Seguridad en WordPress: conoce más de 15 formas de mejorarla

seguridad en wordpress alvaro arrarte

¿Sabes cómo mejorar la seguridad en WordPress?, en tu sitio WEB ¿tienes instalados plugins de seguridad para WordPress?

Más de una cuarta parte de los sitios WEB que están en Internet son realizados en WordPress por su gran versatilidad, lo representa alrededor de unos 75 millones de sitios WEB a nivel mundial.

WordPress cuenta con una gran cantidad de recursos gratuitos o pagos que te permiten hacer cualquier tipo de sitio Web que necesites en muy poco tiempo, además tiene una gran cantidad de personas que ofrecen soporte y mantenimiento.

Sin embargo esto también tiene sus desventajas, porque muchos usuarios con malas intenciones están buscando como afectar o vulnerar seguridad en WordPress de alguna manera, por eso es importante reducir los problemas de seguridad.

La ventaja es que gracias a su amplia comunidad y aplicaciones disponibles puedes implementar varias medidas para aumentar la seguridad WordPress y así minimizar el riesgo de que perder tu activo digital.

Lo que veras en este artículo

¿Qué tan seguro es WordPress?

Después de esta información seguramente te estarás preguntando ¿Es WordPress seguro?, y aunque no existe un sistema 100% seguro o infalible, WordPress es uno de los CMS que tiene mejores mecanismos de seguridad.

Sin embargo debes recordar que continuamente tienes a personas del lado oscuro de la fuerza, buscando vulnerabilidades en su núcleo, a los plugins y a las plantillas, para afectar la seguridad en WordPress.

Según un estudio realizado por la empresa de seguridad Sucuri, WordPress presenta la tasa más alta de infecciones comparada con otros CMS, e incluso en el 2019 aumento los casos reportados.

comparativa infecciones cms 2019 alvaro arrarte
Comparativa de las infecciones en CMS entre el 2018 y 2019 (fuente https://sucuri.net)

Sin embargo WordPress es tan seguro como Drupal o Joomla, por eso la diferencia va a estar en el mantenimiento y las medidas de seguridad que implementes, para minimizar estos riesgos.

La diferencia numérica entre los diferentes CMS corresponde a diversas variables entre la que destaca la cantidad de instalaciones activas y el número de personas que interactúan con los diferentes sistemas.

Los 7 factores que afectan la seguridad en WordPress

A parte de tomar las medidas necesarias para implementar la seguridad WEB, existen muchos factores que pueden afectar la seguridad en WordPress, por eso es importante que tomes acciones si te encuentras en alguna de las siguientes situaciones:

Sitios WEB sin atención

Muchas personas piensan que con la publicación del sitio WEB acaba el proyecto, y esto no es así, porque descuidan la seguridad para WordPress, y como cualquier otro activo de tu negocio necesita el mantenimiento necesario.

Falta de precaución

Muchas de las fallas de seguridad en WordPress se produce por utilizar temas o plugins “Liberados”, además de claves que no sean contraseñas seguras, eso es como si dejaras las puertas abiertas de tu casa al salir a pasear.

falta de precaucion alvaro arrarte
La falta de precaución afecta la seguridad en WordPress

Administración deficiente

Una administración deficiente pone en riesgo la seguridad WordPress, ya que una persona con falta de conocimientos en seguridad WEB no implantará las políticas, ni tendrá los cuidados necesarios para su mantenimiento.

Desconocimiento sobre la seguridad WEB

Si tienes una instalación estándar sin ningún plugin de seguridad en WordPress y no has aplicado los controles necesarios para establecer la seguridad en WordPress, tu activo digital y la reputación de tu marca en Internet están corriendo un gran riesgo.

Falta de Mantenimiento

Puedes utilizar el mejor plugin de seguridad para WordPress, sin embargo si no lo actualizas estarás corriendo un gran riesgo, sabías que más del 33% de los sitios en WordPress no se encuentran actualizados a la última versión, además que utilizan plugins o plantilla que están desactualizadas.

infecciones sitios sin actualizar alvaro arrarte
CMS infectados por falta de actualización en 2019 (fuente https://sucuri.net)

Cuentas de correos inseguras

Es importante que mantengas una buena seguridad en tus cuentas de correo, ya que aquí llegan los recordatorios de las contraseñas o las confirmaciones cada vez que lo solicitas o te registras en un sitio

Si alguien llega a tener acceso a tu correo, también tendrá el acceso para poder modificar las contraseñas de tu hosting y las de tu sitio en WordPress con lo que s estarás en una situación muy vulnerable.

