Si buscamos medidas de seguridad WordPress en internet podemos encontrar infinidad de consejos, técnicas y plugins para proteger nuestra web de los ataques de hackers y virus que la quieran perjudicar.

Lo cierto es que conseguir un WordPress 100% seguro es prácticamente imposible, ya que son muchos factores que entran en juego y que pueden convertirse en vulnerabilidades frente a ataques de hackers.

En este artículo compartiré las 10 medidas de seguridad imprescindibles para mantener un WordPress protegido y así estar un poco más tranquilos con nuestra web.

1. Hosting seguro para WordPress


Lo primero que hay que hacer es alojar nuestro WordPress en un hosting seguro y de confianza. Algunas empresas como Webempresa, SiteGround o Cdmon, además de ofrecer garantías de seguridad web, disponen de hosting especial para WordPress. Todas estas empresas ya cuentan con la opción de hacer copias de seguridad automáticas y también con herramientas de escaneo de virus. Pero si tengo que escoger una… me quedo con SiteGround, por su seguridad, soporte técnico inmediato y velocidad web.

En la medida de lo posible es recomendable no alojar nuestro WordPress en un servidor donde tengamos varias aplicaciones ya que, si nos infectan una de ellas, es posible que nos perjudique en todas.

2. Hacer copias de seguridad con regularidad


Por mucho que nuestro proveedor de hosting web ya cuente con este servicio, siempre es recomendable hacer copias de seguridad WordPress por nuestra cuenta y de manera periódica. Mínimo 1 o 2 copias de seguridad al mes, eso ya dependerá de la complejidad web y los contenidos que generemos. Estas copias de seguridad tienen que ser almacenadas en servidores externos, fuera del mismo WordPress, y así evitaremos perderlo todo.

Hosting especial WordPress de SiteGround

Hosting especial WordPress de SiteGround

Si quieres saber más sobre cómo hacer una copia de seguridad, cómo automatizar el proceso y qué plugin es uno de los más recomendados, te recomiendo este artículo: Copias de seguridad WordPress. ¿Qué son? ¿Cómo hacerlas?

3. Utilizar últimas versiones de WordPress, Plugins y temas


Es importante tener las últimas actualizaciones de WordPress, Plugins y theme (tema) para endurecer la seguridad de nuestra web. La gran mayoría de actualizaciones contienen mejoras de seguridad y correcciones de errores y vulnerabilidades del sistema.

Estar al día con las actualizaciones de nuestro Theme (tema)

Estar al día con las actualizaciones de nuestro Theme (tema)

Antes de instalar una nueva versión de WordPress es recomendable asegurarse de la compatibilidad con nuestro theme (tema) y todos los plugins que tenemos instalados en nuestra. Por supuesto, cuando vayamos a hacer una actualización de WordPress antes tendremos que hacer una copia de seguridad. Y, en el caso de que tengamos varias actualizaciones de plugins pendientes, hacerlas de forma escalonada.

4. Instalar Plugins o temas de confianza o recomendados


Otra de las medidas de seguridad en WordPress es la descarga de themes (temas) y plugins desde páginas oficiales de sus desarrolladores o bien desde wordpress.org.

¿Cómo escoger el plugin adecuado para WordPress?

Si tenemos que instalar un plugin y no sabemos cuál escoger en wordpress.org, tendremos que fijarnos en:

  • Última actualización: fijarnos en si ha habido una actualización reciente, eso significará que el plugin o theme no ha caído en el olvido de sus desarrolladores. Está vivo.
  • Número de instalaciones activas: si cuenta con muchas instalaciones es otro muy buen indicador.
  • Valoraciones: si tiene un buen número de reseñas de 5 estrellas.
Cómo saber qué plugin descargar e instalar en WordPress

Cómo saber qué plugin descargar e instalar en WordPress

Hay que evitar descargar e instalarse themes y plugins piratas y/o abandonados por sus desarrolladores, puesto que pueden ser una fuente de código malicioso y entrada de virus. Así que si encontramos un theme o plugin Premium craqueado en una web de forma gratuita, ni caso.

Incluso, para tener una máxima seguridad, antes de instalar el theme o plugin nuevo en nuestro WordPress podemos probarlo en un entorno diferente de nuestra web.

5. Evitar saturación de plugins en nuestro WordPress


Es evidente que los plugins nos permiten personalizar y añadir funcionalidades a nuestra web en WordPress, pero no podemos abusar instalando muchos ya que, además de ralentizar nuestra web, son un riesgo añadido y pueden surgir más errores o problemas.

Por lo tanto, solo instalaremos los plugins imprescindibles en nuestra web. ¿Y cuántos son? Pues dependerá de cada proyecto web, pero para una web corporativa o de presentación sin complejidades o funcionalidades extra (zona de registro de usuario, intranet, tienda online, etc.) con 10-12 plugins máximo sería más que suficiente.

