Ser pirateado es un asco. Pero sucede. Especialmente si no tomas las precauciones adecuadas para protegerte. Hoy comparto 5 grandes errores de seguridad de WordPress que podrías estar cometiendo y no lo sabes. También te contaré como solucionarlos.
WordPress es un CMS increíblemente popular. Más del 20% de todos los sitios web usan WordPress. Dado que una gran parte de los sitios de Internet dependen de WordPress, tienden a ser objetivos más fáciles para los piratas informáticos que otras plataformas.
Afortunadamente, mantener WordPress seguro no es tan difícil como puede parecer. Simplemente requiere algunos ajustes básicos para su configuración actual. La mayor parte de las veces son los propios usuarios los que se ponen en riesgo sin saberlo. Una seria de hábitos aparentemente inocentes podrían estar haciendo que tu WordPress sea vulnerable a los piratas informáticos. Pero si tomas las precauciones adecuadas, tu sitio estará protegido.
1. Usar «admin» como tu nombre de usuario
Las primeras versiones de WordPress utilizaban un usuario predeterminado llamado «admin». Esto significa que casi todos los sitios de WordPress en el planeta tenían un usuario administrador llamado «admin».
Esto creó grandes problemas de seguridad. Si un hacker quería entrar, todo lo que tenía que hacer era probar el nombre de usuario «admin» con varias combinaciones de contraseñas. Si además automatizan este proceso, podían probar cientos de contraseñas por minuto hasta que encontraran una combinación que funcionaba. Esto se llama ataque de fuerza bruta.
WordPress ha ido cambiando a lo largo de los años y ya no obliga a los usuarios a crear el usuario «admin». Ahora puedes nombrar a tu usuario principal como quieras. Pero existen miles de sitios de WordPress creados antes de que se produjera este cambio, por lo que sigue siendo el primer nombre de usuario que los hackers intentarán.
Si todavía tienes un usuario llamado «admin» en su sitio de WordPress, es hora de deshacerse de él.
A la hora de seleccionar un nuevo nombre de usuario te recomiendo que evites todos los nombres de usuario obvios. Cosas como webmaster, el nombre de tu sitio y tu propio nombre pueden adivinarse fácilmente.
CÓMO ELIMINAR EL USUARIO ADMIN
- Ves al apartado a Usuarios > Agregar nuevo en el menú principal del administrador de WordPress y crea un nuevo usuario. Dale el rol en administrador.
- Inica sesión con ese nuevo usuario.
- Ves a Usuarios y elimina el usuario «admin».
WordPress te preguntará si deseas eliminar el contenido del usuario que estas eliminando o si quieres asignarlo a un usuario diferente. Elige reasignar todo el contenido a su nuevo usuario para evitar perder algo durante este proceso.
2. Usar contraseñas débiles
Es curioso, pero aunque todos sabemos que las contraseñas débiles son una amenaza para la seguridad, por alguna razón, todos seguimos usándolas. Es hora de parar de hacer esto.
El uso de contraseñas seguras es una de las maneras más fáciles de mantener tu sitio web seguro. WordPress tiene un generador de contraseñas integrado que te ofrecerá una contraseña segura. Todo lo que tienes que hacer es hacer clic en un botón.
Si aún así insistes en crear tu propia contraseña, WordPress sugiere evitar lo siguiente:
- Variaciones de tu nombre, nombre de usuario, nombre comercial o nombre de tu sitio web
- Palabras del diccionario
- Contraseñas cortas
- Contraseñas que son numéricas o alfabéticas únicamente: una combinación de letras y números es la mejor opción
CÓMO ACTUALIZAR TU CONTRASEÑA
- Ves al apartado a Usuarios > Agregar nuevo en el menú principal del administrador de WordPress.
- En el listado de usuarios, haz clic en tu nombre de usuario. Entrarás en tu perfil de usuario.
- Desplázate hacia abajo a la sección llamada Gestión de la cuenta.
- Si quieres generarla de forma automática, haz clic en el botón que Generar contraseña. Esto generará una contraseña de forma automática. En caso contrario, escribe la contraseña seleccionada.
- Asegúrate de guardar esa contraseña. ¡Copia esa contraseña en un lugar seguro!
- Desplázate hasta la parte inferior de la página y haz clic en Actualizar perfil.
