que finaliza el período introductorio.
• Cuán confiable es el proveedor, casi cualquier persona puede afirmar ser un verdadero proveedor de alojamiento web y simplemente revender los productos de otro proveedor. Así que mira cuánto tiempo han estado brindando servicios de alojamiento a los clientes.
• Conoce tus límites: ¿Qué tan cómodo te sientes con la creación de tu propio sitio web? ¿Necesitas ayuda externa para construirlo?
• Considera los desarrolladores web, por lo que no es necesario configurar WordPress, Joomla, etc. Los desarrolladores de sitios web ofrecen una alternativa interesante. Sin embargo, ten en cuenta que no podrás migrar tu contenido fácilmente, gracias a sus plataformas propietarias.

Además, también recuerda seguir estos consejos de seguridad de WordPress:

• Utiliza SFTP o SSH para transferir archivos entre servidores locales y remotos
• Asigna los permisos correctos de archivos de WordPress a 755 carpetas y 644 archivos a granel.
• Protege el WordPress wp-config.php y asegúrate de que otros no puedan acceder a él
• Evita el acceso o deshabilita a través de los archivos .htaccess license.txt, wp-config-sample.php y readme.html.
• Deshabilita la edición en el tablero a través de wp-config.php con el código: define (‘DISALLOW_FILE_EDIT’, true);
• Deniega el acceso a todos los archivos y carpetas a través de .htaccess agregando el siguiente código: Opciones Todos – Índices.

Configura WP-CONFIG.PHP

La configuración de un sitio de WordPress se define en el archivo wp-config.php.

Los parámetros de conexión a la base de datos, las claves de seguridad son toda la información contenida en el archivo wp-config.php que permitiría a un atacante tomar el control del sitio. Afortunadamente, algunas precauciones pueden proteger el acceso al archivo wp-config.php, mientras que algunas instrucciones agregadas en wp-config.php pueden mejorar la seguridad del sitio WordPress.

– Configurar las claves de seguridad de WordPress:

Para configurar las claves de seguridad en el archivo wp-config.php, sigue estos pasos:

• Abre el archivo wp-config.php
• Busca claves únicas para autenticación. Esta sección debe estar justo después de las credenciales de la base de datos, a menos que hayas movido esta información a su archivo wp-config.php.
• Especifica un valor aleatorio de más de 60 caracteres únicos para cada clave. También puedes utilizar el generador de claves de seguridad en línea para la generación automática de claves.
• Si estás utilizando el generador de claves de seguridad en línea, simplemente copia todo el bloque de código y reemplaza los ocho valores predeterminados en tu archivo wp-config.php.
• Guarda el archivo wp-config.php.

– Cambia las claves de seguridad con un complemento:

También puedes cambiar las claves de seguridad de manera periódica usando un complemento de seguridad para WordPress, como Salt Shaker. Este tipo de complementos facilitan la tarea de cambiar las claves de manera habitual y una vez instalados, se pueden configurar desde el apartado «Herramientas» del panel de WordPress.

Protege el inicio de sesión de WordPress

Un sitio web de WordPress generalmente tiene muchas posibilidades de lidiar con ataques de fuerza bruta e intentos de conexión maliciosos. Hay varias formas de resolver este problema en las que lo mejor es implementar múltiples políticas. A continuación te proporcionaremos la mejor manera de deshacerse de este problema y ocultar tu página de inicio de sesión de WordPress.

– Utiliza el complemento WPS Hide Login:

Con la ayuda de este complemento, puedes utilizar una URL personalizada como URL de inicio de sesión estándar. Después de la instalación y activación del complemento, «/ wp-admin» y «/wp-login.php» serán inaccesibles y serán reemplazados por una URL personalizada que hayas elegido.

– Inicia sesión en el complemento LockDown para detener a los piratas informáticos:

Gracias al complemento Login LockDown podrás bloquear el acceso a la página de inicio de sesión a usuarios que hayan hecho varios intentos fallidos para iniciar sesión.

– Habilitar la autenticación de dos factores (2FA):

Habilitar y configurar la autenticación de dos factores en WordPress añadirá una capa extra de seguridad tanto a tu cuenta de administrador como a las cuentas de tus colaboradores, así como a la de tus usuarios, ya que ante un robo de credenciales, será más complicado que un o varios atacantes puedan acceder a dichas cuentas.

– Cambia el nombre de la URL de tu página de inicio de sesión de WordPress:

Si estás constantemente sufriendo ataques de fuerza bruta que dirigen tu formulario de inicio de sesión a tu área de administración y por defecto a URL /wp-login.php o / wp-admin, entonces la solución es simplemente cambiar esta URL.

Hay varias extensiones en el directorio oficial de complementos que satisfacen esta necesidad, pero de diferentes formas. Algunos están cambiando el nombre o moviendo archivos en el kernel de la instalación de WordPress, otros usan reglas de reescritura con el archivo .htaccess.

Utiliza el complemento renombrar LOGIN.PHP. Rename login.php es el complemento del que estamos hablando, está muy bien calificado en la página oficial y es realmente liviano, no corre el riesgo de sobrecargar tu sitio y te ahorrará ancho de banda al evitar todos los intentos de conectarse a tu espacio de administración por parte de robots.

Una vez instalado y activado, serás automáticamente redirigido a la página «Configuración» > «Enlaces permanentes» para ingresar el nombre de tu nueva URL y guardarlo.

– Utiliza una dirección de correo electrónico en lugar de un nombre de usuario:

Nadie recuerda ese nombre de usuario que contiene caracteres alfanuméricos largos. Por lo tanto, se recomienda para habilitar el inicio de sesión con correo electrónico o al menos crear una función para cambiar mi nombre de usuario. Para implementar esto con éxito, puedes utilizar el plugin Force Email Login.

• Solo dirección de correo electrónico: los usuarios solo pueden iniciar sesión con su dirección de correo electrónico, lo que deshabilita el inicio de sesión con un nombre de usuario.
• Solo nombre de usuario: los usuarios solo pueden iniciar sesión con su nombre de usuario, lo que deshabilita el inicio de sesión con una dirección de correo electrónico.

– Eliminar enlaces de inicio de sesión visibles del tema:

Elimina los enlaces como «Contraseña perdida». Es muy útil, pero si alguien ha pirateado tu correo electrónico, podrá tener tu contraseña de WordPress y tomar el control de tu sitio.

Para eliminar este enlace, agrega este código a tu archivo login-style-perso.css:

p # nav { pantalla: ninguna; }

Eliminar el enlace «Volver al sitio». Este enlace permite a los usuarios regresar a la página de inicio del sitio. Elegimos un estilo muy limpio y, por lo tanto, queremos que desaparezca del formulario de inicio de sesión. Agrega este código a tu archivo style-login.css:

p # backtoblog { display: none;}

– Crea una contraseña segura:

La mejor forma de mantener una cuenta sería proteger la contraseña. Sin embargo, debes saber que no existe una contraseña 100% segura. La longitud del término utilizado como contraseña es muy importante. Pueden bastar ocho caracteres, pero su relevancia no está asegurada.

Lo ideal sería optar por un término de un mínimo de 14 caracteres. Este es el número de caracteres que se muestran para las contraseñas que solo constan de números o letras. Es mucho más complicado adivinar y piratear una contraseña que consta de diferentes tipos de caracteres en el teclado.

No dudes en combinar signos diacríticos, símbolos, números y letras, posiblemente con una mezcla de mayúsculas y minúsculas. Esta es la fórmula perfecta, especialmente para los servicios de correo.

– Deshabilitar la API REST en WordPress:

Si no vas a usar la API WP REST, es recomendable desinstalarla (como ocurre con XML-RPC), para lo que puedes recurrir a https://wordpress.org/plugins/disable-json-api/, que se encarga de eliminar la funcionalidad de la API REST por ti.

También puede deshabilitar esta API agregando el siguiente código en el archivo functions.php de tu tema o en uno de tus complementos de WordPress:

add_filter (‘json_enabled’, ‘__return_false’); add_filter (‘json_jsonp_enabled’, ‘__return_false’);

Este código simplemente usa filtros integrados para deshabilitar la API REST JSON y JSONP.

Protege el panel de administración de WordPress

La seguridad es un aspecto extremadamente importante del funcionamiento de tu negocio en línea. Algunas partes de tu sitio web son ciertamente más importantes que otras. Un ejemplo sería el acceso a las áreas administrativas de tu sitio web donde se pueden realizar cambios importantes.

– Crea un directorio protegido por contraseña:

Puedes crear un directorio protegido con contraseña desde tu cPanel. Busca el icono de contraseña del directorio y selecciónalo. Una vez que haya terminado y se haya instalado WordPress, busca la carpeta wp-admin. Selecciona la carpeta (wp-admin) para la que deseas crear un directorio protegido con contraseña.

Puedes cambiar el nombre del directorio elegido y habilitar la protección con contraseña. Crea un usuario con un nombre de usuario y contraseña y listo. Has protegido con contraseña tu carpeta wp-admin.

