Checklist de seguridad en WordPress
Utiliza este Checklist para tener 💣 una web a prueba de Bombas 💣 Además, si eres socio, desbloquearás todas las tareas, podrás guardar los avances y volver después, descargarlo en PDF y ver vídeos complementarios exclusivos.
👌 Tips de seguridad básica
En muchas ocasiones pasamos por alto los detalles más obvios y de sentido común para nuestra seguridad en internet. Ya no sólo para que no nos hackeen la web, sino para simplemente navegar por internet con seguridad. A continuación te voy a dar algunos de estos tips más generales y seguidamente algunos básicos de sentido común ya concretos de WordPress. ¡Ve marcando ✅ lo que cumplas!
No utilizar la misma contraseña para todas tus cuentas
Resulta obvio que es peligroso usar la misma contraseña para todo. Imagina tener la misma llave para tu auto, tu casa, la oficina... ¡Y qué te la roban! Pasa lo mismo con la contraseña: si los hackers y sus ejércitos de bots consiguen tu contraseña, la probarán en todas las cuentas que encuentren tuyas en internet. Pues aún siendo tan obvio, mucha gente sigue usando la misma contraseña para todo por tal de no complicarse. En este vídeo te enseño en 3 minutos cómo crear contraseñas seguras y distintas que siempre recordarás.
No utilizar redes de conexión inseguras
En muchas ocasiones, preferimos arriesgarnos y conectarnos a redes no seguras que estar sin internet. Por ejemplo, la red de un hotel, de una biblioteca o de un Starbucks. Ten en cuenta que si te puedes conectar a una red sin poner contraseña, se trata de una red abierta. Y si tu dispositivo te avisa de que la red no es segura, aunque tengas que poner usuario y contraseña puede tratarse de una conexión a través de un router antiguo y con la seguridad comprometida. En ambos casos, es peligroso conectarse porque podrían robar tus datos. Pero si te conectas, es mejor que no accedas a ninguna de tus cuentas donde tengas que utilizar datos sensibles como nombres de usuario y contraseñas. Y ni mucho menos pongas datos de tarjetas o información sensible.
Cambiar los datos de acceso a tus cuentas de vez en cuando
Una buena práctica es cambiar los datos de acceso a tus cuentas (nombre de usuario y contraseña) cada cierto tiempo. 💡 Podrías aprovechar una fecha concreta para hacerlo ya así no olvidarte.
No ingresar datos en webs sin certificado SSL
Si estás navegando y una web no tiene certificado SSL tu navegador te indicará que no es segura y tendrás que pulsar un botón explícitamente para seguir navegando por ella. Si quieres puedes navegar por esta web, pero ni se te ocurra usar sus formularios o cualquier medio por el cual introduzcas tu información. Si tu web no tiene certificado SSL deberías contratar un hosting que te lo regale y lo instale automáticamente como el que uso yo para esta web. Te dejo aquí un enlace con descuento a este hosting por si te interesa.
Cerrar sesión y borrar datos de navegación al usar terminales públicos
Si estás usando el ordenador que no es tuyo, no olvides cerrar sesión de todas las cuentas que abras (gmail, redes sociales, bancos...) Si no lo haces el siguiente usuario podría suplantar tu identidad y hacerte mucho daño si tuviera mala intención. No sabes la de veces que mis alumnos se dejan abiertas sus sesiones en el aula y los estudiantes de la siguiente hora pueden acceder a sus correos y cuentas de redes. Es diario prácticamente... Si no has abierto ninguna cuenta, no está de más que borres el historial de navegación para preservar tu privacidad.
Utilizar un buen proveedor de Hosting
Tu hosting es el espacio que contratas dentro de un ordenador (servidor) donde va a estar alojada tu web (sus archivos y base de datos) Un buen hosting con medidas de seguridad adecuadas y específicas para WordPress es la primera línea de defensa y evita el 95% de los problemas de seguridad de tu web. Un mal hosting es la mayor causa de hackeos. Yo te recomiendo el que utilizo en esta web, que es LucusHost. Aquí te dejo un enlace con descuento por si quieres echarle un ojo.
