Hoy te traigo unos consejos sobre protección extra para tu WordPress, porque la seguridad de tu web es de vital importancia.
Puedes que te estés preguntando…
¿Por qué hay que añadir medidas de protección extra?
Porque ninguna web, aunque sea nueva, está protegida.
Por ejemplo, nadie te garantiza que un plugin sea 100% seguro, siempre puede tener alguna brecha que los hackers, muy hábiles ellos, aprovecharán para intentar hacerse con el control de tu web y sabotear tu trabajo.
Y ahora te preguntarás…
Resumen de contenido
¿WordPress es inseguro?
Puede ser tan inseguro como tú quieras que sea.
Cuando creas un nuevo dominio, por norma general, el nombre de acceso es admin. Si lo cambias y pones otro nombre de usuario estarás reforzando un poco más la seguridad de tu web.
Por otra parte está el tema de las contraseñas. 123456, tu código postal, tu nombre o cualquier otra única palabra no es una contraseña segura.
También es muy importante mantener actualizada la página web con la última versión de WordPress y por supuesto, tener los plugins a punto.
A continuación te dejo una serie de medidas de protección extra que puedes implementar para reforzar la seguridad de tu página web.
1.- Protección extra con un hosting de calidad
En el mercado existen muchísimas páginas que ofrecen un hosting gratuito.
Pero recuerda que nadie da nada a cambio de nada.
Es por eso que te recomiendo un hosting de calidad, que el dominio sea de tu propiedad, que no tengas que pagar por usar el soporte técnico y que no pongan publicidad sin tu consentimiento.
En mi caso, tengo la web alojada en Webempresa y déjame que te diga que después de probar otros, este es el hosting que recomiendo. Cuando he tenido algún problema me han ayudado de mil amores.
Además ofrecen un soporte 24/7 y las actualizaciones de WordPress se realizan de forma automática.
2.- Instala un certificado de seguridad SSL
Para que Google no se posicione en tu contra y tu web empiece a bajar escalones, desde Webempresa o SiteGround puedes instalar un certificado de seguridad SSL gratuito.
3.- Cambia el nombre del usuario ADMIN
La mayoría de las personas, cuando hacen la instalación de WordPress en su dominio, no se molestan en cambiar el nombre de usuario para acceder al panel de administración.
Lo dejan en admin por defecto.
Los robots que van a intentar hackear tu página, lo primero que hacen es meter admin como nombre de usuario. Y muchas veces aciertan.
Te voy a explicar como puedes hacer este cambio para mejorar la seguridad de tu web.
Puedes cambiar tu nombre de usuario.
Antes de instalar WordPress en tu dominio
Puedes hacer este cambio desde CPanel, en el momento en el que vas a instalar WordPress en tu dominio. En los ajustes que tienes que configurar antes de realizar la instalación, no olvides cambiar el nombre del Usuario Administrador.
Después de instalar WordPress en tu dominio
Acabas de instalar WordPress en tu dominio y se te ha pasado por alto cambiar el nombre de usuario.
No pasa nada, todo tiene solución.
En este caso tienes que ir al panel de herramientas de WordPress y buscar el acceso directo llamado Usuarios.
Cuando entras dentro te salen los usuarios que tienen acceso a esa página web.
En este caso voy a crear un nuevo usuario, usando mi nombre personal.
Le das a Añadir Nuevo.
En el nombre de usuario puedes poner lo que quieras.
Rellena el campo de email.
Para terminar cambia el perfil a Administrador y pincha en el botón Añadir Nuevo Usuario.
Usuarios → Añadir Nuevo → Cambiar Nombre de Usuario y Perfil → Añadir Nuevo Usuario
Tienes que tener algo así:
¡Ahora viene el truco del almendruco!
Cierra sesión del usuario admin y vuelve a entrar con el nuevo usuario que has creado.
Haz click en Usuarios y dale a borrar admin.
Voilà! ¡Así de fácil!
A partir de ahora accederás desde el nuevo usuario que has creado.
Puede darse el caso de que tu página web exista desde hace tiempo y que las entradas o páginas que tengas creadas pertenezcan al anterior usuario.
En este caso, después de darle a borrar, tienes que seleccionar la opción de Atribuir todo el contenido a: el nuevo usuario.
La otra opción sería borrar el contenido, eso depende de tu criterio, pero perderías todo el trabajo que has creado con el usuario admin.
4.- Utiliza una súper contraseña
Tal y como te decía hace un momento, poner una secuencia de números, tu nombre u otras palabras no garantizan la suficiente seguridad a tu página web.
Una contraseña segura sería la que está compuesta por números, letras mayúsculas y minúsculas y caracteres especiales. Algo así como la contraseña del Wifi, aunque más cortita.
Una contraseña fuerte podría ser la siguiente:
Y ahora te preguntarás, ¿cómo se te ha ocurrido generar esa contraseña?
Utilizando un generador de contraseñas online.
Si esto te parece muy difícil de recordar, cosa que lo es, puedes utilizar tu nombre junto con tu fecha de nacimiento o tu edad y algún carácter especial:
Juan-40_Pimiento-1978
Actualización de Súper Contraseñas
Hace poco una lectora del blog me mandó un email en el que me hablaba de una nueva herramienta para la medir la seguridad de las contraseñas. (https://es.safetydetectives.com/password-meter/)
El funcionamiento de esta herramienta es muy sencillo.
Tan solo tienes que meter la contraseña que usas habitualmente y te dice qué nivel de seguridad tiene y cómo puedes mejorarlo.
¡Gracias Alejandra por tu aporte! Espero que toda la comunidad se pueda beneficiar de esta herramienta con la que conseguirán medir el nivel de seguridad de sus contraseñas.
5.- Instala temas y plugins de confianza
No instales temas y plugins pirata. Por ahorrarte unos euros puedes liarla parda.
Lo mejor es que gastes un poquito de dinero en ellos y lo veas como una inversión de futuro. Si tu web empieza a dar sus frutos conseguirás recuperar ese dinero.
Los plugins deben estar actualizados, tener descargas y ser compatibles con tu WordPress.
Puedes comprar temas de confianza en Elegant Themes o en Theme Forest, aunque hay un montón de sitios de calidad.
El tema que utilizo en mi web se llama GeneratePress y es un tema súper ligero y responsive. Permite hacer muchísimas personalizaciones y el precio, comparando con otras plantillas, es bastante asequible.
6.- Actualiza los plugins
Los plugins siempre tienen que estar a la última.
Si no los actualizas, porque te da pereza o porque no te apetece, estarás llamando la atención de los hackers.
¡No dejes de actualizar tus plugins!
Te recomiendo que lo hagas uno a uno, así en caso de que alguno dé error sabrás cuál es.
7.- Actualiza los temas
Lo mismo pasa con los temas. Si no quieres atraer las miradas de los malos, ya sabes lo que tienes que hacer.
¡Actualiza tu tema!
8.- Actualiza la versión de WordPress
Tres cuartos de lo mismo con tu versión de WordPress.
En cuanto veas que hay nueva actualización debes instalarla, así evitarás que tu web sea vulnerable.
9.- No utilices temas y plugins antiguos
Ojo al dato, fíjate siempre cuando se realizó la última actualización. No instales temas o plugins obsoletos, ¡estarías gritando a voces que quieres que te ataquen!
10.- Borra los plugins y temas que no usas
¿Acumulas la basura en tu casa o las sacas al contenedor?
Aquí pasa lo mismo, borra lo que no utilices. Además estarás ahorrando recursos de tu web al no ocupar tanto espacio.
11.- Realiza copias de seguridad
Las copias de seguridad son una de las medidas más importantes, para poder recuperar tu trabajo en caso de que le suceda algo raro a tu web.
El plugin que utilizo y que recomiendo es UpdraftPlus WordPress Backup. Puedes programar copias de seguridad automáticas y decirle que las almacene en Drive o DropBox, entre otros.
12.- Limita los intentos de acceso a tu panel de WordPress
Utiliza el plugin Loginizer para limitar los intentos de acceso a tu panel.
Puedes configurarlo de modo que al tercer intento erróneo, bloquee el acceso durante 15 minutos.
Eso sí, tú IP puedes meterla en la Whitelist, para no bloquearte a ti mismo en caso de que olvides la contraseña.
13.- Evita los ataques de fuerza bruta
Mediante el plugin Admin Block Country podrás bloquear los ataques de fuerza bruta y evitarás que puedan acceder a tu panel desde cualquier otro país.
14.- Instala un plugin antispam
Para evitar los comentarios basura puedes instalar el plugin Anti-Spam.
15.- Crea una cuenta en Google Search Console
Si creas una cuenta de Google Search Console y la vinculas con tu página web podrás obtener información muy valiosa.
Sabrás el estado de indexación, los enlaces entrantes, el tráfico que reciben tus páginas y además, te avisará directamente en caso de que detecte algún virus.
16.- Comprueba si tu web es segura
Para comprobar si tu página es segura puedes utilizar la siguiente web.
Baja hasta encontrar esta sección y mete la URL de tu dominio.
Conclusión final
Con estas 16 medidas básicas de protección extra tendrás tu página web a buen recaudo.
Recuerda que nadie nos libramos de ser atacados, que malos hay por todas partes y que nos pueden hacer mucha pupa.
Por eso, debemos poner un poquito de nuestra parte e implementar todas las medidas posibles para evitar quedarnos sin web.
Y tú, ¿sabes algún truco más para proteger la web?