– Mantén WordPress actualizado:

Esto te permitirá proteger WordPress de manera efectiva, parece simple, pero solo el 22% de los sitios que usan WordPress usan la última versión. Entre nosotros, ¿quién nunca ha tenido pereza en no actualizar su sitio? Si deseas tener un sitio web limpio y libre de virus, es obligatorio.

WordPress ha incorporado la actualización automática en versiones, sin embargo, solo funciona para pequeñas actualizaciones de seguridad. Por lo tanto, las actualizaciones importantes deben realizarse manualmente para proteger WordPress.

– Eliminar la cuenta de administrador y crear una nueva:

También es recomendable, de cara a aumentar la seguridad en WordPress, eliminar la cuenta de administrador que se genera al crear un sitio en la plataforma y crear una nueva siguiendo estos pasos:

• Crea una segunda cuenta de administrador con otro inicio de sesión.
• Crea la segunda cuenta con toda la información de la cuenta de administrador (sin administrador, por supuesto).
• Asigna todos los elementos a la nueva cuenta «Iniciar sesión».
• Borra la cuenta admin

Para crear una cuenta nueva: Abre el panel de WP, ve a la sección «Usuarios» a la izquierda, justo debajo de «Extensiones». Una vez aquí, haz clic en «Agregar nuevo» para ir a crear un nuevo perfil de usuario.

– Crea roles de usuario:

Si tienes colaboradores u otros usuarios con acceso al panel de control de tu sitio web en WordPress, debes gestionar qué pueden y no pueden hacer y a qué secciones del panel tienen acceso. Para ello, WP dispone de los llamados «roles de usuario», en concreto seis roles diferentes, que otorgan diferentes niveles de privilegios y acceso, en concreto:

• Superadministrador
• Administrador
• Editor
• Autor
• Colaborador
• Suscriptor

Estos roles deben asignarse en base a las funciones que vayan a desempeñar tus colaboradores en la web (por ejemplo, si tienes una web informativa con tres redactores, estos solo deberían tener rol de Autor).

Utiliza SSL

El certificado SSL no solo se ha convertido en un requisito de seguridad indispensable para cualquier web que quiera presentarse como segura y confiable, ya que cifra la información que se suministra y viaja a través de ella (fundamental para las tiendas online, por ejemplo), sino que además, Google califica los sitios con certificado SSL como seguros y, por tanto, posicionan mejor en los resultados de búsqueda.

Si quieres garantizar la seguridad de los usuarios de tu web en WordPress, necesitas implementar un certificado SSL.

Instala complementos de seguridad en WordPress

Refuerza la seguridad en WordPress con un plugin o complemento de seguridad todo en uno, que te ayude a cubrir todas sus bases. Algunas de las cosas que debes buscar en un complemento de seguridad incluyen:

• Un firewall de WP
• Escáner y protección DDoS
• Habilitación de la autenticación de dos factores
• Aplicación de estándares de contraseña más estrictos
• Lista negra basada en geografía
• Capacidades de listas blancas y negras de IP
• Monitorización y protección de malware
• Monitorización de bases de datos, temas y complementos para cambios de archivos

Hay muchos complementos de seguridad de WordPress y servicios de limpieza para WordPress, entre ellos:

• WP Hacked Help permite escanear y limpiar tu sitio después de haber sido pirateado.
• Google Authenticator es un complemento de WordPress asociado con la aplicación de autenticación de Google para verificar la identidad de la persona que se conecta.
• BulletProof Security protege las principales debilidades de WordPress.
• Acunetix WP Security optimiza la instalación de WordPress cerrando las principales vulnerabilidades y proporcionando seguimiento de conexión en tiempo real.
• SecuPress.

Comprobar la seguridad de WordPress periódicamente

Es importante comprobar la seguridad de WordPress de manera periódica, es decir, escanear el sitio en busca de malware que pueda haber infectado nuestra página web. Para ello podemos usar la ya citada herramienta WP Hacked Help, que ofrece escaneo de malware en WordPress en línea.

La herramienta genera un informe de análisis de malware y un informe de vigilancia en la lista negra para buscar signos clave de malware, como spam, desfiguración del sitio, etc.

Las funciones de esta herramienta de escaneo son:

• Detección de malware, por ejemplo: el malware de WordPress redirige de un sitio a otro
• Instancias de pirateo de sitios web y tipos de ataques de piratería
• Comprobación de la lista negra de Google
• Eliminaciones de advertencia de Google
• Copia de seguridad automática diaria
• Monitoreo diario, mensual y semanal
• Restauraciones de respaldo gratuitas
• Copia de seguridad de todos los complementos, imágenes, archivos y medios de WP

El escaneo es gratuito, pero en caso de detección de código malicioso, se paga el establecimiento de monitorización automática. Si descubres que tu sitio ha sido infectado, puedes optar por eliminar tú mismo el malware de WordPress o puede confiar en profesionales.

