11 pasos para mejorar la seguridad de WordPress y proteger tu sitio web

Última actualización :
author kinese
Escrito por Kinese

Apasionado por el SEO y WordPress, quiero compartir mis conocimientos y especialmente el tema GeneratePress. Si necesitas ayuda, puedes ponerte en contacto conmigo.

como mejorar la seguridad de una pagina web wordpress

Después de haber configurado los ajustes básicos de WordPress, tienes que tomar en cuenta la seguridad de tu sitio web.

Si quieres proteger tu sitio de WordPress, pero no eres un experto en seguridad informática, entonces este artículo es para ti.

La creación de un sitio web requiere una inversión de tiempo, energía y recursos. Nadie quiere volver a empezar de cero como consecuencia de un ataque cibernético o por un virus o malware.

WordPress es el sistema de gestión de contenidos (CMS) más utilizado en el mundo. Desafortunadamente, debido a su popularidad, también es el objetivo de muchos hackers. Esto es confirmado en un informe de Sucuri (página 4), una compañía especializada en seguridad web, que muestra que el 90% de los sitios web hackeados utilizan un CMS que funciona con WordPress.

Aunque el software de WordPress es muy seguro y es auditado y actualizado regularmente por cientos de desarrolladores, hay mucho que hacer para garantizar la seguridad de tu sitio. Con unas pocas y simples acciones, puedes aumentar significativamente la seguridad de tu sitio de WordPress.

¿Por qué es importante la seguridad de tu sitio web?

Tu sitio de WordPress hackeado puede dañar gravemente la reputación de tu negocio. De hecho, los hackers pueden robar la información de los usuarios registrados, o instalar software malicioso.

Peor aún, puede que te encuentres pagando a los hackers sólo para recuperar el acceso a tu sitio.

Incluso cuando se elige el mejor alojamiento web, es recomendable tomar un mínimo de precauciones para proteger la parte que administras: tu propio sitio web.

En este artículo te doy algunos pasos simples que puedes implementar para proteger tu página web.

Tabla de Contenidos

1 – Empieza protegiendo tu computador

seguridad de tu computador contra virus y malware

First thing first como se dice en inglés.

Proteger tu computador de virus y programa malicioso (malware) es el primer paso para evitar el riesgo de hackear tu sitio de WordPress.

Si un hacker logra infectar el equipo en el que accedes a tu panel de administración de WordPress, puede fácilmente ingresar en tu sitio web.

Por lo tanto, es importante seguir las precauciones básicas de seguridad para evitar los virus y los malware:

  • Instala un buen software antivirus y antimalware y manténgalo actualizado.
  • Activa y configura correctamente el Firewall de Windows.

No te conectes a tu sitio de WordPress a través de una red wifi pública o una conexión no segura a menos que estés usando una VPN.

2 – Elegir un buen proveedor de alojamiento web

seguridad del proveedor de alojamiento para wordpress

Según un estudio realizado por WP White Security, el 41% de los hackeos de sitios web se debe a una vulnerabilidad a nivel del hosting de la web. De hecho, nunca podrás estar seguro de la seguridad de tu WordPress si tu hosting tiene fallas en esta área.

La importancia de la seguridad por parte de tu proveedor

Tu proveedor de alojamiento tiene uno de los papeles más importantes en la seguridad de tu sitio de WordPress. Un buen hosting debe tomar medidas adicionales para proteger tu sitio de las amenazas comunes.

Por esta razón, los servidores que alojan tu WordPress deben ser actualizados regularmente con los últimos sistemas operativos.

Además, la red de tu proveedor de alojamiento debe estar equipada con firewalls bien configurados para proteger tus servidores.

Desafortunadamente, incluso con medidas de seguridad, tu sitio a veces puede ser víctima de hacking dirigido a tu hosting, o a otro sitio (si estás en un servidor compartido).

Lo que necesitas comprobar con tu hosting

La seguridad de tu sitio depende en gran medida del proveedor de hosting. Algunos factores clave a tener en cuenta al buscar uno:

  • Herramienta de escaneo de virus y de firewall en el servidor
  • Copia de seguridad y restauración
  • Soporte 24/7
  • Certificado SSL

Siempre busca en Internet las opiniones de los clientes antes de elegir tu hosting. Yo, utilizo Webempresa, después de investigar y comparar me pareció ser el mejor y cumple todas sus promesas.

alojamiento wordpress webempresa

servidor wordpress webempresa

3 – Instalar un plugin de escaneo de virus y malware

Dentro de tu herramienta WordPress, un plugin de seguridad es lo que más te va a ayudar para proteger tu página web. Como hay programas antivirus a instalar en tu computador, también puedes añadir un plugin de escaneo para garantizar la seguridad de tu WordPress. Seguramente es uno de los primeros plugins que debes instalar.

