A la hora de optar por un CMS para realizar una Web, muchos usuarios se preguntan: ¿Es WordPress Seguro?.
La respuesta mayormente es «SI», pero cuando los usuarios no realizan las prácticas correctas de seguridad en WordPress, este se puede transformar en vulnerable y, por ende, en una plataforma poco segura.
¿Qué prácticas se realizan para lograr un WordPress Seguro?
Entre otras cosas, el uso de WordPress y sus plugins sin actualizaciones, una mala política de administración de credenciales, etc., mantienen a los piratas informáticos al acecho.
Una web hackeada es un serio dolor de cabeza, pero siguiendo las prácticas adecuadas se puede lograr un WordPress seguro.
Consejos para un WordPress Seguro
- Web Hosting Seguro: Debemos alojar WordPress en un entorno seguro, de otro modo será un peligro constante. Lo recomendable es un servicio especialmente diseñado para WordPress, con buena estabilidad y velocidad, además de incluir un Certificado SSL para evitar que el sitio se visualice como inseguro. (Ver planes de Hosting WordPress).
- Actualizaciones: Un sitio desactualizado, es un sitio vulnerable. Las actualizaciones están para corregir errores de seguridad encontrados en versiones anteriores, por lo cual, es muy importante que no queden pendientes. RECOMENDACIÓN: Realizar un backup antes de cualquier actualización.
- Última versión PHP: Utilizando una versión inferior se expone a la web a vulnerabilidades de seguridad sin parches. PHP es una parte fundamental de un sitio WordPress, por eso utilizar su última versión es muy importante.
- Themes y Plugins: Además de mantener actualizado el CMS propiamente dicho, para endurecer la seguridad, es necesario utilizar siempre la última versión de la plantilla y los plugins utilizados para el funcionamiento del sitio. Además, se recomienda instalar plugins de sitios de reputación y confianza.
- Usar HTTPS: Permite que los navegadores se conecten de manera segura con la Web. Si bien se cree que el uso de un SSL es importante únicamente en el comercio electrónico, esto no es así. Además de brindar confianza y credibilidad a los usuarios visitantes, HTTPS es un factor de clasificación en el posicionamiento SEO.
- Contraseñas: Si no hay un límite de intentos fallidos de login, se puede llegar a adivinar una contraseña haciendo prueba y error. Lo recomendado es utilizar contraseñas complejas, mejor si tienen combinación de mayúsculas, minúsculas, números y símbolos. Otra opción es utilizar un plugin de acceso de verificación en 2 pasos, que además del usuario y clave, solicita un código que se envíe al dispositivo móvil de preferencia.
- Bloquear el Admin de WordPress: Por defecto, la URL de acceso al panel de control de WordPress es dominio.com/wp-admin (reemplazando dominio.com por el nombre original de su dominio). Bloqueando el área de login al panel de administración del sitio se fortalece la seguridad haciendo más difícil a un hacker encontrar puertas por las que pueda atacar la web.
Plugins de Seguridad
Si a pesar de realizar el mayor esfuerzo en las configuraciones de seguridad de WordPress un sitio web es comprometido, podremos solucionarlo de manera gratuita utilizando algunos plugins (SecuPress, iThemes Security, Sucuri Security, entre otros.) con las siguientes características:
- Autenticación en 2 pasos.
- Generación de reCAPTCHAs
- Lista blanca y negra de IPs
- Análisis de Malware
- Logs de actividad de usuario
- Supervisión de cambios de DNS
- Bloqueos de redes maliciosas
- Ver WHOIS de los visitantes
En conclusión, existen muchas formas de hacer un sitio web desarrollado en WordPress seguro, gestionando unas cuentas configuraciones. Es importante implementar estas prácticas para que el sitio WordPress este activo y funcionando de manera óptima y segura.