La mayor parte de los emprendedores creen que los ataques online son únicamente contra multinacionales o grandes compañías, pero eso nada tiene que ver con la realidad.
Una de las partes fundamentales de un negocio online hoy en día, da igual el tamaño que tenga, es la seguridad.
Si está desarrollado sobre un gestor de contenido como es WordPress, tienes una ligera ventaja, ya que hay gran cantidad de herramientas para mantener tu sitio libre de ataques o fugas de seguridad.
A lo largo de este artículo voy a darte una serie de consejos que es muy recomendable aplicar.
¡Vamos con ello!
¿Por qué es necesario proteger tu negocio online?
Actualmente millones de sitios web son atacados todos los días de diversas formas aprovechando sus vulnerabilidades y agujeros de seguridad.
Esa es la última cosa que queremos que nos suceda después de invertir cientos de horas en desarrollar nuestros sitios web, promocionarlos y mantenerlos actualizados.
Acciones para mantener seguro nuestro sitio de WordPress
En concreto, los sitios desarrollados con WordPress podemos decir que son bastante seguros, sin embargo, hay varias acciones que debemos tener en cuenta y que podemos realizar en relativamente poco tiempo.
Veamos las más importantes:
Mantén siempre actualizado tu sitio
La recomendación más importante que puedo darte para mantener WordPress seguro es tenerlo actualizado a la última versión.
Las versiones obsoletas van acumulando fugas de seguridad que pueden ser aprovechadas por hackers para entrar en la plataforma y manipularla a su antojo.
Esto es válido no sólo para el gestor de contenido, sino que tener los plugins instalados al día es igual o más de importante. Ten en cuenta que en muchos casos los plugins están desarrollados por entidades o personas que en un determinado momento dejan de actualizarlos para siempre, lo que puede ser aprovechado como puerta de entrada a tu negocio online.
Borra los temas y plugins que no utilices
Es normal que a lo largo de la vida de un sitio web vayamos cambiando de tema cada cierto tiempo, de forma que vamos instalando nuevos temas y dejando los antiguos como inactivos.
Esto es otra importante brecha de seguridad que debes solucionar, por lo que debes eliminar todos los temas que no estés usando.
NOTA: Cada cierto tiempo, junto con las actualizaciones de WordPress, se van instalando sin que nosotros lo sepamos las plantillas por defecto (por ejemplo, la plantilla Twenty Twelve) que también deberemos eliminar.
Igual ocurre con los plugins, siempre debes tener instalados sólo los que estés utilizando. Esto reduce las vulnerabilidades de WordPress y mejora la velocidad de tu sitio.
Descarga los plugins de sitios oficiales
Esta recomendación es muy básica pero muchos negocios pequeños o que están comenzando no lo hacen.
En muchas ocasiones, debido que los encontramos gratis o a un menor precio de sitios poco fiables, los descargamos sin pensar en que pueden contener malware. De hecho, la gran mayoría lo tiene.
Por eso te aconsejo que los descargues del repositorio oficial de WordPress o de sitios que sepas que son realmente seguros.
Si no estás cumpliendo con esta premisa, ve a tu negocio online hecho con WordPress y desinstala todos aquellos plugins que no sepas a ciencia cierta si ha sido descargados de lugares oficiales.
Utiliza sólo contraseñas seguras y diferentes
Parece un consejo con poco valor, pero te sorprenderías el número de personas que me he encontrado a lo largo de todo este tiempo que utilizan la misma contraseña para todo, absolutamente TODO y que son inseguras.
Una contraseña debe tener letras mayúsculas y minúsculas, números y caracteres especiales. Además, cuanta mayor longitud mucho mejor.
Actualmente existen muchísimos softwares que utilizan ataques por fuerza bruta y que son capaces de probar miles de contraseñas por minuto, lo que hace cada vez más sencillo averiguar la clave de un sitio en Internet.
Además, es una buena práctica no tener las claves en el ordenador, el teléfono móvil o cachearlas en el navegador de Internet.
Cambia el usuario con el que entras a WordPress
Cuando instalamos WordPress por primera vez, el usuario por defecto que nos sugiere es “admin” y la mayoría de personas no lo cambian.
Esto hace que los intentos de acceso por fuerza bruta sean mucho más sencillos, ya que el hacker sólo tiene que averiguar tu password, pues el usuario es el que viene asignado por WordPress.
En su lugar puedes poner el nombre que quieras, pero al igual que con las contraseñas, cuanto más difícil sea mucho mejor.