Versión del PHP desactualizada

WordPress funciona sobre PHP, por eso si la versión de PHP que estas utilizando en tu servidor de hosting es muy vieja tendrás muchos huecos de seguridad, porque constantemente se están publicando vulnerabilidades y actualizaciones.

Por lo general una versión de PHP es soportada por un periodo de 2 años, luego de este tiempo a esta versión no le dan más soporte, ni le hace más actualizaciones lo que te deja desprotegido.

Según el estudio de 2019 realizado por la empresa de seguridad Sucuri la versión más utilizada por los administradores WEB es PHP 5.x, una versión que ya no tiene ningún tipo de soporte.

Versiones de PHP utilizadas en diferentes sitios WEB en 2019 (fuente https://sucuri.net)

¿Cómo mejorar la seguridad en WordPress?

Ya que sabes los riesgos, si quieres reducir las vulnerabilidades de WordPress y mejorar la seguridad de tu sitio WEB para conseguir un WordPress seguro puedes implementar las siguientes acciones:

Actualiza el Core de WordPress

WordPress continuamente está liberando versiones nuevas del núcleo o Core, esto lo hace para corregir problemas de funcionalidad, mejorar su rendimiento y agregar nuevas opciones.

Sin embargo en estas nuevas versiones también vienen mejoras en la seguridad en WordPress, reparando vulnerabilidades detectadas o reportadas por otros usuarios. Por eso si tienes una versión desactualizada de tu WordPress tienes graves riesgos.

Esto se debe a que muchos atacantes ya sabrán cuales son las vulnerabilidades WordPress que tiene tu versión y cómo acceder a ellas para causar estragos en tu activo digital, afectando además a tus visitantes.

Recuerda que antes de realizar este tipo de acciones es necesario que hagas un respaldo de tu sitio WEB y la base de datos, para que puedas minimizar el riesgo en caso de que ocurra algún inconveniente.

Los plugins de WordPress

La mayor parte de los ataques que recibe un sitio WEB en WordPress es por medio de los plugins, por eso continuamente están saliendo versiones para corregir vulnerabilidades de seguridad, mejorar su rendimiento y agregarle nuevas funciones.

Por eso es necesario para mejorar la seguridad en WordPress, que periódicamente actualices todos los plugins que tengas instalados, al igual que lo haces con el Core de WordPress.

Usa solo los plugins necesarios

Mientras más plugins tengas en tu sitio WEB activos o no, más puntos débiles de seguridad tendrás. Por eso borra los plugins que no necesites y en lo posible no tengas 2 que realicen una misma funcionalidad.

La cantidad de plugins también afecta la seguridad en WordPress

Esto reduce los riesgos de seguridad WordPress y disminuye la cantidad de archivos en tu servidor de hosting, además de mejora los tiempos de carga de las páginas, algo que es muy recomendable para el SEO.

Usa plugins legítimos

Es muy importante que solo utilices plugins que descargues del repositorio de WordPress en donde puedes ver incluso las valoraciones de otros usuarios, o también de las páginas de los desarrolladores.

Si un plugin tiene mucho tiempo sin actualizar evalúa si en verdad es necesario o si no existe otra opción antes de instalarlo, además utiliza un ambiente de desarrollo para probar nuevos plugins que quieras instalar.

No te recomiendo que utilices bajo ningún motivo plugins de sitios sospechosos o los “Liberados”, ya que este tipo de plugins suelen tener además funcionalidades maliciosas que pueden afectar la seguridad de WordPress.

Actualiza el Tema

Al igual que pasa con los plugin es necesario que constantemente estés actualizando el Theme de WordPress para evitar cualquier inconveniente en la seguridad en WordPress, ya que estas actualizaciones poseen mejoras de rendimiento, funcionalidad y seguridad.

