5 cosas que hago para proteger mi web hecha con WordPress

En el anterior artículo os hablé de las principales amenazas que sufren las páginas webs realizadas con el gestor de contenidos WordPress y en este artículo os voy a explicar cinco medidas de seguridad que yo tomo para proteger mis páginas (y que creo que son bastante eficaces).

Lo primero que quiero deciros es que no hay que asustarse por que existan estas amenazas. De lo poco que sé de seguridad informática, he sacado una conclusión muy clara: si los piratas informáticos quieren ir a por ti, no lo vas a poder evitar, pero si eres un usuario más del océano de internet, como la mayoría de nosotros, nadie va a tener un interés concreto en atacar tu web y únicamente estás expuesto a ataques automatizados de los que es relativamente sencillo estar protegido simplemente con unas sencillas medidas de seguridad.

Estas son las cinco cosas que yo hago para proteger mi WordPress:

  1. Proteger el acceso de usuarios con el rol de administrador. Para proteger mis webs de la usurpación de uno de estos usuarios, yo sigo estas reglas:
    • Limitar al máximo el número de usuarios con el rol de administrador. Solo tengo dos, el mío y el de la persona que se encarga de programar mi página, que sé que sigue mis directrices de seguridad. Y, cuando por algún motivo tengo que facilitar un usuario administrador (a un programador o un colaborador externo), creo uno nuevo de forma temporal y luego lo borro.
    • No usar nunca nombres genéricos para los administradores como ‘admin’, ‘administrador’ o incluso mi nombre porque es muy fácil que los ataques automatizados de fuerza bruta intenten entrar en la web poniendo estos nombres de usuario.
    • Emplear contraseñas muy seguras para acceder a la gestión de la web. WordPress te sugiere contraseñas formadas por muchos caracteres en los que se combinan mayúsculas, minúsculas, números y símbolos. Úsalas, aunque eso te obligue a tener un documento con todas las contraseñas de cada usuario que tengas (y que deberías guardar en un lugar seguro y también protegido con una contraseña).
    • Extiende esta regla al resto de contraseñas que tienen que ver con tu página, como las del usuario del área de cliente de tu servidor, las de la base de datos, etc. Hay páginas en internet con generadores de contraseñas que puedes utilizar para esto y, si no te fías de ellas, crea un usuario nuevo en WordPress y utiliza la contraseña que te sugiere.
  2. Proteger la base de datos. Por si no lo sabes, para poder funcionar el WordPress se conecta a una base de datos donde se almacena toda la información de la web (las entradas, los usuarios, las configuraciones, etc). Para proteger esta base de datos, yo sigo estas dos normas:
    • Hacer que tenga una contraseña segura, tal y como hemos visto en el punto anterior. La contraseña se crea durante la instalación del WordPress, así que, si ya lo has instalado, tendrás que cambiarla desde el área de cliente de tu alojamiento. Si no sabes cómo hacerlo, busca algún tutorial en internet o ponte en contacto con el soporte técnico del hosting. Después de que hayas modificado esta contraseña, tendrás que actualizar los cambios en el archivo de instalación de WordPress. Es muy sencillo, solo tienes que editar el archivo wp-config.php y cambiar la línea en la que se almacena la contraseña.
    • Modificar los nombres que vienen por defecto en las tablas. Las bases de datos se componen de tablas donde se almacenan los datos y que tienen un nombre predeterminado (con un prefijo ‘wp_’) para que WordPress sepa dónde buscar. Los ataques automatizados normalmente buscan esos nombres por defecto y es fácil esquivarlos simplemente cambiándolos. Al igual que la contraseña de la base de datos, el prefijo también se suele elegir durante la instalación de WordPress. Si no tienes esa opción o ya lo tienes instalado, puedes hacerlo a mano o de una forma mucho más sencilla con un plugin como Change Table Prefix.

      Aunque siempre he seguido esta medida de seguridad desde que la aprendí hace tiempo, recientemente he leído en el blog de Wordfence (el plugin del que hablo más adelante) que realmente se trata de una medida absurda ya que es como apagar la luz de una habitación para protegerte de un robo. Obviamente, esto no evita que entren a robar en tu casa y lo único que consigues es entorpecer la búsqueda de los ladrones en esa habitación, pero, si han logrado entrar, encontrarán lo que buscan aunque sea más difícil a oscuras. Pero, por si acaso, yo sigo aplicando esta medida de seguridad.

