<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=81693&amp;fmt=gif">

Cómo mejorar la seguridad de WordPress

Un proyecto de inbound marketing está basado, principalmente, en la creación de contenido de valor para nuestro buyer persona y, así, conseguir atraerlo hasta nosotros sin tener que realizar acciones de marketing más agresivas y molestas para los consumidores.

Con este objetivo, crear un blog online donde alojar esta información y como medio para compartirla con los usuarios que la necesiten es una tarea fundamental al iniciar nuestro proyecto, y WordPress puede ser una de las plataformas ideales para esta tarea. Pero atención, hay que trabajar en la seguridad de esta herramienta para evitar ataques y conseguir que nuestro blog sea seguro. ¡Descubramos cómo!

seguridad-wordpress.jpg

Si quieres ganar clientes potenciales a través de tu página, descarga la guía en PDF ¿Qué necesita tu web para conseguir más tráfico, leads y ventas? Descúbrelo en  este PDF.

WordPress es un gestor de contenidos de código abierto. Los usuarios pueden llegar a conseguir un control total sobre esta herramienta e investigar las debilidades del sistema, algo que puede convertirlo en una herramienta bastante susceptible de ataques y volverlo inseguro.

Muchos desarrolladores han tratado de evitar esta situación, y para ello han creado distintas herramientas y experiencias de usuarios que complican el pirateo de los sitios web creados a partir de una instalación WordPress, por ejemplo, iThemes Security. ¡A continuación, te cuento de qué trata!

logo_ithemes_security.png

iThemes Security, el mejor plugin para conseguir seguridad en WordPress

iThemes Security es considerado por muchos como el mejor plugin de seguridad de WordPress que tenemos disponible en el repositorio de plugins de WordPress, pero para ello debemos configurarlo correctamente.

Este plugin ha tenido en cuenta muchas prácticas maliciosas que buscan corromper uno de los CMS más importantes en la actualidad con tres objetivos fundamentales:

  • Crear una red de computadoras interconectadas para atacar webs más importantes.
  • Enviar spam desde nuestro servidor.
  • Instalar malware en tu servidor e infectar a tus visitantes.

Evitar estas acciones será nuestro objetivo y los siguientes pasos de configuración son fundamentales para conseguirlo. ¡Tenlos en cuenta!

Evitar los usuarios y las contraseñas estándar

Muchos son los usuarios que por desconocimiento o buena fe mantienen los nombres de usuario y contraseñas estándar, como puede ser "admin". Se trata del usuario por defecto de WordPress y los intentos de logueo con este usuario pueden darse incluso en webs nuevas con pocas visitas hasta el momento.

También existe el caso de usuarios que utilizan su propio correo electrónico como nick o contraseñas básicas, por ejemplo, una correlación de números del 1 al 6.

La mejor opción para evitar un ataque es usar valores alfanuméricos así como mayúsculas y minúsculas alternativamente.

Marcar un máximo de logueos y no mostrar mensajes de error

Bloquear una IP tras un número de logueos es una forma de evitar ataques por fuerza bruta que buscan alternar distintas posibilidades entre el usuario y la contraseña así como la construcción de estas hasta lograr la correcta. Además, debemos ocultar los mensajes de error para evitar que la persona que intenta acceder a nuestro sistema sepa qué dato es el incorrecto y reducir así el número de intentos.

Para conseguir proteger nuestro blog ante estos intentos de logueo, solo tendremos que habilitar la protección local para la entrada por fuerza bruta y marcar un máximo de intentos de autenticación por host. Para más protección también podemos hacerlo limitando el número por usuario. El último paso para conseguir una protección adecuada en este ámbito sería bannear cualquier IP que intente entrar a través del usuario admin que ya hemos eliminado previamente.

seguridad-wordpress-logueos.png

Cambiar la URL de acceso al escritorio

Al igual que ocurre con el usuario, WordPress utiliza una página de acceso por defecto para el logueo de los administradores y el acceso al escritorio de nuestro gestor de contenidos, en este caso se trata de /wp-login.php o /wp-admin.

A través de iThemes Security podemos modificar esta ruta y cambiarla por otra que consideremos oportuna. Para aquellos que no incluyan la ruta adecuada, podemos enviarlos a una página 404 , 403 o a una URL que nosotros creamos conveniente.

En el caso de que siempre trabajemos en nuestro blog desde el mismo sitio, podemos también restringir el acceso al blog por IP. Este es uno de los métodos más seguros, pero es bastante incómodo si en la creación de contenido intervienen distintas personas, entre ellos freelances o personas externas a la empresa.

cambiar-URL-acceso-wordpress.png

Otras prácticas recomendables para mejorar la seguridad en WordPress

Eliminar el archivo readme.txt

La instalación de WordPress lleva consigo un archivo de texto informativo sobre las cualidades de la versión que estamos instalando. Acceder a este documento es bastante sencillo y nos facilita gran parte de información sobre nuestro sistema, así como datos extra sobre los puntos débiles para la versión que tenemos instalada. De esta forma, un posible hacker atacará según conozca las debilidades de nuestro sitio web.

Por este motivo es conveniente entrar a través de FTP a nuestro directorio, donde tenemos la instalación WordPress, y eliminar este documento de texto para no revelar información que facilite el pirateo de nuestro blog.

Deshabilitar el archivo xmlrpc.php y por qué

XMLRPC es un protocolo que estructura datos en XML y utiliza http para su transmisión. Este actúa como API del sistema WordPress para instalaciones externas, como pueden ser los dispositivos móviles.
Si este archivo está activo se pueden realizar infinitas llamadas post que deberán ser respondidas por el servidor, provocando un gran consumo de recursos y derivando a posteriori en una navegación más lenta dentro de nuestra web o incluso a un error 500.

Lo más recomendable en estos casos es eliminar el archivo (siempre y cuando no tengamos pensado acceder a nuestro blog a través de una aplicación externa) o deshabilitarlo a través del wp-config.php con la siguiente línea de código: Add_filter ('xmlrpc_enabled', '__return_false')

Conclusiones

En definitiva, podemos decir que si lo que estamos buscando es un gestor de contenidos versátil, que nos aporte infinidad de alternativas en cuanto a plugins y documentación abundante para adentrarnos en el código y modificarlo a nuestro antojo, WordPress es la mejor opción que podemos encontrar.

Sin embargo, nuestra herramienta debe estar actualizada en todo momento y, por supuesto, protegida ante cualquier amenaza. Solo así podremos garantizar que nuestro trabajo está a salvo de terceros que buscan favorecerse ilícitamente de nuestro trabajo.

Espero que este post te haya resultado de utilidad y te sirva para mejorar la seguridad de tu página. ¿Te han quedado asuntos por resolver o quieres que comentemos algún aspecto sobre el tema? ¡Escríbeme!

New Call-to-action

También te pueden interesar...

Publicidad en YouTube Ads: 8 claves de anuncios exitosos [Casos reales]
Cómo convencer a tu jefe para hacer ABM
Inbound marketing logístico: importancia de definir el perfil del buyer persona

¿Y tú qué opinas? ¡Déjanos aquí tus comentarios!

Suscríbete al Blog
Suscríbete por email y recibe además un pack de bienvenida con nuestros 5 mejores artículos