Realiza copias de seguridad
Si en algún momento sufres un ataque que no puedes solucionar, siempre es posible volver a tu versión anterior de tu negocio gracias a las copias de seguridad.
Algunos proveedores de alojamiento web ya hacen backups automáticos (en ocasiones con planes de pago) pero siempre es buena idea hacerlo también nosotros mismos.
Es muy importante almacenar estas copias de seguridad en lugares externos y ajenos a nuestro hosting, como por ejemplo en un disco duro físico o en sistemas de almacenamiento en la nube como Dropbox o el cada vez más popular Amazon S3.
Hay muchos plugins que hacen realizan estas copias de forma periódica y simple, pero el mejor bajo mi punto de vista es UpdraftPlus. Tiene una versión de pago muy completa, pero la gratuita es más que suficiente.
- ¿Cada cuanto tiempo hay que hacer estas copias?
Cuantos más cambios hagas en tu sitio con mayor regularidad tendrás que hacerlas. No es lo mismo un sitio web estático que un blog en el que escribes todos los días.
Por ejemplo, en mi sitio web Tecnobeta.net hago backups cada semana.
- ¿Cuándo hacer las copias de seguridad?
Además de programarlas de forma automática también es recomendables hacerlas antes de cambios críticos en tu negocio online.
Antes de acciones como actualizaciones de plugins, cambios en la base de datos o cambios en el diseño de la web.
Oculta la versión de WordPress
La versión de WordPress va cambiando cada cierto tiempo y es un dato que es mejor ocultar al exterior. Cada una de ellas tiene sus vulnerabilidades, lo que facilita el hackeo del sistema.
Esto es algo que los hackers son capaces de aprovechar para encontrar fallos de seguridad con los que poder entrar y realizar toda una serie de actos que te pueden perjudicar enormemente.
Para solucionarlo debes tocar el código de tu tema, pero es muy sencillo.
Dentro del backend de WordPress debes ir a Apariencia -> Editor de Temas y seleccionar el archivo functions.php.
Ve al final del texto y añade la siguiente línea de código:
remove_action(‘wp_head’, ‘wp_generator’);
Dale a guardar y ya tienes tu versión de WordPress oculta de miradas indiscretas.
Utiliza CloudFlare
Cloudflare es un proxy inverso que mejora tanto la velocidad como la seguridad de tu negocio online.
Lo mejor de todo es que no tienes que pagar nada pues su plan gratuito es más que suficiente.
Además de ofrecer al usuario un buen sistema de cacheado de recursos, también tiene medidas que aumentarán la seguridad.
Por ejemplo:
- Es capaz de bloquear IPs sospechosas de atacar tu web
- Mantiene online en todo momento tu sitio, aunque tenga caídas en tu servidor de hosting
- Mejora el rendimiento de la CPU de tu hosting, pues al funcionar como un CDN realiza menos llamadas a la base de datos.
Si quieres características más avanzadas siempre puedes optar por uno de sus planes de pago.
Protege el archivo de configuración de WordPress
En el directorio raíz de tu instalación WoprdPress que hay en tu alojamiento web siempre hay un fichero llamado wp-config.php con información importante y comprometida.
En él hay datos sobre la base de datos que debemos mantener ocultas, de modo que no pueda ser consultado ni modificado desde el exterior.
Para hacer esto posible debes cambiar los permisos de este archivo. Dirígete al archivo .htaccess y añade las siguientes líneas:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Protege el archivo .htaccess
Si en el apartado anterior te he comentado la importancia de proteger el archivo wp-config.php, el .htaccess es igual o más importante.
Es un fichero que tienen todos los servidores Apache que ejecuta una serie de reglas programadas a todo nuestro sitio web.
Para mantener bien protegido este documento debes incluir el siguiente código al final de todo:
<files .htaccess>
order allow,deny
deny from all
</files>
Instala un plugin de seguridad como Wordfence
Wordfence es una suite de seguridad con gran cantidad de funcionalidades que protegen nuestro sitio web. Tiene una versión gratuita y otra más completa de pago.
Entre las características más destacadas están:
- Su sistema de protección contra ataque de fuerza bruta
- Bloqueo de IPs, usuarios de ciertos países o incluso usuarios que entren en nuestro sitio con cierto navegador
- Tiene un firewall que bloquea toda actividad sospechosa
- Con su escáner podemos analizar y detectar si existen problemas de seguridad en nuestro negocio online