  3. Mantener mis webs actualizadas. En el anterior artículo os comenté que se pueden recibir ataques a través de fallos presentes en WordPress o en plugins que tengamos instalados en nuestra página. La mejor forma de evitarlos es mantener todo actualizado, así que procurad tener a cero la casilla de actualizaciones pendientes de vuestro WordPress. Esto es tan importante que los alojamientos que más se preocupan por la seguridad de sus clientes prohíben la instalación de ciertos plugins (por considerarlos vulnerables incluso estando actualizados) o incluso pueden llegar a desactivarte alguno que tengas instalado si surge una amenaza con él. Puede parecer una política agresiva por parte de los hostings, pero tienes que tener en cuenta que para algunos negocios puede ser una verdadera catástrofe que les pirateen sus páginas webs.
  4. Usar un plugin de seguridad que vigile los ataques. Yo utilizo el plugin Wordfence Security en su versión gratuita. Además de revisar mi página en busca de archivos que han sido modificados y que no se correspondan con la versión oficial de WordPress, se encarga de:
    • Bloquear una IP cuando detecta que se está realizando un ataque desde ella.
    • Informarme mediante un correo electrónico inmediato cada vez que un administrador se conecta desde un dispositivo o una ubicación nueva, para alertarme de un posible caso de robo de usuario.
    • Mandarme un informe periódico de los problemas de seguridad que hay en mi web, por ejemplo, por no tener actualizados algunos plugins.
    • Informarme de los intentos de acceso a la página fallidos. Estos pueden deberse a que un usuario ha escrito mal su clave de acceso o puede que un robot esté haciendo pruebas más o menos aleatorias con usuarios.
    • Gracias a esta herramienta, me di cuenta de que habían logrado deducir en una de mis páginas el nombre de un usuario administrador e intentaban obtener la contraseña, así que creé un usuario nuevo y borré el antiguo:
  5. Hacer copias de seguridad de forma periódica. Si todo lo anterior falla y los piratas informáticos logran entrar en tu página web, lo mejor es borrarlo todo y, reconstruir los archivos y las bases de datos a partir de una copia de seguridad. Estas copias puedes hacerlas de forma manual o a través de alguno de los numerosos plugins diseñados para esto.
  6. Yo uso el BackupBuddy, que me permite hacer copias de seguridad cíclicas de mi base de datos y de mis archivos, y enviarlas a un servicio en la nube. Para más seguridad, yo tengo una cuenta de GoogleDrive específicamente para este fin.
  7. Con este plugin yo hago una copia diaria de mis bases de datos y otra quincenal de mis archivos, pero, dependiendo del número de nuevas entradas que publiques al mes en tu web, puede ser conveniente hacer una copia de los archivos más frecuente.

Se pueden adoptar otras medidas de seguridad para proteger una página web hecha con WordPress, pero de momento creo que con estas son suficientes para que los que tenemos pequeños negocios online podamos dormir tranquilos por las noches.

Espero que estos dos artículos os ayuden a conocer más sobre este gestor de contenidos, que es maravilloso para los emprendedores digitales pero que, como todo en internet, también tiene sus riesgos. Eso sí, con unas sencillas normas de seguridad podemos minimizarlos.

Interacciones con los lectores

Comentarios

  1. marco dice

    Hola, muchas gracias por ese articulo informativo. Soy profesor de alemán y el tema de seguridad me parece super importante. No conozco el plugin “Change Table Prefix” pero realmente me parece muy útil. De nuevo muchas gracias por ese información.

    • elena dice

      ¡Hola, Abel!

      No sé por qué no te ha llegado el documento, pero no te preocupes porque te lo acabo de enviar. Espero que te sea útil.

      Saludos, Elena.

  2. Rocio S dice

    Hola Elena,

    Recibe saludos desde California, Estados Unidos. Muchas gracias por compartir información sobre cómo enseñar en línea. Es muy útil. He leído bastante de la información que provees. Sabes, yo también he tenido dificultad en abrir el archivo: “Cómo hacer una clase de prueba paso a paso”.

    • elena dice

      ¡De nada, Rocío! Me alegro de que mi web te parezca útil. Respecto al documento que me dices, ahora arreglo en enlace. He estado estos últimos días adaptando la web a la entrada en vigor del Reglamento de la Ley de Protección de Datos y he tenido algunos problemas con los formularios. Espero tener todo resuelto en la próximas horas. Saludos, Elena

  3. Sara dice

    Elena, todo un descubrimiento tu web. Tengo una duda que no sé si podrías hacer una entrada o un video al respecto. Me gustaría saber cómo organizas tus clases, a veces tengo dudas sobre cómo organizar los recursos de los que dispongo porque al final son tantos que no sé si es mejor por niveles, por temática etc. Tmabién me gustaría saber cómo preparas tus clases al ser individuales imagino que las adpatas a los alumnos pero con un material que tienes de baso ¿no? ¿o creas nuevos cada vez? Gracsias de antemano
    Sara

    • elena dice

      ¡Hola, Sara! Me apunto tu sugerencia para hacer un vídeo sobre la organización de mis clases. De todas maneras, te avanzo que yo organizo mis recursos por niveles. Y, respecto a las clases, sí cuento con un material base (que fui preparando con mis primeros alumnos) y luego añado cosas nuevas para cada alumno en función de su nivel y sus necesidades. Esto para mí es fundamental porque yo baso mis clases en la personalización máxima para cada alumno y creo que esa es una de las claves de mi éxito. Saludos, Elena.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *