8 Tips para mejorar la seguridad de tu Wordpress - Flat 101
HomeBlogDesarrollo8 Tips para mejorar la seguridad de tu WordPress
Blog

8 Tips para mejorar la seguridad de tu WordPress

WordPress es un sistema de gestión de contenidos (CMS) que nos permite crear y mantener un sitio web. Cuenta con una gran experiencia y dispone de multitud de plantillas y plugins que aumentan el nivel de personalización.  Como todos los CMS, cuentan con una serie de…

Iván San Román
Por Iván San Román
15 Sep 2021
6 minutos

WordPress es un sistema de gestión de contenidos (CMS) que nos permite crear y mantener un sitio web. Cuenta con una gran experiencia y dispone de multitud de plantillas y plugins que aumentan el nivel de personalización. 

Como todos los CMS, cuentan con una serie de parámetros relacionados con la seguridad del sitio. Estos parámetros no son suficientemente seguros en su estado predeterminado y han de ser modificados con el fin de prevenir cualquier tipo de ataque informático.

A continuación, pasamos a detallaros 8 apartados que en Flat 101 cuidamos y tenemos en cuenta para tener las mejores páginas web y sobre todo, las más seguras.

 1. Cambiar el usuario administrador que viene por defecto

Durante el proceso de instalación de WordPress debes decidir el nombre de usuario. A este usuario se le otorgaran por defecto todos los permisos, es por eso que tendrás que tener un especial cuidado a la hora de elegirlo. En un principio se te ofrece un usuario por defecto que no debes utilizar. Para mayor seguridad, tienes que escoger un nombre de usuario propio y que por supuesto no sea genérico (admin, Admin, root, user).

Un modelo de nombre para utilizar en tu sitio web es el nombre de tu empresa + los 4 últimos dígitos del CIF (por ejemplo: FLAT101_1234).

2. Utilizar una contraseña fuerte

La mayoría de personas tiene dificultad a la hora de recordar todas las contraseñas que se deben tener presentes en el día a día. Por ello utilizan contraseñas tan simples como “123456” o “0000”. Estas contraseñas son fáciles de recordar, pero también son fáciles de adivinar.

Esto supone un gran riesgo para la seguridad de nuestro sitios, por eso, desde Flat 101 te recomendamos que configures tu contraseña con caracteres especiales, una extensión de entre 8 y 12 caracteres, valores alfanuméricos y mayúsculas y minúsculas utilizadas de manera alternativa. Esto será muy útil de cara  a crear una contraseña robusta y difícil de hackear.

Un ejemplo de contraseña segura sería “F+l+a_T<101”.

Seguridad Web

3. Cambiar la URL del panel de administración

Una medida que casi nadie utiliza es cambiar la dirección para acceder al panel de administración. Por defecto, WordPress tiene la conocidísima URL compuesta por la dirección del hosting/wp-admin.

En caso de modificar esta dirección conseguiremos que, si intentan acceder a nuestro sitio web -ya sea a través de bots o probando distintas direcciones- sea casi imposible que den con la dirección correcta. Esto supondrá una mejora notable de la seguridad del sitio.

4. Actualizar a las últimas versiones tanto de WordPress como de los plugings que se hayan instalado

Esto es importante, ya que en cada actualización se implementan mejoras de seguridad por parte del desarrollador. Esto dificulta la entrada de softwares maliciosos al panel de WordPress.

5. Realizar copias de seguridad

Si realmente te importa la seguridad de tu sitio web, debes de tener siempre una copia de seguridad de tu base de datos. Esto no impedirá que te hackeen, no obstante conseguirás reponer tu sitio web en cuestión de minutos de una forma rápida y sencilla, poniendo a disposición de los usuarios la misma información que había en la web antes de sufrir el ataque a tus servidores.

6. Cambiar el prefijo de las tablas de base de datos

La base de datos es la parte fundamental de un sitio web y por tanto es muy importante protegerla, no solo realizando copias de seguridad para poder reponerla en caso de que fuera necesario, sino también cambiando el prefijo de las tablas para impedir que posibles atacantes puedan obtener los datos que contienen.

  • Servicio de base de datos: hace que el acceso a la base de datos solo sea posible desde el servidor o instancia donde este el WordPress instalado (no abierto).
  • Usuario de base de datos: permite que “wp-config” no sea root, sino uno solo con acceso al esquema del WordPress.