Sin importar si tienes que pagar por su uso o es gratis utiliza temas que vengan del repositorio de WordPres.org o directamente de la página de algún desarrollo para mantener la seguridad en WordPress.

No utilices Themes que vengan de gestores de descargas o que estén “Liberados”, ya que suelen venir con algún tipo de Malware.

Los usuarios

Una regla básica es que mantengas el control de los accesos para los diferentes tipos de usuario por eso utilizar los perfiles de usuarios en WordPress adecuados te ayudará a mejorar la seguridad.

crear usuario en wordpress alvaro arrarte
Crear los usuarios con el perfil adecuado aumenta la seguridad WordPress

¿Cómo proteger el usuario Administrador de WordPress?

Para proteger el usuario administrador de WordPress no utilices lo primero es no utilizar como nombre de usuario “admin”, ya que es muy común por eso hace que muchos ataques de fuerza bruta y script automáticos estén dirigidos hacia este nombre de usuario.

Si lo tienes así para mejorar la seguridad en WordPress puedes cambiarlo por medio de algún plugin o si eres un poco más experimentado desde tu base de datos por medio de la siguiente sentencia de código:

UPDATE wp_users 
    SET user_login = 'NuevoNombreUsuarioAdministrador'
WHERE user_login ='admin';

Para tener una máxima seguridad en WordPress nunca utilices un usuario administrador para realizar publicaciones de algún tipo en tu sitio WEB, lo más recomendable es que lo uses para hacer solo las tareas de mantenimiento.

Para hacer tareas de publicaciones de páginas o artículos puedes utilizar un usuario de tipo “Editor” o con menos privilegios, puedes ver este artículo si quieres saber sobre los perfiles de usuario en WordPress.

Realiza respaldos automáticos

Uno de los puntos importantes de la seguridad en WordPress es buscar la manera de realizar respaldos de tu sitio WEB y de la base de datos, con el fin tener la versión más actualizada posible en el caso de un inconveniente.

¿Cómo hacer copia de seguridad en WordPress?

Puedes encontrar muchos plugin para realizar una copia de seguridad en WordPress como XCloner, BackWPup que además te permiten hacerlo de forma automática y poder almacenar el respaldo en servidores externos como Dropbox y Google Drive.

También te recomiendo hacer copia de seguridad en WordPress y de su base de datos en un servidor local cada cierto tiempo, como una medida de prevención adicional.

plugin backwpup alvaro arrarte
Con el Plugin BackWPup puedes hacer copia de seguridad en WordPress

Obliga a navegar por HTTPS

Si dispones de un certificado SSL lo más recomendable es para aumentar la seguridad en WordPress es obligues a los visitantes a navegar por HTTPS, para ello edita el archivo .htaccess del directorio raíz de tu instalación de WordPress y colocarle las siguientes líneas:

RewriteEngine On 
RewriteBase /
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.tudominio.com/$1 [R=301,L]

¿Cómo forzar el acceso al administrador de WordPress por HTTPS?

Es importante es que el acceso al panel de administración de tu sitio WEB sea únicamente por HTTPS, para aplicar esta medida de seguridad en WordPress edita el archivo wp-config.php del directorio raíz de tu instalación de WordPress y colocarle la siguiente línea de código:

/**Obligar a que entre al panel de administracion por HTTPS **/
define(‘FORCE_SSL_ADMIN’, true);

Emplea las llaves de autenticación de WordPress

Esta es una de las medidas de seguridad para WordPress que dificulta los ataques de fuerza bruta, ya que por medio de estas claves es más difícil que un atacante adivine tu contraseña.

Para utilizar esta medida de seguridad en WordPress solo debes editar wp-config.php y colocar llaves de autenticación en cada uno de las 8 líneas que verás a continuación:

/**#@+
 * Claves únicas de autentificación.
 *
 * Define cada clave secreta con una frase aleatoria distinta.
 * Puedes generarlas usando el {@link https://api.wordpress.org/secret-key/1.1/salt/ servicio 
 * de claves secretas de WordPress}
 * Puedes cambiar las claves en cualquier momento para invalidar todas las cookies existentes. 
 * Esto forzará a todos los usuarios a volver a hacer login.
 *
 * @since 2.6.0
 */
define(‘AUTH_KEY’, ‘Llave-generada’);
define(‘SECURE_AUTH_KEY’, ‘Llave-generada’);
define(‘LOGGED_IN_KEY’, ‘Llave-generada’);
define(‘NONCE_KEY’, ‘Llave-generada’);
define(‘AUTH_SALT’, ‘Llave-generada’);
define(‘SECURE_AUTH_SALT’, ‘Llave-generada’);
define(‘LOGGED_IN_SALT’, ‘Llave-generada’);
define(‘NONCE_SALT’, ‘Llave-generada’);

Cambia la palabra “Llave-generada” por una contraseña fuerte generada, si quieres generar contraseñas fuertes rápidamente puedes ir al Generador de claves Seguras que está en mi sitio WEB.

Utiliza autenticación de dos pasos

Una buena forma de aumentar la seguridad en WordPress es utilizar la autenticación de dos pasos, que consiste en utilizar una clave temporal generada por un servicio externo como el de Google Authentication.

El plugin Two Factor Authentication te permite agregar esta funcionalidad en WordPress

Para que funcione debes agregar en tu sitio WEB un plugin como el Two Factor Authentication y así solicitar la doble autenticación para cada uno de los usuarios registrados.

Además debes activar este servicio gratuito por medio de una cuenta de Google y después bajar la aplicación dependiendo del dispositivo donde lo vayas a instalar:

Limita los accesos Fallidos

Si no limitas los accesos fallidos puedes llegar a ser víctima de un ataque de fuerza bruta o “Brute Force”, estos ataques buscan acceder a tus cuentas, mediante aplicaciones (bots) que buscan adivinar el usuario y las claves de tus cuentas.

También pueden consumir muchos recursos de tu servidor de hosting causando lo que se conoce como un “ataque de denegación de servicio”, lo que hace que tu WEB quede fuera de servicio.

Puedes encontrar formas de prevenir estos ataques, bloqueando a nivel de aplicación las direcciones IP sospechosas con un plugin de seguridad WordPress como Cerber Security, WordFence o el iThemes Security entre muchos otros.

También tienes a WPS Limit Login que es un plugin más sencillo, pero igual te ayuda a mejorar la seguridad en WordPress limitando el número de intentos fallidos, además posee listas de direcciones válidas (whitelist) e inválidas (blacklist).

No mostrar los errores de acceso

Una medida de seguridad básica para la seguridad en WordPress pero que es un error muy frecuente, es no realizar acciones para ocultar los errores de acceso, esto da oportunidad a que adivinen tus credenciales.

errores de acceso wordpress alvaro arrarte
Mostrar los errores de acceso puede debilitar la seguridad de WordPress

Para evitar que se muestren este tipo de errores y aumentar la seguridad de WordPress debes editar el archivo functions.php del tema activo y colocarle la siguiente línea de código:

 /* Ocultar errores de Acceso*/
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));

Oculta la dirección del administrador de WordPress

Ocultar wp-login, es otra medida que incrementará la seguridad de tu sitio WEB, ya que todas las instalaciones de WordPress vienen con la dirección wp-admin para ingresar a la parte de administración.

Existen varios plugins que te pueden ayudar a esconder la dirección del escritorio de WordPress como WPS Hide Login, el Easy Hide Login o el iThemes Security, cambiando de wp-admin a la dirección que tú desees.

Además puedes de aumentar la seguridad en WordPress haciendo que cuando un visitante coloque wp-admin para intentar ingresar al administrador de tu sitio, sea redirigido a la página que tú decidas como la página 404 por ejemplo.

Oculta la versión de WordPress

Para mostrar la versión de WordPress el sistema cada vez que carga tu página llama a la función wp_head() que entre sus diferentes tareas ejecuta un llamado a otra función wp_generator() que es la muestra esta información.

Saber cuál es la versión en la que está tu sitio WEB leda una ventaja potencial a cualquier atacante para vencer la seguridad en WordPress, ya que puedes saber para cada versión cuales son las vulnerabilidades que tiene identificadas.

ocultar version de wordpress alvaro arrarte
Ocultar la versión de WordPress ayuda a mejorar la seguridad

Por eso debes ocultar código fuente WordPress y en especial la versión que tienes instalado, para ello solo coloca en el archivo functions.php de tu instalación de WordPress la siguiente línea de código:

/* Ocultar la version de WordPress */
remove_action('wp_head', 'wp_generator');

Si deseas algo más sencillo puedes utilizar el plugin WP Remover WordPress Version que yo desarrolle para implementar esta función, además te da la ventaja de no tener que editar el archivo functions.php cada vez que actualizar WordPress.

