17 consejos para darle más seguridad a tu sitio web o blog en WordPress

Para iniciar una campaña de Marketing Digital, uno de los primeros pasos es crear un sitio web que reúna toda la información sobre tu empresa. ¿Pero cómo tener seguridad en WordPress, una de las plataformas más utilizadas para el desarrollo de páginas institucionales, ecommerce y blogs? ¡Algunos consejos simples pueden ayudarte con esta tarea!

Si estás leyendo este post con certeza ya comprendes la importancia que tiene un sitio para la estrategia digital de una empresa, comenzando por elegir una plataforma adecuada para administrarlo.

WordPress es uno de los gestores de contenido más utilizados. Pero, ¿cómo asegurarnos de que el sitio esté bien protegido? ¿Cómo tener una buena seguridad en WordPress?

Los ataques de hackers son cada vez más comunes y, cuando dañan un sitio web pueden ser letales, ya que es el principal canal online para generar nuevos negocios en muchas empresas.

Por esta razón, estos son los 17 consejos que debes conocer para que tu sitio de WordPress sea completamente seguro:

  1. realiza backups con frecuencia;
  2. inicia la sesión con tu email;
  3. cambia la URL de inicio de sesión de tu sitio web;
  4. protege más al archivo wp-config.php;
  5. aumenta la protección del directorio wp-admin;
  6. usa la autenticación de dos factores;
  7. ten un certificado SSL;
  8. mantén a los temas y plugins siempre actualizados;
  9. ten cuidado al elegir los temas;
  10. usa contraseñas fuertes en la plataforma;
  11. elimina archivos innecesarios;
  12. previene los spams;
  13. intenta impedir el registro de nuevos usuarios;
  14. determina los permisos correctos para archivos y carpetas;
  15. asegúrate de que la depuración está bien protegida;
  16. cambia el prefijo de la tabla del banco de datos;
  17. conecta el servidor de manera correcta.

¡Continúa leyendo y aprende más sobre este tema!

1. Realiza backups con frecuencia

Piensa en el siguiente ejemplo: tienes un sitio web corporativo con mucho contenido guardado en él, páginas que describen tus productos o servicios, una lista de clientes que ya han comprado en tu negocio y artículos producidos en tu blog.

¿Qué sucedería si, de repente, todo desapareciera? ¿Qué harías?

Sí, esto es posible, por razones como un problema con tu servidor o, incluso, una invasión a tu sitio por malware. ¡Nunca lo dudes!

Por lo tanto, asegúrate de realizar copias de seguridad en tu sitio periódicamente para que toda la información esté segura.

2. Inicia la sesión con tu email

Al crear un sitio de WordPress puedes elegir iniciar sesión con un nombre de usuario o con tu email. Para mayor seguridad, te recomendamos que optes por el email y, a continuación, te explicaremos por qué.

Los nombres de usuario son fáciles de predecir, lo que facilita que alguien los descubra, especialmente si es tu nombre original.

Los emails son más difíciles de adivinar, incluso si son para uso corporativo, ya que solo los miembros de tu empresa y las personas con las que estableces contacto lo conocerán.

¡Por lo tanto, si tienes un email alternativo que muy pocas personas lo conozcan, es más apropiado usarlo!

3. Cambia la URL de inicio de sesión de tu sitio

Todos los sitios de WordPress tienen, como estándar, la URL http: //tusitio.com/wp-admin. Cuando los hackers intentan ingresar a tu sitio forzando el inicio de sesión, utilizando un GWDb (abreviatura de Guess Work Database).

Es decir, un banco que contiene varias combinaciones de nombres de usuario y contraseñas. Cuando uno de ellos coincide, el invasor puede ingresar a tu sitio web.

De ahí surge la necesidad de reemplazar la URL y eliminar las posibilidades de que eso suceda. Para hacerlo, usa el plugin de seguridad iThemes, que te permite cambiar /wp-admin/ a cualquier otro de tu elección.

4. Protege más al archivo wp-config.php

Wp-config.php es un archivo que contiene información sobre la instalación de WordPress, es el más importante de tu sitio web, por lo tanto, debe ser el más protegido contra ataques virtuales.

Realizar esta protección para que el archivo sea inaccesible es muy simple. Solo necesitas mover el archivo wp-config.php a un nivel superior dentro de tu directorio raíz.

La arquitectura de WordPress permite que el servidor acceda al archivo, incluso si está en otro lugar. Los hackers no lo verán, pero WordPress sí.