Tener siempre a mano copias de seguridad
El sistema de airbags o el cinturón de seguridad de un coche no pueden remediar un accidente de tráfico, pero si pueden salvarte la vida si ocurre. Las copias de seguridad o backups serían un método de seguridad pasivo similar para tu web. Si ocurriera una desgracia, siempre podrías volver atrás. En este video tutorial te muestro cómo hacer y recuperar una copia de seguridad con un plugin gratuito. Aquí te muestro cómo hacer lo mismo desde el propio servidor. Y en el vídeo exclusivo te muestro el método que uso yo para programar copias de seguridad automáticas que además se guardan en Google Drive y que puedo recuperar con un clic fácilmente. Todo ello con un plugin premium que puedes descargar si eres socio del club.
Dar los mínimos permisos a los usuarios de tu web
En ocasiones tenemos en nuestras webs o en las webs de nuestros clientes (sobre todo en las webs de nuestros clientes) usuarios con más permisos de los que necesitan. Esto puede ser un riesgo de seguridad innecesario. Revisa los usuarios de tus webs y cuestiona si necesitan los permisos que tienen. Casi siempre existe entre los roles por defecto de WordPress un rol adecuado para cada usuario. Pero si no existiera lo podrías crear con plugins como User Rol Editor o similares.
No instalar recursos premium descargados de fuentes desconocidas
En más de una ocasión te vas a topar con grupos de Facebook o foros donde alguien te deja descargar todos sus plugins o themes premium gratis o por muy poco dinero. Mi consejo es que desconfíes si no conoces a esa persona y su trayectoria. Estos paquetes suelen venir con "bicho" dentro y es muy peligroso instalarlos en tus webs o las de tus clientes. Si confías en mí, ya sabes que en el club de expertos pongo a tu disposición todos mis recursos premium para que los descargues e incluso puedo activarte licencia de Elementor Pro y otros.
Actualizar plugins, themes y WordPress a sus últimas versiones
Las nuevas versiones de tus plugins, themes o el propio WordPress suelen dejar al descubierto las brechas de seguridad que tenían sus versiones anteriores. Es necesario tener ciertos conocimientos técnicos para hacer correctamente el mantenimiento de tu web. Por el momento no tengo un vídeo sobre esto. Así que, si no tienes claro como hacer este proceso correctamente, esta es una parte importante que quizá deberías delegar en un profesional.
Borrar temas y plugins inactivos
Piensa, que aunque tengas inactivo un plugin o un theme, lo tienes instalado igualmente. Sus archivos están en tu servidor. Y tendrán que ser actualizados también. Y suele ocurrir que no actualizamos cosas que no usamos. Así que es mejor, que si no los vas a usar, los elimines y así no tienes que estar pendiente. Esto forma parte de las tareas de mantenimiento de una web con las que te puedo ayudar si quieres desentenderte de lo técnico en tu web.
Actualizar PHP a su última versión segura
PHP es uno de los lenguajes de programación con los que está hecho WordPress. Y es tu servicio de alojamiento quien lo sirve para que tu web funcione. Así que tendrás que actualizarlo a sus últimas versiones seguras desde allí. A continuación te dejo un vídeo donde puedes ver cómo actualizar PHP en WordPress correctamente.
💪 Ataques de fuerza bruta
Son los ataques más frecuentes en WordPress. Así que debemos estar bien protegidos contra ellos. Pero ¿qué son exáctamente los ataques de fuerza bruta? Te lo explico muy fácil.
Imagina que tienes una caja fuerte con una contraseña. Un ataque de fuerza bruta es como intentar abrir esa caja fuerte probando todas las posibles combinaciones de números una tras otra: empezamos con el 0000, luego 0001, 0002, y así sucesivamente, ¡hasta que encuentres la contraseña correcta! Parece tedioso. Pero… ¿y si en vez de ser una persona fueras un bot que prueba miles de combinaciones en un minuto? 😬
Pues bien, el login de WordPress en realidad son 3 puntos a descifrar: la url donde está el login, el nombre de usuario y la contraseña. Si protegemos esas 3 partes estaremos poniéndoselo más difícil al hacker (y sus bots) que trata de abrir nuestra web a la fuerza.
Veamos cómo.
Cambiar la url del login de la web
Para acceder a la web solemos ir a tudominio.com/wp-login.php o a tudominio.com/wp-admin, que te redirige de nuevo a tudominio.com/wp-login.php. Pues bien, esto lo saben los hackers y sus bots. Y aunque no es algo definitivo, aumenta la seguridad de la web si lo cambiamos. Así que en este vídeo vamos a ver cómo cambiar la url de login de WordPress fácilmente en 1 minuto con un plugin gratuito. Y si eres socio del club te enseño cómo hacerlo con Perfmatters, que lo tienes disponible para descargar de tu área de descargas.