Borrar archivos informativos de WordPress

Otra acción que importante para ocultar la versión de WordPress y aumentar la seguridad WordPress es borrar los archivos readme.html, licencia.txt y license.txt que es encuentra en el directorio raíz de tu instalación.

Utiliza un WEB Application Firewall (WAF)

Si tu servicio de hosting no es de calidad y quieres aumentar la seguridad para WordPress, puedes implementar un WEB Application Firewall mediante plugins como WordFence o Ninja Firewall.

Este tipo de soluciones aunque son muy efectivas para reforzar la seguridad en WordPress, también son algo complicadas de implementar debido a que si no lo adecuadamente puedes causar más problemas que soluciones.

Además que pueden llegar a consumir muchos recursos del servidor, por eso te recomiendo que los uses en un caso extremo y no como una medida habitual al configurar seguridad de WordPress.

Cambiar el prefijo de la base de datos

Una de las medidas para alcanzar la máxima seguridad para WordPress es cambiar el prefijo “wp_” que viene establecido para todas las tablas de la base de datos en una instalación estándar.

Esta medida te ayuda a evitar un ataque de inyección SQL que pueda afectar la información que tengas en tu base de datos, si llegas a sufrir alguna vulnerabilidad en la seguridad en WordPress.

phpmyadmin alvaro arrarte
Puedes usar phpMyAdmin para cambiar el prefijo de las tablas de WordPress

¿Cómo cambiar el prefijo de la base de datos en WordPress?

Existen 3 formas de cambiar el prefijo de las tablas de la base de datos, la primera es durante la instalación de WordPress, la segunda forma es cambiar manualmente el nombre de cada una de las tablas y luego editar el prefijo en el archivo wp-config.php.

La última es por medio de algún plugin de seguridad en WordPress como el iThemes Security, sin embargo recuerda que esta es una acción delicada y que debes tomar todas las precauciones posibles para evitar cualquier inconveniente.

Protege los archivos de configuración de WordPress

Una medida adicional de seguridad en WordPress es proteger el .htacces y el wp-config.php que son los archivos en donde se encuentran las variables de entorno y reglas que hacen que tu instalación funcione de forma adecuada.

Para asegurarte que estos archivos para que solo puedan ser modificados desde el mismo servidor solo debes editar el archivo .htacces que encuentras en la raíz de tu instalación de WordPress y agregar al principio las siguientes líneas de código:

# proteger wp-config.php
<files wp-config.php>
    order allow,deny
    deny from all
</files>

# proteger el .htaccess
<files .htaccess>
    order allow,deny
    deny from all
</files>

Utiliza cabeceras HTML

Utilizar estas cabeceras te pueden ayudar a incrementar la seguridad en WordPress, si quieres saber cómo está la seguridad en las cabeceras HTML de tu sitio WEB las puedes revisar con esta herramienta gratuita de Security Headers.

security headers alvaro arrarte
Resultado del sitio AlvaroArrarte.com en Security Headers

Cabecera X-Content-Type-Options

Para evitar que usuarios con malas intenciones intenten cambiar hojas de estilos (css) o Javascript (js) por archivos ejecutables y aumentar la seguridad en WordPress, lo más recomendable es que cambies algunos valores de la cabecera X-Content-Type.

Para ello solo debes asignar el valor “nosniff” en la cabecera X-Content-Type-Opctions, editando el archivo functions.php del tema de WordPress que tengas activo y colocarle las siguientes líneas al final.

/* Cabecera X-Content-Type-Options */
add_action( 'send_headers', 'add_header_xcontenttype' );

function add_header_xcontenttype() {
    header( 'X-Content-Type-Options: nosniff' );
}
cabecera html alvaro arrarte
Las cabeceras HTML pueden servir para vulnerar la seguridad de WordPress

Cabecera X-Frame-Options

También es necesario activar la cabecera X-Frame-Options para prevenir ataques de tipo clickjacking cuando intentan abrir tus páginas desde un frame / iframe y así mejorar la seguridad WordPress.

