WordPress es uno de los CMS más populares y uno de los más susceptibles a ataques. Por ello, si tenés un sitio hecho con WordPress es necesario que tomes medidas de protección. Según las últimas estadísticas de WordPress, el 41% de los problemas de seguridad son causados por el proveedor de hosting, seguido de los Temas y los Plugins. A continuación algunos consejos:
1. Controlar el nivel de seguridad del servidor.
El 41% de los WordPress es atacado por vulnerabilidades no parcheadas en sus Hostings.
Esto es muy importante y debería determinar tu elección a la hora de escoger un proveedor de hosting. Estas medidas de seguridad dependen del proveedor, aunque podes reforzarlas haciendo uso de un proxy gratuito (también hay una versión de pago) del estilo de CloudFlare.
Link de interés: https://platzi.com/blog/medidas-de-seguridad-para-wordpress/
2. Mantener la instalación de WordPress al día.
El 29% de los WordPress es atacado por problemas de seguridad en temas no actualizados o modificados.
Algo muy importante es tener siempre tu WordPress actualizado ya que los desarrolladores trabajan día a día en la búsqueda de nuevos bugs y en la corrección de estos, cada nueva actualización nos hace más seguros contra hackeos. Asimismo conviene:
- Ocultar la versión de WordPress: La versión de WordPress se muestra en el código fuente de la página como una etiqueta meta, es importante ocultarla ya que en la red cada botnet está rastreando las páginas web y se hacerle mas fácil la labor de hackearnos si le mostramos cual es la versión de nuestra instalación, y mucho más si la tenemos desactualizada.
- Hacer Backups: En el caso de que se produzca un ataque malicioso con daños importantes, lo que más nos va a interesar es restaurar lo antes posible el estado anterior de nuestra web. Esta restauración será sencilla si tenemos backups de nuestro espacio web y de nuestra base de datos. Por lo tanto, la mejor medicina para curarnos de un ataque, copias diarias de ficheros y bases de datos.
3. Plugins seguros y actualizados
El 22% de los WordPress es atacado por medio de problemas de seguridad en plugins instalados en WordPress.
Es muy recomendable instalar plugins reconocidos oficialmente por WordPress y deben, del mismo modo, estar siempre actualizados.El hecho de que no haya actualizaciones disponibles no significa que un plugin este al día, pues perfectamente podría tratarse de un plugin abandonado por el desarrollador, motivo por el cual no habría avisos de nuevas actualizaciones. Si visitas el Directorio Oficial de Plugins de WordPress podrás saber cuando tal o cual plugin recibió su última actualización y saber si debes desestimarlo en tus instalaciones.
4. Contraseñas seguras.
El 8% de los WordPress es atacado porque utiliza contraseñas débiles o fácilmente deducibles.
Muchas personas utilizan contraseñas débiles que son fáciles de adivinar mediante el uso de software específico. Usuarios malintencionados utilizan este software para tratar de obtener tu contraseña utilizando diccionarios de miles o millones de combinaciones o de contraseñas comunes, con tiempo suficiente y sin medidas de protección de ataques por parte del servicio de Hosting. WordPress tiene un indicador de la fortaleza de la contraseña que se muestra cuando se cambia la misma. Utiliza esto para garantizar la fortaleza de tu contraseña y saber si es la adecuada. Una contraseña segura es una cadena de más de 10 caracteres en los que se debería incluir una mezcla de letras mayúsculas y minúsculas, números y símbolos (alfanuméricas).
Además, conviene nunca tener un usuario de nombre admin. Dejar un nombre de usuario como este siempre da pie para que algún malintencionado intente acceder a nuestra página. Los usuarios malintencionados que intentan acceder a tu área de administración de WordPress a menudo tratan de utilizar el nombre de usuario por defecto “admin” como primer punto de entrada, principalmente utilizando scripts automáticos que inyectarán este usuario y contraseñas aleatorias, normalmente basadas en diccionarios, para poder obtener acceso. WordPress te permite cambiar el nombre de usuario “admin” ya sea en el momento de la instalación del CMS o posteriormente utilizando algún plugin existente para realizar esta tarea o desde la base de datos.