Pasos para tener una página web segura con WordPress

Los que ya sabéis manejar vuestra página web con WordPress, ya sea porque tenéis una academia online, una tienda, una web corporativa etc, soléis preguntarme cual es el mejor plugin para mejorar la seguridad y siempre os comento que no sólo se trata de instalar un plugin. Tenéis que seguir una serie de pasos y algunos pequeños consejos con los que será más difícil que vuestra web caiga en manos de posibles hackers.
Por eso, he decidido crear esta guía en mi blog para que siempre tengáis a mano estos tips que os ayudarán a mejorar la seguridad de vuestro WordPress:
Contenido del artículo
Quitar el usuario admin
Nunca uses en tu WordPress el usuario admin, cámbialo de nombre ya que los hackers es el primer nombre que prueban para acceder a tu instalación. Tampoco es conveniente que uses como nombre el nombre de tu dominio.
Cambia el prefijo de tu base de datos
La base de datos de WordPress viene siempre por defecto con el prefijo WP_ y lo mejor es que lo cambies. No te preocupes si no sabes ni donde está la base de datos. Lo único que tienes que hacer es instalar y activar el plugin WP Prefix Changer, ir a Ajustes > Change Table Prefix y poner una palabra o unas letras y después un guión bajo.
Ejemplo: blabla_
Así habrás cambiado el prefijo típico de la base de datos de WordPress. Después de hacerlo desinstala el plugin ya que no te sirve para nada más.
Bloquea intentos de LOGIN
Con este plugin puedes evitar que se intente más de X veces entrar en tu WordPress. Si un hacker intenta acceder a tu WordPress y no lo consigue, por ejemplo a la tercera, WordPress bloquea el acceso durante un tiempo determinado
Ve a Ajustes > Limit Login Attemps y en Ajustes del plugin y selecciona los reintentos permitidos y los minutos por bloqueo. Así ya lo tendrás instalado y configurado.
Usar una contraseña complicada y cambiarla mínimo cada año
Usa una contraseña que tenga números, letras y símbolos y de al menos 8 cifras, además sería conveniente que la cambiases mínimo 1 vez al año.
Actualiza siempre plugins, themes y WordPress
Actualiza siempre a las últimas versiones de tus plugins, themes y WordPress. Cada mes o dos meses haz una copia de seguridad de tu web con el plugin Updraftplus, y una vez hecha actualiza todo a la última versión.
Además de esto desinstala siempre plugins que no utilices y no uses plugins o themes de sitios piratas.
Instalar SSL
Aunque esto ya deberías tenerlo instalado desde el principio, asegura que tu web tiene el certificado SSL para que esta sea más segura. Ponte en contacto con tu hosting si tienes dudas sobre esto. (mira si tu web empieza con https)
Bloquea archivos desde htaccess
Este paso es complicado de hacer. Si no sabes tocar el archivo .htaccess de tu WordPress, esta parte es mejor no hacerla o si quieres te lo puedo hacer yo. Este archivo puede dar error y hacer tu página innacesible a la mínima que tocas.
Entra en el CPANEL de tu hosting > Busca la instalación de tu WordPress y en la carpeta raíz busca y edita el archivo htaccess. Aquí copia y pega lo siguiente.
# Bloquea wp-config order allow,deny deny from all # Bloquea wp-includes RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] #Deshabilitar el archivo htaccess order allow,deny deny from all satisfy all
Añade Cabeceras de seguridad
Al igual que el punto anterior también necesitamos añadir estas cabeceras de seguridad en nuestro htaccess. Copia y pega este código
#deshabilita la navegación por directorios de tu sitio Options All -Indexes ## Cabecera X-Frame-Options para mejorar la seguridad Header always append X-Frame-Options SAMEORIGIN # Tell the browser to attempt the HTTPS version first Header add Strict-Transport-Security "max-age=157680000" ## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome Header set X-XSS-Protection "1; mode=block" ## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos Header set X-Content-Type-Options "nosniff" # Disable server signature Header set ServerSignature "Off" Header set ServerTokens "Prod" # Control Cross-Domain Policies Header set X-Permitted-Cross-Domain-Policies "master-only" # Cabecera Content-Security-Policy Header set X-Content-Security-Policy "allow 'self';"
Con estas acciones tendrías una web con WordPress bastante segura. Nada te garantiza que tu web pueda ser hackeada en cualquier momento, pero con estos pasos seguro que bastante más difícil si lo tienen.
Espero que te haya servido. Un saludo!