Esta cabecera te la opción de elegir si no lo vas a permitir colocando “DENY”, si solo va a ser de tu mismo dominio con “SAMEORIGIN” o si permitirás algunas direcciones especificas con “ALLOW-FROM https://ejemplo.com/

Para hacer esto debes editar el archivo functions.php del tema de activo de WordPress y colocarle las siguientes líneas al final, para este caso yo solo estoy permitiendo los frame / iframe de mí mismo dominio.

/* Cabecera X-Frame-Options */
add_action( 'send_headers', 'add_header_xframeoptions' );

function add_header_xframeoptions() {
    header( 'X-Frame-Options: SAMEORIGIN' );
}

Cabecera X-XSS Protection

Esto es una capa adicional de la seguridad para WordPress que agregas activando un filtro XSS que poseen los navegadores Internet Explorer y Google Chrome para mejorar la seguridad y evitar un “ataque de tipo XSS”.

Para activar esta protección es necesario implementar una función en el archivo functions.php del tema activo de WordPress y colocarle las siguientes líneas de código:

/* Cabecera X-XSS Protection */
add_action( 'send_headers', 'add_header_xframeoptions' );

function add_header_xframeoptions() {
    header( 'X-XSS-Protection: 1;mode=block' );
}

Cabecera Strict-Transport-Security

Esta cabecera implementa un mecanismo de seguridad que permite la interacción entre tu sitio WEB y los navegadores compatibles mediante conexiones seguras, se le agrega un atributo que indica el tiempo en segundos que el navegador lo recordará.

Esta medida de seguridad en WordPress te ayuda a prevenir la extracción de SSL, mediante un ataque man-in-middle que convierte una conexión HTTPS en una conexión normal HTTP.

Para activar esta protección es necesario implementar una función en el archivo functions.php del tema activo de WordPress y colocarle las siguientes líneas de código:

/* Cabecera Strict-Transport-Security */
add_action( 'send_headers', 'add_header_xframeoptions' );

function add_header_xframeoptions() {
    header( 'Strict-Transport-Security: max-age=10886400' );
}

Si quieres evitar hacer una función por cada cabecera para mejorar la seguridad en WordPress puedes englobar todo en una sola y te quedará de la siguiente manera:

/* Proteger varias cabeceras HTML */
add_action( 'send_headers', 'add_header_seguridad' );

function add_header_seguridad() {
    header( 'X-Content-Type-Options: nosniff' );
    header( 'X-Frame-Options: SAMEORIGIN' );
    header( 'X-XSS-Protection: 1;mode=block' );
    header( 'Strict-Transport-Security: max-age=10886400' );
}

También puedes implementar estas medidas de seguridad en WordPress si tienes acceso al archivo .htaccess que está en el directorio raíz de tu sitio WEB y le agregas las siguientes líneas:

# Cabecera  X-Frame-Options
Header always append X-Frame-Options SAMEORIGIN

# Cabecera X-Content-Type-Options
Header set X-Content-Type-Options nosniff

# Cabecera X-XSS-Protection
Header set X-XSS-Protection "1; mode=block"

# Cabecera Strict-Transport-Security
Header set Strict-Transport-Security "max-age=10886400; includeSubDomains; preload"

Sin embargo para evitar estar editando el archivo functions.php o el .htaccess y estar pendiente modificarlo cada vez que ocurra una actualización, puedes utilizar el plugin WP-Cabecera HTML que yo desarrolle para implementar todas estas funciones.

Evita el SPAM en los formularios y comentarios

antispam bee alvaro arrarte
El plugin AntiSpam Bee te ayuda a combatir el spam en WordPress

Prevenir el SPAM es otra forma de mejorar la seguridad en WordPress y para ello tienes varias soluciones, ya sea desde agregar de forma manual alguna API de un servicio como el que ofrece Google reCAPTCHA o por medio de algún plugin que te ayude.

Uno de los más conocidos para implementar esta tarea es Askimet, sin embargo a mí me gusta mucho AntiSpam Bee porque es muy efectivo y no necesitas ningún tipo de registro puedes ver este artículo donde te explico cómo evitar el SPAM en WordPress con este plugin.