El más famoso es Wordfence, considerado hoy en día como el mejor plugin de seguridad, pero también tienes la opción de elegir otro como Sucuri o iThemes Security. Toma el plugin de seguridad que sea el más adecuado para tu página web.

wordfence el plugin de seguridad

Estas extensiones tienen una forma gratuita que es suficiente para proteger tu WordPress, pero si quieres más existen también en forma Premium. Además de su función principal que es de escanear tu web en busca de virus y malware, ofrecen muchas otras funcionalidades incluso algunas que vamos a ver en los puntos siguientes.

Si no sabes cómo instalar un plugin en WordPress, acá te explico cómo hacerlo.

4 – Las actualizaciones son la prioridad para proteger tu página web

actualizar los temas y plugins para la seguridad de wordpress

Actualizar WordPress

Como todo software, WordPress está evolucionando con nuevas versiones. Su código se revisa regularmente para traer nuevas características y mejoras, pero también y especialmente para traer parches de seguridad identificados por los desarrolladores de WordPress; y solucionar errores del programa. Al igual que con tu computador o celular, es esencial actualizar regularmente WordPress para eliminar las fallas y garantizar su seguridad.

Al ejecutar una versión actualizada de WordPress, estás a salvo de los hackers que buscan constantemente vulnerabilidades.

Actualizar los plugins y temas de WordPress

Los temas y los plugins son código añadido a WordPress. Muy a menudo, los plugins o temas no utilizados se dejan abandonados sin ser actualizados: es un error de seguridad insospechado.

Este código obsoleto se explota para introducir archivos maliciosos y abrir una brecha en la seguridad de un sitio web. Por lo tanto, es importante actualizar los plugins y los temas, aunque no los uses. Si es necesario, no dudes en quitarlos para reducir los riesgos y evitar un mantenimiento innecesario.

Por este motivo, cuando se instalan temas o plugins, es importante comprobar si hay versiones compatibles con la última versión de WordPress y si se mantiene actualizado o no.

Usar una versión actualizada de PHP

actualizar el servidor php en cpanel

WordPress usa PHP para crear las páginas web que se muestran a tus visitantes. Al igual que con WordPress, los riesgos aumentan si se utiliza una versión obsoleta de PHP. Si lo necesitas, ve a tu cPanel > Configurar PHP y Gestionar el Dominio que te interesa para instalar una versión reciente de PHP en tu página web.

5 – No uses el Login Administrador

nombre de usuario para iniciar sesion en wordpress

En WordPress, la cuenta de administrador predeterminada se llama Administrador o Admin.

Este nombre es el mismo para todos y es probablemente el nombre que se escribe para iniciar la sesión. Sin embargo, si un hacker ya conoce el nombre de usuario de tu sitio, es aún más fácil que se conecte.

Hasta el día de hoy, todavía hay muchos propietarios de sitios web que usan este nombre de usuario por defecto. Entonces es una buena idea cambiarlo para uno más secreto.

No es el caso de tener este usuario predeterminado cuando se instala WordPress con Webempresa, pero no conozco a todos los proveedores de alojamiento, así que prefiero decírtelo. Al instalar WordPress en tu cPanel, tienes la posibilidad de definir un nombre de usuario que no sea Administrador.

Si todavía usas administrador como nombre de usuario, no es demasiado tarde para cambiarlo. Tendrás que añadir un usuario y luego eliminar el usuario por defecto.

Simplemente ingresa a tu panel de control de WordPress y para crear un nuevo usuario, ve a Usuarios > Añadir nuevo. Elige un nuevo nombre de usuario y rellena los campos. Establece su función como administrador y haz clic en Mostrar contraseña para copiarla y no olvidarla.

añadir un nuevo usuario en wordpress

Después de eso, cierra la sesión e inicia una nueva sesión con tu nuevo usuario. Vuelve a Usuarios > Todos los usuarios y elimina tu antigua cuenta de administrador.

6 – Usar una contraseña segura

Usar una simple contraseña como 12345, qwerty, nombredetusitio, u otra; es ciertamente una contraseña fácil de recordar, pero también una contraseña fácil de adivinar.

Es importante utilizar una contraseña compleja, o mejor aún, una que se genere automáticamente por WordPress. Lo ideal será que contenga letras mayúsculas y minúsculas, así como números y símbolos.

En cPanel cuando instalas y creas tu WordPress tienes la posibilidad de marcar una casilla para Crear una contraseña aleatoria y recibir por correo electrónico. También se puede utilizar un generador de contraseña.

generador de contraseña

Evita cualquier información que se refiera a tu vida personal como la fecha de nacimiento, el número de tu calle, etc. Hoy en día, la privacidad está muy mal protegida en Internet.

Si quieres cambiar la contraseña de tu WordPress, desde la columna izquierda de tu panel de control, ve a Usuarios > Todos los usuarios. Después de hacer clic en Editar en el usuario correspondiente, haz clic en el botón Generar contraseña en la sección Gestión de la cuenta. Guarda la contraseña automática o ingresa tu contraseña segura, luego haz clic en Actualizar perfil.

cambiar contraseña en wordpress

7 – Usar la autenticación de dos factores

La autenticación de dos factores, A2F, es una técnica avanzada para mejorar la seguridad en cualquier plataforma de Internet.

Como su nombre indica, se trata de un proceso de dos pasos en el que se necesita:

  • No sólo tu contraseña para ingresar,
  • Pero también un segundo código que se encuentra en una aplicación, la mayoría de las veces la de Google: Google Authenticator.

En la mayoría de los casos, es 100% efectivo en la prevención de ataques de fuerza bruta en tu sitio de WordPress. Porque es casi imposible que el hacker sepa tu contraseña y acceda a tu celular también.

Para implementar la autenticación de dos factores en tu WordPress, pregunta a tu proveedor de alojamiento si puede ofrecerte esta función. Puedes también utilizar una extensión especializada como WP 2FA, o una extensión general de seguridad que ofrezca esta función como Wordfence.

8 – Cambiar la URL de la página de acceso a tu WordPress

Para acceder al panel de administración de tu WordPress, de forma predeterminada todos los sitios web de WordPress tienen una URL que se parecen a www.misitioweb.com/wp-admin o www.misitioweb.com/wp-login. De nuevo, es fácil para una persona malintencionada deducir esta URL.

Como las mismas razones que para el nombre de usuario administrador, también te aconsejo cambiar la URL de Login. Para evitar tener que hacer los cambios manualmente en el código, puedes instalar y usar el plugin WPS Hide Login.

De esta manera, personalizas la dirección URL de tu página de inicio de sesión e inmediatamente haces que sea más difícil de adivinar.

Una vez que el plugin esté instalado y activado, ve a Ajustes > General y todo abajo simplemente rellena el campo de la URL de acceso y Guardar cambios. Luego, recuerda actualizar tus favoritos y tomar nota de la nueva dirección para acceder a tu panel.

plugin wps hide login para cambiar la url

9 – Limitar los intentos de inicio de sesión para bloquear los ataques de fuerza bruta

Por defecto, WordPress no toma en cuenta el número de intentos cuando alguien intenta ingresar en tu página web con múltiples nombres de usuario y contraseñas.

Los hackers utilizan técnicas avanzadas que les permiten adivinar la contraseña probando miles o incluso millones de combinaciones. Si hay suficiente tiempo, es posible acceder a un sitio: este es el método de la fuerza bruta.

Como estos ataques son muy frecuentes, te recomiendo limitar el número de intentos de conexión permitidos por WordPress. De nuevo puedes utilizar un plugin especializado Limit Login Attempts Reloaded o uno general de seguridad.

Limita el número de intentos a 3, por ejemplo. Sobre esta base la extensión se asegura de limitar el número de intentos de conexión incorrectos y bloqueará automáticamente los ataques repetidos desde la misma dirección IP para evitar los ataques de fuerza bruta.

wordfence bloquear ataques de fuerza bruta

10 – Activar HTTPS con un certificado SSL

activar https con un certificado ssl

Si tu sitio utiliza el protocolo HTTP, toda la información se transmite a través de la red sin encriptación. Es el caso de la información de identificación, comentarios, números de tarjetas de crédito, etc. Y eso desde tu computador o los de tus visitantes.

En este caso, un hacker presente en la misma red que la tuya puede interceptar fácilmente esta información. Es una situación clásica si estás en una red wifi pública, excepto si estás utilizando una VPN.