3. No realizar actualizaciones
Este es uno de los puntos más importantes: SIEMPRE debes de tener WordPress actualizado. Y no solo actualizaciones del núcleo de WordPress. Tambiñén las actualizaciones de plugins y plantillas son importantes.
La actualizaciones de WordPress que se lanzan periódicamente sirven para corregir errores existentes y problemas de seguridad que se van detectando. Por lo que, instalar las actualizaciones tal y como se publican es una gran medida de seguridad.
Pero…¿te da miedo actualizar tu sitio web? ¿crees que va a dejar de funcionar? Bueno, hay de que decir que sí es verdad que en algunos casos puede pasar. Se puede descuadrar el diseño o que algún plugin deje de funcionar. Por eso debemos hacer una copia de seguridad antes de realizar cualquier cambio o actualización. Sin embargo, el 99% de las actualizaciones no dan ningún problema.
ACTUALIZACIONES AUTOMÁTICAS DE WORDPRESS
Una vez más, WordPress hace nuestras vidas más fáciles. Hace un par de años, WordPress introdujo las actualizaciones automáticas. Esto es que, cuando sea posible, las actualizaciones de WordPress se realizarán automáticamente. Tu sitio web incluso le enviará un correo electrónico para informarte de que se actualizó.
Lo malo de estas actualizaciones automáticas es que solo están habilitadas para actualizaciones menores. Así que de todas formas, tendrás que instalar las actualizaciones principales tu mismo, así como las actualizaciones de plugins y plantillas.
4. Mantener los plugins, temas y usuarios que ya no utilizamos
Deshazte de todos los plugins, temas y usuarios que no estés utilizando. Mantener todo esto no solo afecta al rendimiento de tu sitio, haciendo que cargue más lento. Si no que también afecta a su seguridad. Cada usuario, plugin o tema adicional es otro portal para ataques de hakers.
SI NO LO NECESITAS, BÓRRALO
Te recomiendo que hagas una limpieza a fondo al menos una vez al año. Esto ayudará a tener tu sitio ordenado y funcionando sin problemas:
- Revisa tus Usuarios. Elimina todas las cuentas que ya no usas. Simplemente recuerda asignar el contenido de ese usuario a un usuario diferente para que no se elimine.
- Echa un vistazo a tus plugins, ¿Alguno de ellos está desactivado? Eliminalos.
- Ves a Apariencia> Temas. Realiza la misma operación y elimina todos los temas que no están activos.
5. No prestar atención a los comentarios
Los comentarios de WordPress pueden ser un dolor de cabeza debido a la gran cantidad de spam que puedes recibir. Aún así, debes administrarlos bien para que no se conviertan en todo punto de entrada para pirateos:
- Elimina TODOS los comentarios de correo no deseado y basura. Debes borrar tus comentarios de spam y basura una vez por semana. Esto también te ayudará a optimizar tu base de datos.
Instala el plugin Akismet
Todo sitio web de WordPress debe tener instalado AKISMET. Es, de lejos, la mejor herramienta para comentarios de spam en WordPress.
Akismet reduce significativamente los comentarios no deseados, lo que facilita la administración de sus comentarios. También bloquea a los comentaristas de spam.
6. No instalar un plugin de seguridad
Incluso si has tenido encuenta las medidas de seguridad anteriores, todavía puedes ser víctima de un pirateo. Por eso es bueno tener instalado un plugin de seguridad de WordPress.
Un buen plugin de seguridad proporcionará medidas preventivas adicionales para mantener tu sitio seguro. También controlará tu sitio web y dará la alerta cuando las cosas vayan mal.
INSTALE EL PLUGIN WORDFENCE
Wordfence Security – Firewall & Malware Scan es el plugin más popular de seguridad para WordPress y uno de mis favoritos junto con Sucuri.
Wordfence ha sido descargado mas de 2 millones de veces y tiene una calificación de 4.8 estrellas. Por lo qeu podemos decir que es bastante fiable.
Además, cuenta con excelentes funciones de seguridad para mantener tu sitio bloqueado.
¿Te han parecido útiles estas advertencias? ¿Tienes algún otro truco para mantener seguro tu WordPress? ¡Compártelo abajo!
Un comentario en “6 errores de seguridad de WordPress que te hacen vulnerable”