Pasos para tener una página web segura con WordPress

Pasos para tener una página web segura con WordPress

Los que ya sabéis manejar vuestra página web con WordPress, ya sea porque tenéis una academia online, una tienda, una web corporativa etc, soléis preguntarme cual es el mejor plugin para mejorar la seguridad y siempre os comento que no sólo se trata de instalar un plugin. Tenéis que seguir una serie de pasos y algunos pequeños consejos con los que será más difícil que vuestra web caiga en manos de posibles hackers.

Por eso, he decidido crear esta guía en mi blog para que siempre tengáis a mano estos tips que os ayudarán a mejorar la seguridad de vuestro WordPress:

Quitar el usuario admin

Nunca uses en tu WordPress el usuario admin, cámbialo de nombre ya que los hackers es el primer nombre que prueban para acceder a tu instalación. Tampoco es conveniente que uses como nombre el nombre de tu dominio.

Cambia el prefijo de tu base de datos

La base de datos de WordPress viene siempre por defecto con el prefijo WP_ y lo mejor es que lo cambies. No te preocupes si no sabes ni donde está la base de datos. Lo único que tienes que hacer es instalar y activar el plugin WP Prefix Changer, ir a Ajustes > Change Table Prefix y poner una palabra o unas letras y después un guión bajo.

Ejemplo: blabla_

Así habrás cambiado el prefijo típico de la base de datos de WordPress. Después de hacerlo desinstala el plugin ya que no te sirve para nada más.

Bloquea intentos de LOGIN

Con este plugin puedes evitar que se intente más de X veces entrar en tu WordPress. Si un hacker intenta acceder a tu WordPress y no lo consigue, por ejemplo a la tercera, WordPress bloquea el acceso durante un tiempo determinado

Ve a Ajustes > Limit Login Attemps y en Ajustes del plugin y selecciona los reintentos permitidos y los minutos por bloqueo. Así ya lo tendrás instalado y configurado.

Usar una contraseña complicada y cambiarla mínimo cada año

Usa una contraseña que tenga números, letras y símbolos y de al menos 8 cifras, además sería conveniente que la cambiases mínimo 1 vez al año.

Actualiza siempre plugins, themes y WordPress

Actualiza siempre a las últimas versiones de tus plugins, themes y WordPress. Cada mes o dos meses haz una copia de seguridad de tu web con el plugin Updraftplus, y una vez hecha actualiza todo a la última versión.

Además de esto desinstala siempre plugins que no utilices y no uses plugins o themes de sitios piratas.

Instalar SSL

Aunque esto ya deberías tenerlo instalado desde el principio, asegura que tu web tiene el certificado SSL.  Ponte en contacto con tu hosting si tienes dudas sobre esto. (mira si tu web empieza con https)

Bloquea archivos desde htaccess

Este paso es complicado de hacer. Si no sabes tocar el archivo .htaccess de tu WordPress, esta parte es mejor no hacerla o si quieres te lo puedo hacer yo. Este archivo puede dar error y hacer tu página innacesible a la mínima que tocas.

Entra en el CPANEL de tu hosting > Busca la instalación de tu WordPress y en la carpeta raíz busca y edita el archivo htaccess. Aquí copia y pega lo siguiente.

# Bloquea wp-config

order allow,deny
deny from all


# Bloquea wp-includes

RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ -
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]


#Deshabilitar el archivo htaccess

order allow,deny
deny from all
satisfy all


Añade Cabeceras de seguridad

Al igual que el punto anterior también necesitamos añadir estas cabeceras de seguridad en nuestro htaccess. Copia y pega este código

#deshabilita la navegación por directorios de tu sitio
Options All -Indexes

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

# Cabecera Content-Security-Policy
Header set X-Content-Security-Policy "allow 'self';"

Con estas acciones tendrías una web con WordPress bastante segura. Nada te garantiza que tu web pueda ser hackeada en cualquier momento, pero con estos pasos seguro que bastante más difícil si lo tienen.

Espero que te haya servido. Un saludo!