6. Instalar Plugins de seguridad WordPress


Existen muchos plugins que se encargan de todas las medidas de seguridad necesarias para mantener nuestro WordPres al día. Posiblemente los plugins de seguridad más populares son iTheme Security Pro y Wordfence.

Si me tengo que quedar con alguno de los dos, me quedo con Wordfence. Considero que es un plugin muy completo y también pertenece a Automattic, empresa desarrolladora de WordPress. Por estos motivos es uno de los plugins imprescindibles en todos mis diseños web.

Wordfence, plugin de seguridad WordPress

Wordfence, plugin de seguridad WordPress

7. Controlar el spam en comentarios


Si en nuestra web tenemos un espacio donde los usuarios pueden dejar comentarios, por ejemplo un blog, posiblemente sea una entrada continua de correo no deseado o spam. Además, también puede ser una puerta de entrada de virus y programas fraudulentos.

La mejor forma para reducir estos correos no deseados es instalando el Plugin Akismet, el cual nos permite controlar y filtrar todos estos mensajes.

Akismet, Plugin Anti-spam para nuestra web

Akismet, Plugin Anti-spam para nuestra web

8. Proteger nuestro backoffice


Para proteger nuestra web en WordPress es muy importante proteger su backoffice:

  • Usar nombres de usuario inteligente. Evitar la palabra “admin” que nos genera WordPress por defecto. Lo primero que intentará un hacker, ya sea persona o robot, es acceder con este nombre. Tampoco hay que usar el nombre de la web, demasiado fácil también para estos piratas informáticos. Y, por último, no usar el mismo nombre que se muestra como autor en el blog.
  • Usar contraseña “fuerte” y difícil de averiguar. No caer en los clásicos “123”, “nombre de la web + 123”, etc. Tampoco ninguna palabra o concepto relacionado con la persona administradora de la web o que puedan averiguar de ella (por ejemplo nombre de mascota o fecha de nacimiento). La contraseña tiene que incorporar muchos caracteres (más de 8) y lo mejor es que combine letras (mayúsculas y minúsculas), números y signos de puntuación.
  • Cambiar la url de acceso al backoffice. Podemos cambiar la url de acceso “midominio.es/wp-admin” de forma interna o a través de plugin. Es recomendable no usar palabras de diccionario para ponérselo más difícil a los robots.
  • Limitar el número de intentos por fuerza bruta. Cualquier hacker puede intentar entrar al backoffice a la fuerza y probar diferentes combinaciones de usuario y contraseña, así que si lo limitamos a 3 intentos de acceso, reforzaremos la seguridad de nuestra web.
  • Reducir el mínimo de usuarios del backoffice. Cuantos menos usuarios accedan al backoffice, más control tendremos de nuestro WordPress y, por tanto, menos problemas de seguridad podrán generarse.
  • Eliminar elementos innecesarios de nuestro WordPress. Si hay algún tema (theme) o plugin que no usamos, eliminarlo. Las plantillas que vienen por defecto con WordPress también las podemos eliminar, de esta forma evitamos tenerlas que actualizar y reducimos agujeros de seguridad.

9. Usar certificado SSL (sitio web seguro)


Otra de las medidas de seguridad imprescindibles en nuestro WordPress es instalar un certificado SSL y ejecutar el sitio web a través de protocolo HTTPS (Hyper Text Transfer Protocol Secure) para lograr una conexión segura.

Hay quien piensa erróneamente que este tipo de certificados son solo necesario para tiendas online o ecommerce, pero la realidad es que las webs que usan el protocolo HTTPS, además de ser seguras, son percibidas como sitios de confianza online.

Cómo instalar certificado SSL

www.persuadiendo.com se ejecuta a través de protocolo HTTPS

10. Usar la última versión de PHP


El lenguaje PHP es un lenguaje de programación que se procesa en servidores para generar las páginas web de forma dinámica. Es muy importante que nuestro hosting web tenga la última versión de PHP para evitar errores y problemas de seguridad. Es más, una web con una versión antigua de PHP no tiene ningún tipo de soporte de seguridad y está expuesto a vulnerabilidades.

Hasta aquí las 10 medidas de seguridad WordPress que se pueden llevar a cabo en nuestra web sin tener grandes conocimientos en informática o web. Es fundamental proteger nuestro WordPress y hacer un mantenimiento web periódicamente si no queremos llevarnos ningún susto.

David Pinazo

David Pinazo

Consultor de Marketing Digital y Diseñador Web freelance, especializado en WordPress y Posicionamiento SEO & SEM. En 2014 inauguré mi primer blog y desde entonces disfruto dirigiendo, desarrollando y colaborando en proyectos web.