Sobre todo, sin precaución, puede recuperar tu información de Login: nombre de usuario y contraseña.

Para solucionar este problema, te recomiendo encarecidamente que instales un certificado SSL. Así, se pasa de HTTP a HTTPS, el protocolo más seguro que encripta los datos enviados entre los visitantes y el servidor que aloja tu sitio web.

Además de la seguridad obtenida, el cambio a HTTPS ofrece muchas ventajas, a saber, la confianza y la credibilidad de tus visitantes, así como la mejora de tu SEO (posicionamiento) en Google. De hecho, Google favorece los sitios seguros.

Para instalar un certificado SSL, pregunta a tu proveedor de alojamiento. Casi todos ofrecen este servicio gratuito cuando te suscribes y compras un plan.

11 – Hacer copias de seguridad completa y regularmente de tu sitio web

copia de seguridad sitio wordpress

Aplicando los consejos de seguridad dados anteriormente, se minimiza el riesgo de hacking. Desafortunadamente, es imposible estar 100% protegido.

Si tu página web es el objetivo de un ataque, lo más importante es tener una copia de seguridad de tus archivos.

La razón es simple: los hackers están constantemente buscando nuevas técnicas y defectos de seguridad para piratear sitios web.

En caso de que un ataque exitoso ocurra, todas estas técnicas de seguridad no restaurarán tu sitio.

Por eso, las copias son la solución definitiva para recuperar tu sitio web de forma rápida y sencilla en caso de ataque, hacking, actualización o cualquier otro problema en tu servidor.

Para hacer una copia de seguridad completa de un sitio web en WordPress, hay 3 soluciones:

1– Hacer copias de seguridad manualmente de forma regular.

2– Utilizar plugins como UpdraftPlus. Esta es la solución más simple, puedes programar fecha a diario o semanal y te permite hacer una copia de seguridad de todos tus archivos (tema y bases de datos) y enviar una copia en el Cloud, tu Google Drive o Dropbox. Luego puedes reinstalar estas copias de seguridad con un solo clic.

3– Tu proveedor de hosting puede tener un sistema de respaldo completo accesible directamente a través del cPanel. Aprovecha esta oportunidad para obtener un ZIP completo de tu sitio.

copia de seguridad en cpanel

Conclusión

Espero que estos 11 consejos te ayuden a proteger mejor tu sitio de WordPress. Cada consejo está un paso más cerca de un sitio web más seguro.

Estos pasos se pueden establecer en minutos y además, la mayoría son gratuitos y por lo tanto no tienen ningún impacto en tu presupuesto.

Pon en práctica todas estas recomendaciones, y por favor sigue las noticias sobre seguridad informática en sitios web especializados. Nunca olvides que el objetivo de tu sitio web, como todas tus acciones de Marketing Digital, es atraer nuevos clientes. Por lo tanto, la seguridad de tu sitio web es también la seguridad de tu negocio.

Espero que hayas encontrado útil este artículo y si te gustó no dudes en compartirlo en las redes sociales. Y si tienes alguna pregunta, pregúntame en los comentarios.

Compartir :
Compartir en LinkedIn Compartir en WhatsApp

¿Cómo instalar Google Analytics en tu sitio web de WordPress?

¿Cómo añadir el código de seguimiento de Google Analytics en GeneratePress?

Artículos relacionados

como optimizar wordpress gratis y al maximo

Cómo optimizar WordPress gratis y al máximo

como precargar google fonts en wordpress

Cómo precargar fuentes de Google Fonts con Preload en WordPress y GeneratePress

como añadir fuentes de google fonts en wordpress

Cómo añadir fuentes de Google Fonts en WordPress y con el tema GeneratePress

Deja un comentario

Sobre Kinese Marketing

Kinese Marketing es una página web donde puedes encontrar tutoriales de WordPress, SEO y GeneratePress.

Legal

Contacto

Política de privacidad

Política de Cookies

Aviso Legal y Términos de Uso

Programa de afiliados

Utilizo enlaces de afiliados. Si haces una compra a través de mis enlaces de afiliado entonces recibiré comisiones sin costo adicional para ti. Como un blogger independiente, estos enlaces de afiliados ayudan a mantener mi sitio web. Sólo recomiendo productos y servicios que utilizo.

© 2024 Kinese Marketing - Todos los derechos reservados | Web diseñada con GeneratePress y alojada en Webempresa.