Deshabilita la función XML-RPC Pingback

La funcionalidad XML-RPC es una interfaz que es utilizada para interactuar con aplicaciones externas, sin embargo por medio de esta función se puede vulnerar la seguridad de WordPress y hacer un ataque de denegación de servicios.

Si utilizas algún plugin de seguridad para WordPress como Ithemes Security, Wordfence o Sucuri Security, ya tienes funcionalidades que te permiten mitigar estos ataques, sino también puedes instalar el plugin Disable XML-RPC Pingback.

Usa algún plugin para la seguridad

Adicionalmente a todas las medidas de seguridad en WordPress que puedas implementar es necesario que tu sitio WEB cuente con algún plugin que te ayude a proteger tu activo digital.

Existen muchos plugins de seguridad WordPress, cada uno cuenta con sus ventajas y desventajas a la hora de utilizarlo, sin embargo cualquiera que elijas será mucho mejor que no tener ninguno, los dos más utilizados son:

Aunque los dos son buenos yo prefiero el Ithemes Security ya que su versión gratuita es muy completa, puedes hacer en solo plugin muchas de las tareas de seguridad de las hablo en este artículo, sin afectar el rendimiento de tu sitio WEB.

iThemes Security te ayuda a establecer muchas tareas de seguridad para WordPress

Sin embargo recuerda que ambos plugins de seguridad en WordPress hacen cambios en tu instalación, por lo que es indispensable que antes de instalarlo hagas un respaldo completo para prevenir cualquier inconveniente.

Realiza auditoria de tu sitio WEB

Es necesario que constantemente estés revisando tu sitio WEB para garantizar que todo esté en orden, así como detectar y corregir a tiempo algún problema de seguridad en WordPress que puedas encontrar.

En Internet puedes conseguir muchas herramientas que te permiten evaluar el estado de tu sitio WEB una que yo utilizo con mucha frecuencia es Securi.net porque es da buena información, es fácil de utilizar y no requiere ningún registro.

Recomendaciones Finales sobre la Seguridad en WordPress

fecha de plugins en wordpress alvaro arrarte
Los temas y plugins con actualizaciones permanentes mejora la seguridad de WordPress

Revisar las fechas de actualización de los temas y los plugins, para verificar que tienen actualizaciones en los últimos 6 meses por lo menos, para asegurarte de que el proyecto no ha sido abandonado por el desarrollador.

Si este fuera el caso lo mejor es que lo cambies por otro plugin o theme que si este activo, ya que los desarrollos abandonados suelen ser puntos vulnerables de la seguridad de WordPress.

Adicionalmente es muy recomendable que tengas un entorno de desarrollo para realizar las pruebas de los plugins y los temas que quieras instalar para no afectar el sitio WEB que tengas en producción.

Estas medidas de seguridad en WordPress no son las mejores, infalibles o las únicas, solo son un conjunto de buenas prácticas para ayudarte a mantener la seguridad de tu WEB, sin embargo la prevención y el sentido común siempre son necesarios.

Si todavía tienes dudas de cómo implementar seguridad en WordPress puedes hacer contacto conmigo y así me cuentes como te puedo ayudar. También si necesitas mantenimiento WEB o cualquier otro de los otros servicios que ofrezco en asesoría y soporte para tu negocio.

Déjame un comentario contándome qué te pareció este artículo y si te ayudo a saber que es la seguridad WEB y cómo proteger los 5 aspectos que la componen.

También si tienes alguna duda, sugerencia, comentario o reclamo en la parte de abajo y así podré contar con tu valioso aporte.

Comparte este contenido

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on email

Deja un comentario

Te informo que los datos de carácter personal que proporciones en este formulario, serán tratados por Alvaro Arrarte como responsable de este sitio WEB. Estos datos son recolectados y tratados para la gestión de los comentarios que realices en este blog.

Legitimación: Si no introduces los datos personales que aparecen como obligatorios, no podrás realizar ningún comentario.  Tus datos serán almacenados en los servidores de WebEmpresa en los Canadá.

Puedes ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@alvaroarrarte.com así como el derecho a presentar una reclamación ante una autoridad de control.