WordPress es el gestor de contenido más utilizado en el mundo, y por eso es común que reciba ataques de hackers, fuerza bruta y robots. Si dejas las configuraciones predeterminadas, puedes enfrentar problemas de seguridad graves, como perder el acceso a tu sitio o que se inserte código malicioso. A continuación, te compartimos 22 recomendaciones para proteger tu WordPress y fortalecer su seguridad.
1. Cambia el Prefijo wp_
de la Base de Datos
Al instalar WordPress, se genera un prefijo por defecto wp_
para las tablas de la base de datos, lo cual es conocido por los hackers. Modifica este prefijo a uno personalizado para evitar ataques dirigidos a las tablas estándar de WordPress.
2. Evita Usar el Usuario ‘Admin’
No utilices nombres de usuario comunes como admin
o root
para el usuario principal de WordPress, ya que son los primeros que probará un atacante. Elige un nombre único y difícil de adivinar.
3. Usa Contraseñas Fuertes
Utiliza contraseñas seguras con letras mayúsculas, minúsculas, números y caracteres especiales. Esto reduce la probabilidad de ser víctima de ataques de fuerza bruta.
4. Mantén WordPress Actualizado
Los hackers suelen atacar versiones antiguas, ya que pueden tener vulnerabilidades conocidas. Asegúrate de tener la última versión de WordPress para mantener una protección óptima.
5. Actualiza los Plugins
Los plugins son un objetivo común para los atacantes. Actualízalos frecuentemente, especialmente aquellos que no son parte del directorio oficial de WordPress.
6. Actualiza el Tema Activo
Los temas también pueden ser una puerta de entrada para los hackers si están desactualizados. Si usas temas de terceros, mantente al tanto de las actualizaciones de sus desarrolladores.
7. Evita Plugins y Temas Obsoletos
Los plugins y temas desactualizados representan un riesgo. Revisa regularmente que estén actualizados o reemplázalos con alternativas seguras y activas.
8. Borra Plugins y Temas Inactivos
Los plugins y temas inactivos pueden convertirse en vulnerabilidades si no se actualizan. Borra todo lo que no uses, dejando solo el tema de respaldo de WordPress.
9. Descarga Plugins y Temas de Sitios Confiables
Evita descargas de sitios desconocidos o redes P2P como Torrent, ya que pueden contener malware. Utiliza siempre el repositorio oficial o sitios confiables como Envato.
10. Protege el Archivo de Configuración wp-config.php
El archivo wp-config.php
contiene datos sensibles. Muévelo a una carpeta segura, cambia sus permisos a 444
y restringe el acceso con reglas en .htaccess
.
11. Protege la Carpeta de Subidas
La carpeta uploads
es vulnerable a ataques. Limita las extensiones de archivo permitidas agregando reglas en .htaccess
para mayor seguridad.
12. Realiza Copias de Seguridad
Las copias de seguridad son esenciales. Verifica que tu alojamiento las realice automáticamente y considera un plugin como BackWPup para programarlas en la nube.
13. Limita los Intentos de Inicio de Sesión
Instala plugins como Limit Login Attempts para proteger la pantalla de inicio de sesión y evita el registro de usuarios indeseados con medidas de seguridad adicionales como reCaptcha.
14. Instala un Plugin de Seguridad
Plugins como WordFence o iThemes Security ayudan a proteger tu sitio contra ataques de fuerza bruta y otros métodos maliciosos, notificándote en caso de riesgos.
15. Usa Permisos Seguros en Archivos y Carpetas
Asegúrate de que los archivos tengan permisos 644
y las carpetas 755
para evitar vulnerabilidades.
16. Implementa un Proxy Inverso como Cloudflare
Cloudflare no solo ofrece caché, sino también medidas de seguridad como la ofuscación de correos electrónicos y bloqueo de IPs sospechosas.
17. Registra tu Sitio en Google Search Console
Además de análisis de tráfico, Google Search Console ofrece alertas sobre problemas de usabilidad, velocidad y posibles inyecciones de código en tu sitio.
18. Evita el Registro de Sploggers
Si permites el registro de usuarios, usa un plugin como WangGuard para detectar usuarios falsos o malintencionados que intenten inyectar spam o malware.
19. Protege el Archivo .htaccess
Agrega reglas en .htaccess
para evitar que terceros accedan a este archivo, ya que controla configuraciones importantes en tu sitio.
20. Controla el Spam en Comentarios
Protege los formularios de comentarios de spam con un plugin como Akismet y verifica los ajustes de comentarios para mejorar la seguridad.
21. Desactiva la Vulnerabilidad Pingback
Deshabilita el protocolo xmlrpc.php
en .htaccess
para evitar ataques a través de pingbacks si no usas aplicaciones de administración remota.
22. Monitorea Cambios en los Archivos
Plugins como WordFence pueden alertarte sobre cambios inesperados en los archivos de tu sitio, lo que te permite detectar y revertir posibles amenazas.
Artículo original por Fernando Tellado | 20 Noviembre 2023 publicado en Aula CM