Utilizar una contraseña fuerte
A la hora de crear tu contraseña utiliza números, letras, símbolos y espacios. Ya hemos hablado de esto en los 👌 tips básicos, pero te vuelvo a enlazar el vídeo donde te muestro una regla mnemotécnica para crear contraseñas ultra-seguras, que no tendrás que apuntar porque siempre recordarás de memoria.
Cambiar el nombre de usuario
Cuando instalamos WordPress, también se crea un primer usuario administrador asociado, que si no lo evitamos se tendrá como nombre de usuario admin. Esto hay que cambiarlo. Pero resulta que tanto al instalar WordPress como al crear una cuenta de usuario nuevo, el sistema no nos deja poner un nombre demasiado complejo. Tampoco nos permite editar este nombre desde el perfil de usuario por defecto. En este contenido te dejo 3 formas de cambiar el nombre de usuario para mejorar la seguridad.
Limitar el número de intentos de inicio de sesión
Haz que tu página de inicio de sesión se bloquee al cabo de un número concreto de intentos fallidos de inicio de sesión. De esta forma los bots verán interrumpido su ataque rápidamente si llegan a dar con la url de acceso a la web. Esto lo puedes hace fácilmente con el plugin grautito WPS Limit Login. Basta con que lo instales. Aunque tiene opciones no es necesario tocar nada.
Habilitar la autenticación en 2 factores (2FA) para el logueo en WordPress
Aunque con las medidas anteriores ya tendrás un login muy blindado, siempre puedes ir un paso más allá y usar el 2FA (ya sabes, esto de que al intentar loguearte te mandan un código al móvil que tienes que copiar y pegar) En mi caso no suelo usar esta opción porque me parece un poco rollo. Y de momento no tengo un vídeo para mostrarte cómo usarlo. Pero no he querido prescindir de ello en la lista porque desde luego es otra capa más de seguridad. ¡Márcalo como hecho igualmente 🤭!
🔐 Securizando WordPress desde el archivo wp-config.php
El wp-config.php es uno de los archivos más importantes de WordPress con el que trabajamos en diferentes ocasiones como en la instalación y configuración, en resolución de problemas, en mantenimiento, en WPO… Pero también podemos hacer más segura nuestra web añadiendo los códigos que te muestro en estos dos tips.
Si nunca has trabajado en este archivo, en este vídeo te cuento dónde encontrar el archivo y cómo editarlo de forma sencilla y segura.
🔐 Seguridad WordPress desde el archivo .htaccess
Este es otro de los archivos clave en WordPress. Aquí podemos configurar diferentes aspectos generales, hacer redirecciones, mejorar el WPO… O como es nuestro caso, securizar un poco más nuestra instalación de WordPress de forma sencilla.
En este vídeo te muestro dónde encontrar el archivo y cómo hacer el proceso de pegar los siguientes snippets de forma sencilla y segura.
🧅 Añadiendo más capas de seguridad
Ya hemos visto los tips más básicos y de sentido común, también cómo protegernos de los ataques más habituales en WordPress, los de fuerza bruta. E incluso como blindar nuestra web desde diferentes archivos clave.
Si tienes ya marcadas todas las tareas anteriores puedes estar tranquilo. Tu web es más segura que el 95% de los WordPress ahí fuera.
Pero aún así, y a modo cajón desastre, en este apartado vamos a ir sumando capas de seguridad a nuestra web para conseguir que sea inexpugnable.
Checklist de seguridad WordPress
- Desbloquear todas las tareasSi eres socio, podrás ver las 17 tareas ocultas que completan el checklist para tener una web segura.
- Guardar avancesLas casillas que marques no se desmarcarán cuando cambies de página. Seguirán marcadas mientras estés logueado en tu cuenta de socio.
- Descarga de PDF¿Tienes nivel? Si lo prefieres puedes descargar una versión simplificada del checklist en PDF para hacer seguimiento de tus webs cómodamente.
- Vídeos exclusivos¿Necesitas una ayudita extra? Si estás logueado verás vídeos exclusivos en algunas de las tareas.
Club de expertos WordPress
🛠️ Recursos relacionados
Ver todosLucushost
DescuentoEl hosting de esta web. El más rápido y seguro…