7. Banear a los posibles hackers

Para mantener la seguridad en tu sitio web basado en WordPress te recomendamos instalar un sistema que cuente los intentos para hacer login en la pagina “wp_login.php”.

En caso de detectar un elevado numero de inicios de sesión desde la misma IP, sería recomendable banear esa dirección, ya sea por tiempo limitado (30 minutos, 50 minutos, 1 hora…) o de forma permanente.

Así evitaremos que un bot pueda adivinar el usuario y la contraseña mediante un abecedary or dictionary attack. Estos ataques consisten en intentar descifrar usuarios y contraseñas probando con numerosos intentos y basando estos en palabras de un diccionario de claves o contraseñas anteriormente utilizadas que hayan podido obtener en ataques anteriores.

8. Content Security Policy (CSP)

Consiste en agregar a la página web una cabecera HTTP y darle unos valores concretos para controlar los recursos que el usuario puede cargar para esa página. Sirven como una capa de seguridad adicional que contribuye a prevenir y reducir ciertos ataques como los Cross Site Scripting (XSS) y la inyección de datos.

El Cross Site Scripting consiste en ejecutar scripts maliciosos en el navegador, ya que dicho navegador confía en la fuente del contenido aun cuando este no proviene de donde se supone que debería provenir. añadir la cabecera hará que intentar el XSS no sea tan fácil para el hacker que intente realizarlo. También sirve para reducir los ataques de inyección de datos, los cuales consisten en insertar código propio en un sitio web para acceder a datos protegidos del sitio web al que se ataca.

Al implementar las cabeceras es recomendable separar dichas reglas entre el frontend y el backend, incluyendo la página de login.

Para trabajar con las cabeceras, WordPress nos ofrece un filtro (wp_headers) y la acción de poder enviarlas (send_headers), si lo que queremos es que funcione en todas las páginas (tanto en frontend como en el backend), lo que debemos usar es la función de PHP header() desde dentro del hook WordPress init.

 

Sigue leyendo sobre Desarrollo
  • React Native: Desarrollo eficiente e innovador de apps móviles
  • Qué es el Quality Assurance y qué papel juega el QA en los negocios digitales
  • Estas son las plantillas y novedades de las actualizaciones de WordPress
  • API RESTful en WordPress
  • La calidad como piedra angular del ciclo de vida del software

    Deja un comentario

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Últimos artículos publicados
    Blog
    4 min
    Del “Efecto 2000” al “Apocalipsis de Cookies” de 2024
    Por Macarena González
    6 febrero, 2024
    E-commerce
    8 min
    El ratio de aceptación de cookies también se puede medir
    Por Sofía Pauls
    23 enero, 2024
    Diseño - UX
    8 min
    ¿Cómo aprovechar las capacidades del eye-tracking para mejorar las experiencias digitales?
    Por Sofía Pauls
    16 enero, 2024
    Diseño - UX
    8 min
    ¿A quién prefieren los españoles, a Papá Noel o a los Reyes Magos?
    Por Sofía Pauls
    19 diciembre, 2023
    SEO
    8 min
    Buyer persona: ¿Qué es y por qué deberías aplicarlo en una estrategia SEO?
    Por Francisco Del Campo
    5 diciembre, 2023
    Conversión - CRO
    5 min
    Cómo definir modelos RFM para segmentar tu base de datos y optimizar tus campañas este Black Friday
    Por Elisa Blasco
    20 noviembre, 2023
    Ir al blog

    Si necesitas especialistas para desarrollar o mejorar tu negocio digital, podemos ayudarte

    • Los datos que nos faciliten el usuario a través este formulario se incorporarán a tratamientos cuyo responsable es FLAT 101 S.L. con CIF B99393613 y domicilio social en Avda. Maria Zambrano, nº 31, Edif. WTCZ, Torre Oeste, 12D, 50018 de Zaragoza. Puede contactar llamando al 976419856 o a través del correo electrónico info@flat101.es. La finalidad de recogida de datos en este formulario es poder contestar las consultas planteadas y enviar al usuario la información solicitada a través del correo electrónico o teléfono indicados en el formulario. Solo se realizan cesiones si existe una obligación legal. Reservados sus derechos a acceder, rectificar y suprimir, así como otros derechos, como se indica en la Política de Privacidad.