Tener un blog lo más seguro posible es fundamental si te tomas tu presencia en la web en serio. En este artículo, me gustaría hablarte de las cosas que puedes hacer para que tu instalación de WordPress sea razonablemente segura y no tengas que preocuparte de que hackeen tu página.
Primeras medidas a tomar
Una de las principales causas de hackeos suele ser tener versiones de wordpress anticuadas, sin actualizar, así como plantillas y plugins antiguos. Solventar esto es tan fácil como entrar al panel de tu blog y actualizarlo todo.
Antiguamente actualizar WordPress era mucho más complicado que hoy día, así que no tienes excusa. Si tu versión de WordPress está anticuada, verás un mensaje en el panel de administración que te recomienda actualizar.
Sigue las instrucciones en pantalla y actualiza tu blog. Normalmente no tiene por que suceder nada.
En extrañas circunstancias es posible que alguna actualización sea problemática y provoque algún problema, sobre todo si son actualizaciones de plugins o de plantillas.
Normalmente actualizar el propio WordPress no suele acarrear problemas. Sí puede ser problemática algún tipo de incompatibilidad entre tu nueva versión de WordPress y algún plugin o plantilla que tengas instalado, pero normalmente no pasa nada.
En cualquier caso, es recomendable hacer copias de seguridad frecuentemente ( por lo menos una por semana ) para que sí sucede algo puedas revertir el estado de tu web.
Con los plugins se puede decir lo mismo. Casi todos los plugins reciben actualizaciones períodicas, especialmente los más conocidos y utilizados, y esas actualizaciones suelen ir encaminadas a tapar agujeros de seguridad o incorporar nuevas funcionalidades.
Es por ello recomendable actualizar sin miedo aquellos plugins que tenemos instalados y sobre todo desactivar y eliminar aquellos que no usamos. Un plugin desactualizado puede ser una vía de entrada para un usuario con malas intenciones, así que recuerda que debes activar sólo los plugins imprescindibles para tu blog y ni uno más.
Además eso mejorará la velocidad de tu web y los tiempos de carga, puesto que a menos plugins ejecutándose a la vez, mejor será el rendimiento.
Realiza copias de seguridad con frecuencia
Otra de las cosas que no debes olvidar es realizar copias de seguridad por tu cuenta. A pesar de que los mejores hosting realizan copias de seguridad ellos mismos y puedes restaurarlas contactando con ellos, nunca está de mas, realizar tú mismo las copias que consideres oportuno, especialmente antes de realizar alguna actualización en tu página, para que en el caso de que algo malo suceda, poder restaurar inmediatamente la copia funcional de tu página.
Para realizar copias de seguridad y guardarlas en tu ordenador o en cualquier servicio en la nube, lo único que tienes que hacer es entrar a tu cpanel y hacer clic en el icono de «copias de seguridad».
Ahí podrás descargar un backup completo de todas tus páginas y bases de datos ( ojo, este backup no permite ser restaurado directamente ) o bien realizar una copia de tu directorio principal de datos y de las bases de datos por separado.
Normalmente lo ideal es hacer copias frecuentes del directorio principal y de las bases de datos por separado y luego una copia completa cada mes. La copia completa puede llegar a ocupar bastante ( depende de cómo sean tus páginas obviamente ) y con guardar las copias de los últimos 3 o 4 meses es suficiente.
También puedes usar el plugin «Duplicator» para realizar copias de seguridad de tu página en WordPress. Este plugin resulta especialmente útil en el caso de que tengas que realizar una migración a otro servidor. La configuración y el proceso de copia e instalación es sumamente sencillo y rápido.
Renombra la ruta de acceso al panel de administración
La ruta estándar de acceso al panel de administración de un blog WordPress, es tublog.com/wp-admin
Obviamente eso lo sabe casi todo el mundo. Mi consejo es que renombres esa ruta por otra cualquiera, a ser posible con caracteres especiales que dificulten un poco su descubrimiento. No suele ser una barrera demasiado complicada para un hacker que se precie, pero supondrá un impedimento más para ellos.
Para cambiar la ruta de acceso puedes descargarte cualquier plugin del repositorio de WordPress destinado a tal fin. Para encontrarlos, simplemente escribe en el buscador de plugins «rename wp admin» y verás varios plugins destinados a tal fin.
Por ejemplo el plugin WPS Hide Login de WpServeur funciona correctamente y puedes instalarlo sin miedo. Eso sí, recuerda que una vez que hagas el cambio de la dirección de acceso, tendrás que escribirla en el navegador cada vez que quieras entrar.
Cambia el nombre del usuario administrador
Normalmente el nombre del usuario principal de WordPress es «admin». Esto es un riesgo de seguridad terrible, pues los bots que rastrean blogs de WordPress, siempre intentarán loguearse usando el nombre de usuario admin o uno similar.
Cuando instales tu blog en WordPress por primera vez, asegúrate de que el usuario principal de administración no se llama «admin». Te aconsejo que pongas un nombre compuesto por letras, números y caracteres especiales aleatorios, algo como Xh3#@_23
La contraseña puedes dejar que la cree el propio instalador. Normalmente son contraseñas muy seguras y prácticamente imposibles de adivinar. Eso sí, asegurate de anotarla antes de avanzar.
Pon un alias al usuario administrador
Si pones de nombre de usuario Xh3#@_23, todas las entradas de tu blog mostrarán al autor de las mismas como Xh3#@_23. Para evitarlo, ve a la sección usuarios de tu panel de administración, haz clic en tu usuario de administración, y ve al apartado alias, donde podrás cambiar el nombre con el que aparecen las entradas de ese usuario.
Añade un nuveo alias, guarda los cambios, elige el nuevo alias, y vuelve a guardar.
Pon obviamente algo que no tenga que ver con el nombre de usuario original. Por ejemplo, si tu blog habla sobre perros, pon algo como «Perruno» o incluso tu nombre real si te sientes cómod@ con ello.
En cualquier caso, nunca dejes a la vista el nombre de usuario de administración.
Instala algún plugin de seguridad como Wordfence
En el repositorio de plugins de WordPress tienes a tu disposición numerosos plugins para mejorar la seguridad de tu blog. El más conocido es Wordfence, el cual dispone de una versión gratuita y otra de pago.
La versión gratuita es más que suficiente para la inmensa mayoría de los usuarios y es bastante útil ya que monitoriza el tráfico que recibe la web además de muchas otras cosas, como bloquear el acceso al panel de administración si se ha escrito mal el usuario o la contraseña. También envía emails advirtiendo de accesos o intentos de acceso al blog, permitiéndote tomar medidas rápidamente si detectas actividad sospechosa.
Lo malo del plugin Wordfence es que consume bastantes recursos y puede hacer más lenta la navegación por tu blog. En cualquier caso es un plugin super recomendable si quieres que tu blog esté protegido.
