Seguridad WordPress: Cómo proteger tu sitio web en 2021

Guía completa de Seguridad en Wordpress

La seguridad de WordPress es de suma importancia para todos los Webmasters, ya que se estima que Google cada día añade a su lista negra por malware más de 10,000 sitios web.

Por esta razón deberíamos prestarle mucha atención y aplicar las mejores prácticas durante todo el proceso del desarrollo web. En esta guía compartiré contigo los concejos principales de seguridad de WordPress para que puedas proteger tu sitio web de manera fácil y eficaz.

Base de Seguridad en WordPress

¿Es seguro utilizar WordPress?

Se dice que la cadena es tan fuerte como su eslabón más débil y lo mismo ocurre en el diseño web. La base o el núcleo de WordPress (WordPress Core) es muy seguro y regularmente revisado por cientos de desarrolladores para eliminar/evitar todas las vulnerabilidades posibles. Para minimizar el riesgo como el usuario, deberías cumplir con los siguientes aspectos.

Mantén tu WordPress actualizado

Como ya hemos dicho antes, WordPress es un sistema de gestión de contenido de código abierto que se mantiene y actualiza periódicamente. El usuario solo tiene que hacer la copia de seguridad (por si acaso) e instalar la actualización.

Actualizar WordPress

WordPress también ofrece miles de plantillas y plugins desarrollados por terceros quienes también publican actualizaciones regularmente.
Además, con la versión de WordPress 5.5 y superior ya puedes actualizar tus plugins automáticamente una vez que esté disponible la nueva versión.

Como actualizar plugins wordpress automaticamente

Contraseña segura y permisos de usuario

Los ataques más frecuentes contra los sitios web creados en WordPress son a través de las contraseñas robadas. Para proteger el tuyo, deberías usar siempre las contraseñas fuertes y únicas tanto para entrar al panel de administración como para proteger tu base de datos, accesos de FTP, alojamiento o correo electrónico. ¡Nunca permitas que alguien utilice tus accesos y asegúrate de asignar roles correctos a la hora de crear las cuentas para tus colaboradores!

Para que no tengas que recordar todas las contraseñas, puedes utilizar uno de los gestores de contraseñas gratuitos como PSONO, Bitwarden o Teampass. Además, te recomiendo que habilites la autenticación de dos factores (A2F). Esto protegerá tus cuentas aún después de la infiltración de tus contraseñas.

Cómo proteger tu sitio WordPress en pasos sencillos (sin saber programar / codificar)

Todo el tema de la seguridad Web puede resultar un poco aterradora, pero no te preocupes. En este artículo te enseñaré cómo proteger tu página WordPress paso a paso y no necesitarás el conocimiento técnico.

Crea copias de Seguridad

Bueno, primer paso que deberíamos hacer para proteger nuestro sitio web es crear una copia de seguridad. Esta será de gran ayuda en el futuro en el caso de que necesitemos restaurar nuestra página por completo.

Afortunadamente, existen varios plugins que crean copias de seguridad regularmente tanto en alojamiento como en los almacenamientos en la nube (Google Drive, OneDrive o DropBox).

Estos son los mejores plugins para crear copias de seguridad gratis en WordPress:

  • UpdraftPlus WordPress Backup Plugin
  • BackWPup – WordPress Backup Plugin
  • VaultPress
  • Backup Guard – WordPress Backup and Migrate Plugin

Mejor plugin de seguridad de WordPRess

Después de crear una copia de seguridad, como el siguiente paso deberíamos instalar y configurar un plugin que nos ayude a realizar la auditoría, monitoreo y proteger nuestro sitio web de los ataques y vulnerabilidades más frecuentes.

Hoy en día, existen varios plugins muy potentes tanto gratuitos como de pago. Los plugins de seguridad más utilizados son:

A mí personalmente me gusta el plugin All In One WP Security & Firewall, ya que es una solución muy completa, estable, periódicamente actualizada y además es totalmente gratis.
Con el plugin puedes:

  • Crear copias de seguridad (Base de datos, .htaccess, wp-config.php)
  • Verificar los ajustes de la cuenta del usuario (verificar el nombre visible, fuerza de contraseña)
  • Proteger tu sitio web contra loas ataques de fuerza bruta
  • Evitar el SPAM
  • Cambiar el prefijo de tu Base de datos
  • Proteger los archivos
  • Activar el Firewall y mucho más

Activa la verificación de dos pasos

Otra capa de seguridad que podemos agregar a nuestra página WordPress es la autenticación en 2 pasos. Para que el usuario pueda entrar al panel de administración, después de iniciar sesión tiene que identificarse a través de una aplicación externa.

Esta funcionalidad la puedes conocer tanto de las Redes Sociales Facebook, Twitter o TikTok como de tu cuenta Google.

Para habilitar la autenticación de 2 pasos instalaremos el plugin Two Factor Authentication en nuestro sitio web y la aplicación Google Authenticator a nuestro móvil (funciona tanto para Android como para IOS).

Abre la página de ajustes del Plugin TWA y escaneamos el código QR con la aplicación Google Authentication.

Por último, activamos identificación en dos factores como en la imagen adjunta. Y listo.

como activar Autenticacion de dos pasos

Habilita el Firewall (WAF)

La forma más eficiente y eficaz de proteger tu sitio web es utilizando un Firewall. Este evita y bloquea todo el tráfico malicioso y ataques incluso antes de que llegue a tu página web.

Existen 2 tipos principales de Firewall:

  • DNS Firewall – Este tipo de Firewall enruta el tráfico de tu sitio web en la nube mediante sus servidores proxy. Es más eficaz y puedes habilitarlo, por ejemplo, en Cloudflare.
  • Web Application Firewall (WAF) – Es menos eficiente, ya que el tráfico se examina una vez llegue a tu sitio web, pero lo puedes habilitar fácilmente con el plugin en All In One WP Security & Firewall.

Utiliza el Certificado SSL/TLS – Https

SSL o Secure Sockets Layer es el protocolo que encripta la transferencia de datos entre el sitio web y el navegador del usuario para proteger la información confidencial. El protócolo TLS (Transport Layer Security) es básicamente la versión actualizada y más segura de SSL.

Actualmente, casi todas las empresas de alojamiento web ya incluyen un certificado SSL con sus servicios. En caso contrario, puedes adquirir uno de pago cuyo coste puede variar alrededor de 30€ al año o instalar uno gratuito de Let’s Encrypt o Cloudflare.

Además, Google se toma la seguridad en Internet muy en serio y en 2014 anunció que el protocolo HTTPS considerará uno de los factores de posicionamiento.