5. Aumenta la protección del directorio wp-admin

Hablando de wp-admin, debemos recordar que es el directorio principal de tu sitio de WordPress, por lo que puede corromperse por completo si se viola esa parte. Por lo tanto, intenta protegerlo con una contraseña para que solo el administrador del sitio pueda acceder a ella.

Esto hace que la página de inicio de sesión, además de mostrar un nombre de usuario y contraseña, solicite también una segunda contraseña para otorgar el acceso.

Existen plugins, como AskApache Password Protect (de la corporación Apache), destinados a proteger esta área. Pero también puedes optar por la autenticación de dos factores, de lo que hablaremos a continuación.

6. Usa la autenticación de dos factores

La seguridad no debe limitarse al sitio web, sino también al sistema que utiliza para iniciar sesión y, por lo tanto, debe protegerse de la misma manera. Una forma es a través de la autenticación de dos factores.

Esta autenticación trae la necesidad de un doble inicio de sesión en tu sitio web para garantizar una mayor seguridad. De esa forma, evita que intrusos ingresen al sistema y tengan acceso a tus datos.

Además del inicio de sesión y la contraseña, cuando se usa la autenticación de dos factores, también debes ingresar un código. Lo puedes informar por email, SMS o de otra manera.

7. Ten un certificado SSL

Un certificado SSL es esencial para que tu sitio web sea seguro y, también, garantiza la protección de los visitantes (especialmente si necesitan ingresar información personal y de tarjeta de crédito).

También aumenta las posibilidades de indexación, ya que los sitios seguros son parte del criterio de clasificación de Google.

Para obtener el certificado, debes comunicarte con tu servidor de hospedaje. Muchos lo ofrecen de forma gratuita. Después de activarlo, debes aplicarlo en WordPress utilizando el complemento Really Simple SSL.

8. Mantén a los temas y plugins siempre actualizados

Uno de los primeros pasos que debes seguir al crear un sitio de WordPress es elegir el tema que se aplicará. También llamado plantilla, hay varios tipos que puedes seleccionar para que el sitio web se parezca a tu empresa.

Además del diseño, los temas también presentan características que pueden satisfacer tus necesidades. Sin embargo, para que funcione bien, debes instalar actualizaciones cada vez que se lanzan. De lo contrario, la plantilla puede perder algunas de sus funciones y no operar correctamente.

Lo mismo ocurre con los plugins que asignan funciones específicas al sitio, como formularios de contacto, botones de redes sociales, creación de banners de generación de leads, etc. Debes mantenerlos actualizados para que no se produzcan problemas con ellos.

9. Ten cuidado al elegir los temas

Para que tu sitio web sea profesional y centrado en los resultados te recomendamos contratar un tema premium.

Por más que WordPress tenga una variedad de temas gratuitos, generalmente están dirigidos a sitios web o blogs personales.

Sin embargo, dejamos una alerta: compra el template, no caigas en el error de piratearlo. Además de ser ilegal, pones en riesgo tu sitio, ya que el archivo puede venir con algún tipo de virus o malware y dañarlo.

Además, al comprar el tema de esta manera, tampoco tienes derecho al equipo de soporte premium, en caso de que tengas algún problema o necesites ayuda para adaptar la plantilla a la forma más adecuada para tu sitio web.

10. Usa contraseñas fuertes en la plataforma

Al configurar tu contraseña para entrar al panel de control de WordPress, el propio CMS te informa si es débil, media o fuerte. Si bien algunas son más fáciles de recordar, elige siempre contraseñas seguras que no sean muy obvias.

Después de todo, ciertos accesos deben estar restringidos internamente dentro de la empresa. Además, debemos protegernos de las invasiones que se producen debido al uso de contraseñas débiles.

WordPress genera contraseñas automáticas como sugerencia, pero si deseas crear la tuya, intenta utilizar letras mayúsculas y minúsculas, así como números y algunos caracteres especiales.

11. Elimina archivos innecesarios

¿Sabes cuál es el tiempo máximo que la gente suele esperar a que se cargue un sitio web? ¡Tres segundos!

Por lo tanto, si tu sitio tarda más que eso en mostrar su contenido completo, ten en cuenta que muchas personas pueden abandonarlo antes de realizar cualquier tipo de conversión.

Uno de los factores que ralentiza los sitios web es el exceso de archivos, dentro de ellos:

  • imágenes,
  • documentos,
  • videos,
  • infografías,
  • entre otros.

Por supuesto, algunos necesitan estos archivos para proporcionarle una mejor experiencia a sus visitantes, pero recomendamos excluir aquellos que no sean estrictamente necesarios para optimizar la velocidad del sitio.

