Las mejores prácticas de seguridad para WordPress

PHPWordPress

En esta guía veremos cómo aplicar las mejores prácticas de seguridad en WordPress para evitar las vulnerabilidades más habituales de WordPress. No nos confundamos, WordPress es un CMS muy seguro, pero el problema suele estar en los archivos de los temas y plugins creados por terceros.

No utilices admin como nombre de usuario

Evitar el uso de «admin» como nombre de usuario para el administrador. Una vez hayamos decidido el nombre de usuario administrador, debemos usar un alias en la cuenta para que el nombre de usuario no esté expuesto al público. Aún así nuestro nombre de usuario estará expuesto al público mediante la url de autor; por ejemplo: http://tuWeb.com/author/usuario/. Podéis ver aquí cómo ocultar el nombre de usuario en WordPress.

Utiliza contraseñas seguras

Las contraseñas deben ser también seguras, siendo lo más aleatorias posibles y conteniendo letras, números y caracteres especiales. Puedes utilizar la función que genera contraseñas automáticamente en WordPress

Mantén WordPress actualizado

Actualizar siempre WordPress a la última versión y si es posible, activar las actualizaciones automáticas para versiones menores que no suelen suponer ninguna incompatibilidad. Debemos tener también actualizados los temas y plugins que utilicemos.

Oculta la versión de WordPress

Debemos ocultar la versión de WordPress que estamos utilizando. Existes varias cosas que hacer al respecto, y la primera de ellas consiste en eliminar el archivo readme.txt del directorio raíz de WordPress. Sin embargo, además de esto, se recomienda eliminar todas las referencias en el código, para lo cual puedes utilizar el siguiente filtro.

function quitar_version_wp() {
    return "";
}
add_filter('the_generator', 'quitar_version_wp');

Puedes agregar el filtro en el archivo functions.php.

Limitar el número de accesos por IP

Hay que limitar de algún modo el número máximo de intentos de acceso por IP, algo que como decíamos, podemos lograr con algún Plugin como Wordfence SecurityBulletProof SecurityAll In One WP Security Sucuri Security.

Configura los permisos del archivo wp-config.php

Tenemos que dotar de seguridad extra al archivo wp-config.php, ya que es el que puede proporcionar un acceso total a la web.

Desactiva la edición de archivos desde WordPress

Siguiendo con el archivo wp-config.php, debemos agregar la siguiente línea de código para deshabilitar la edición de archivos tanto de temas como de Plugins mediante la interfaz de WordPress:

define( ‘DISALLOW_FILE_EDIT’, true);

Cambia el prefijo de las tablas de WordPress

Es una buena opción cambiar el prefijo de las tablas de WordPress en nuestra base de datos para que sea más complicado modificarlas. Podemos hacerlo siguiendo las instrucciones del enlace anterior o mediante algún plugin.

Crea copias de seguridad

Es muy importante realizar copias de seguridad diarias tanto de nuestros archivos como de nuestra base de datos. Si nuestro panel de Hosting dispone de esta funcionalidad, es lo más recomendable. Podemos utilizar también plugins como VaultPress o BackWPup.

Utiliza conexiones seguras

Por último, es recomendable usar el protocolo seguro SFTP (SSH) cuando nos conectemos mediante FTP a nuestro servidor.

Si aún así logran hackear tu web, aquí puedes encontrar qué hacer cuando tu web con WordPress está hackeada.


Avatar de Edu Lazaro

Edu Lázaro: Ingeniero técnico en informática, actualmente trabajo como desarrollador web y programador de videojuegos.

👋 Hola! Soy Edu, me encanta crear cosas y he redactado esta guía. Si te ha resultado útil, el mayor favor que me podrías hacer es el de compatirla en Twitter 😊

Si quieres conocer mis proyectos, sígueme en Twitter.

Deja una respuesta

“- Hey, Doc. No tenemos suficiente carretera para ir a 140/h km. - ¿Carretera? A donde vamos, no necesitaremos carreteras.”