Seguridad del tema de WordPress

En cuanto a tus complementos y temas de WordPress, pueden convertirse en posibles puertas de entrada para los atacantes. Por lo que cuando haya actualizaciones disponibles, deberás realizarlas lo antes posible.

En cuanto a los módulos, hay multitud de temas de WordPress. Tómate el tiempo para comparar los temas antes de elegir uno. Ya sea gratis, freemium o de pago, lo importante es tener un tema bien codificado. Verifica si hay un equipo de soporte para realizar actualizaciones.

Puedes verificar la consistencia técnica de un tema con el complemento Theme-Check (que requerirá que instales el tema antes de analizarlo). En cualquier caso, presta mucha atención a las fuentes de descarga. Te recomendamos que descargues temas de sitios confiables y reconocidos como WordPress.org y Themeforest.

Lo más importante es que no olvides escanear tu sitio web en general, esto evitará que descargues e instales temas infectados con malware. Así mismo, estos consejos son relevantes, especialmente para mejorar la seguridad del tema de WordPress:

• Mantén tu tema de WordPress actualizado
• Elimina los temas no utilizados de tu sitio de WordPress
• Descarga temas de WordPress solo de fuentes confiables
• Deshazte del número de versión de WordPress del encabezado

Actualizar los complementos de WordPress

Una cosa con la que los usuarios deben tener cuidado al seleccionar un complemento, son las diferentes piezas de código no deseado que puedan estar incrustadas en estos complementos. Para evitar futuras amenazas, ten en cuenta los siguientes consejos:

• Mantén todos los complementos de WordPress actualizados
• Elimina complementos de WordPress no deseados o no utilizados
• Obtén complementos solo de fuentes confiables
• Considera reemplazar los complementos antiguos con alternativas más nuevas
• Piensa dos veces antes de instalar miles de complementos de WordPress

Con respecto a tus complementos, recomendamos seguir estas recomendaciones para reforzar la seguridad en WordPress:

• Instala solo los complementos que necesites. Por lo tanto, debemos clasificar y eliminar regularmente a todos aquellos que no están activos y que ya no necesitas. Esto te permite optimizar el tiempo de carga de tus páginas y disminuye el peso total de tu sitio.
• Descarga y activa solo los complementos que se actualizan regularmente. Al descargar un módulo, podrás ver la fecha de la última actualización. Así que ten cuidado de verificar siempre al equipo operativo detrás del desarrollo de un complemento.
• Pregunta sobre la calidad de los complementos que descargas. No te apresure a descargar una extensión. Si no lo conoces, tómate un tiempo para conocer su calidad. Consulta las reseñas de los clientes. También puedes buscar en Internet el sitio oficial del complemento, así como el de los creadores para saber más.

Asegura tu base de datos de WordPress

Las bases de datos, sean de grandes empresas o pymes, se han convertido en un objetivo importante para los cibercriminales, por lo que debes protegerlas también en tu sitio en WordPress, aplicando las medidas de seguridad que puedan reducir la superficie de ataque o los puntos de entrada para los posibles atacantes.

– Cambiar el prefijo en la base de datos:

Una forma muy sencilla de protegerse es utilizar prefijos alternativos para los nombres de las tablas. Si instalas WordPress por defecto, todas las tablas en la base de datos tomarán el prefijo wp_: wp_posts, wp_postmeta, wp_users, wp_usermeta, wp_comments, etc.

Una buena práctica de seguridad es cambiar este prefijo wp_ por un prefijo diferente. Por ejemplo, podríamos decidir elegir el prefijo 1a2b3c_ como alternativa.

– Programa una copia de seguridad diaria de la base de datos de WordPress:

Siempre debes instalar y configurar una copia de seguridad de la base de datos de WordPress para tu sitio. Esto te permite restaurar tu sitio en caso de problemas.

Muchos usuarios pierden el acceso a sus paneles de WordPress debido a piratería o error de complemento. En estos casos, en nuestro tutorial de seguridad en WordPress, recomendamos hacer siempre una copia de seguridad completa de la base de datos de WordPress, lo que te ahorrará muchos inconvenientes.

Eso es todo, espero que este artículo te haya ayudado a comprender las mejores prácticas para incrementar la seguridad de WordPress, y a descubrir los mejores complementos de seguridad para tu sitio web.