12. Previene los spams

La verdad sea dicha: ¡a nadie le gusta un spam! Se ve comúnmente en los mensajes de email, aunque también están en las redes sociales.

Pero, también puede ser que te preguntes: ¿cómo se puede aplicar a los sitios web?

Lo más común es como respuesta a tus formularios de contacto o como comentarios de blog. Por esta razón, recomendamos tener herramientas específicas para administrar comentarios, como Disqus.

Sin embargo, hoy en día, las técnicas de spam son más avanzadas, por lo que invaden tu sitio e inyectan códigos que solo se muestran a los robots de Google, lo que perjudica su indexación en las SERPs. Esto refuerza la necesidad de un sitio web seguro para que este tipo de amenaza no suceda.

13. Intenta evitar el registro de nuevos usuarios

Un sitio de WordPress puede involucrar a varias personas según sus funciones laborales. Pero es necesario que dichos accesos sean cuidadosamente elegidos y asignados.

Observa a continuación las funciones de WordPress:

  • Super Admin: tiene acceso a todas las funciones del sitio;
  • Administrador: tiene acceso a casi todas las funciones;
  • Editor: es el que puede publicar contenidos tanto en las páginas como en el blog;
  • Autor: también puede crear contenidos, pero solo administra tus publicaciones;
  • Colaborador: puede producir contenido, pero no puede publicarlo;
  • Suscriptor: solo puede administrar su propio perfil.

Por lo tanto, debes autorizar el acceso únicamente a las personas adecuadas para cada función. Después de todo, los principales datos digitales de tu empresa son administrados por WordPress, por lo que el perfil del administrador debe restringirse a unas pocas personas de confianza.

14. Determina los permisos correctos para archivos y carpetas

Además de los usuarios, también es importante que las carpetas y los archivos tengan permisos restringidos para preservar la seguridad digital de tu sitio web.

Imagina lo dañino que sería si una persona con acceso a ellos, incluso por accidente, eliminara un archivo esencial y afectara el rendimiento de la página y la experiencia de navegación del usuario.

Por lo tanto, asegúrate de que los archivos esenciales para el sitio web de tu empresa, como wp-config.php, debug.log, entre otros, también estén restringidos al acceso de solo personas involucradas en la administración del sitio web.

15. Asegúrate de que la depuración esté bien protegida

El archivo de depuración recopila la información más confidencial sobre tu sitio web. Por lo tanto, deben mantenerse lo más ocultos posible para que los atacantes no los vean.

Si un desarrollador que trabaja para tu empresa necesita utilizar la depuración en algún momento, asegúrate de que el archivo debug.log tenga un permiso seguro.

16. Cambia el prefijo de la tabla de la base de datos

La base de datos se utiliza para almacenar y organizar información sobre tu sitio web. El prefijo de tu tabla de datos está representado por wp-table. Al igual que wp-admin, te recomendamos que lo cambies para un nombre diferente.2

Después de todo, el uso del prefijo predeterminado hace que la base de datos sea vulnerable a los ataques. Si no estás seguro de cómo hacer este cambio dentro del sitio, hay plugins que realizan esta función.

WP-DBManager es uno de ellos, como iThemes Security, que mencionamos anteriormente. Antes de realizar esta o cualquier modificación en tu banco, te recomendamos que hagas una copia de seguridad del sitio.

17. Conecta el servidor correctamente

Al configurar tu sitio con el servidor dale preferencia al uso de SFTP o SSH. Aunque muchos desarrolladores prefieren FTP los dos mencionados tienen más características de seguridad.

De esa manera, puedes transferir archivos al host de una manera más segura. En realidad, hay servidores de alojamiento que ofrecen estos servicios, por lo que no tienes que ejecutarlos manualmente.

De todos modos, siguiendo estos 17 consejos de seguridad en WordPress, podrás hacer que el sitio web de tu empresa esté más protegido. Por lo tanto, tendrás más tranquilidad para el éxito de tu negocio en Marketing Digital.

Como habrás notado, algunos de estos consejos requieren un poco más de conocimiento de desarrollo de sitios web, por eso: ¿qué tal aprender sobre ese tema? Lee nuestro artículo sobre el lenguaje HTML y aprovecha la ocasión para conocer más a detalle cómo funciona.

Cuota
facebook
linkedin
twitter
mail

Suscríbete y recibe los contenidos de nuestro blog

Recibe acceso de primera fuente a nuestras mejores publicaciones directamente en tu caja de entrada.

¿Te gustaría recibir más contenido de altísima calidad como este y de forma totalmente gratuita?

¡Suscríbete para recibir nuestros contenidos por e-mail y conviértete en un miembro de la Comunidad Rock Content!