10 medidas de seguridad imprescindibles para tu blog en WordPress

Hola, buenas. ¿Qué tal te va? Espero que estés de buen humor porque hoy vengo con el firme propósito de intentar asustarte para que te tomes en serio las medidas de seguridad de tu blog. Si tú eres de las pocas personas que utiliza contraseñas seguras y mantienes al día el sistema puedes ahorrarte el post de hoy (bueno, mejor echa un ojo por encima por si encuentras algo útil) pero si no es el caso, presta atención porque de todas las cosas que puedes hacer para que tu blog sea un poquito más seguro, he recopilado las 10 que considero imprescindibles.

Y si, ya sé que sueno muy pesada con este tema, que la seguridad es aburrida y que malo será… Pero es que estas últimas semanas he estado trabajando en varios blogs y ninguno estaba en condiciones. Y eso me ha dejado un poco preocupada porque no quiero que tu trabajo se vea comprometido. Sobre todo porque es muy sencillo proteger tu blog.

Por cierto, aunque este articulo está centrado en medidas de seguridad para un blog en wordpress.org, te darás cuenta que la mayoría de ellas son aplicables a cualquier sistema. Así que seas de la plataforma que seas, te invito a tomar nota ;)

1. Mantén el ordenador actualizado y libre de virus

Este debería ser tu punto de partida porque de nada te vale invertir tiempo y dinero en medidas de seguridad para tu blog si luego resulta que tienes tu ordenador infectado y te roban la contraseña de acceso al blog.

2. No utilices “admin” como nombre de usuario

Intentar que el nombre del usuario administrador de tu sistema no sea demasiado obvio te ayudará frente ataques de fuerza bruta (es cuando intentan acceder probando todas las combinaciones posibles de usuarios y contraseñas).

Hay varias maneras de cambiar el nombre de tu usuario. Yo lo haría directamente desde la base de datos, pero como entiendo que te pueda dar un poco de respeto trastear por las tripas del sistema, te recomiendo que utilices el plugin Username Changer. En la descripción del plugin verás que hace bastante que no se actualiza, pero yo lo he probado esta misma semana y funciona correctamente. Lo instalas, lo activas, accedes a través de “usuarios” – “username changer”, escoges el usuario que quieras cambiar, rellenas el nuevo nombre y guardas. Así de simple. Y cuando acabes, si quieres, elimina el plugin, que dudo que lo vuelvas a necesitar.

3. No muestres tu nombre de usuario en parte pública

Y ya que tomas la precaución de utilizar un nombre de usuario poco predecible no vas a arruinar el esfuerzo mostrando tu usuario de forma publica, ¿no crees?

Algunas plantillas muestran el nombre del autor de la entrada. El problema es que si no indicas lo contrario, lo que muestra es el usuario. Pero es muy sencillo cambiarlo, sólo tienes que ir a las opciones de edición del usuario en cuestión, acceder al apartado nombre, cubrir su nombre, apellidos o modificar el alias y escoger la opción que prefieras en el campo “mostrar este nombre públicamente”.

La única pega que le veo a esto es que si te fijas en la url que se muestra cuando pasas el ratón sobre el nombre del autor de la entrada veras algo del estilo a www.tublog/author/tuusuario

Vamos, que nosotras lo arreglamos por un lado pero WordPress sigue sin colaborar. Como en el caso anterior, esto se soluciona fácilmente a través de la base de datos, ¿pero para qué arriesgarse a meter la pata cuando el plugin Edit Author Slug lo pone tan fácil? Una vez activado aparecerá una nueva sección en el apartado de edición del usuario “Author slug” y desde ahí puedes cambiar el usuario que se muestra (recuerda que para loguearte en el sistema seguirás usando el usuario real).

4. Trabajar con un usuario no administrador

Tampoco es mala idea que tengas dos usuarios: un usuario administrador que se encargue de las tareas de mantenimiento y un usuario editor con el que accedas para escribir las entradas. De esta manera minimizas el riesgo de que la contraseña del administrador caiga en malas manos. Solemos conectarnos muy alegremente a cualquier wifi gratuita, pero no nos damos cuenta del riesgo que eso supone para la seguridad, sobre todo si no tienes tu equipo en condiciones. Así que tomar precauciones en este sentido no está de más.

5. Usa una contraseña segura

La longitud de una contraseña no debería ser inferior a 8 caracteres y debe combinar mayusculas y minúsculas, incluir números y caracteres especiales.

No es muy buena idea usar una contraseña facilmente predecible, olvidate de usar tu cumpleaños, el de tus hijos o el nombre del perro.

Puedes comprobar el nivel de seguridad de tu contraseña aquí.

Ahhh y recuerda cambiarla con frecuencia.

6. Limitar el número de intentos de login

Y si quieres poner las cosas un poco más difíciles, puedes utilizar un plugin como WP Limit Login Attempts  para bloquear temporalmente aquellas ips que están intentando acceder a tu sistema.

Eso sí, si eres de las que olvida a menudo su contraseña, olvidate de esta medida, no vaya a ser que acabes bloqueandote a ti misma :p

7. Mantén WordPress actualizado

No es necesario que corras cada vez que veas una actualización disponible en tu wordpress (en realidad es aconsejable esperar un par de días). Pero no es bueno pasarse meses con el sistema desfasado, ya que muchas de las actualizaciones incluyen correcciones de errores que afectan a la seguridad y que de no aplicarlas convierten a tu instalación en un gran agujero por el que se cuela cualquiera.

El proceso a seguir es muy simple, realiza una copia de seguridad de tus archivos y de la base de datos, actualiza wordpress, los temas y los plugins (incluidos los que tengas desactivados). Y aunque se tarda más, ve de uno en uno, así en caso de error puedes detectar de donde vienen.

8. No instalar plugins o temas de desconocidos

Se que a veces es muy tentador descargarse un plugin un tema pirata de alguna página, pero no es una buena idea, ya que muchos vienen con “sorpresa” y comprometen tu seguridad.

Acude al repositorio oficial de wordpress (puedes hacerlo a través del panel de control) o a los que provengan de desarrolladores de confianza.

9. Hosting de calidad

Tener alojado tu blog en un servidor que se tome en serio la seguridad te va a ahorrar más de un quebradero de cabeza. Yo estoy muy contenta con Webempresa, pero tu puedes escoger el que quieras. Sólo recuerda preguntar cada cuanto tiempo hacen las copias de seguridad y que te expliquen que medidas de seguridad tienen en su servidor.

10. Copias de seguridad

Desgraciadamente, que tomes las todas las medidas anteriores no te cubre al 100% y lo único que puede salvar que pierdas todo tu trabajo es que tengas tus copias de seguridad al día. Hay muchos plugins que te pueden ayudar en esta tarea, en este post te explico como se configura uno de ellos. Aunque lo ideal es que inviertas en uno que te almacene las copias fuera del servidor.

Yo, por comodidad he optado por acceder directamente al panel del hosting y descargarme la copia cada vez que tengo que actualizar el sistema o voy a probar algún nuevo plugin.

Hay muchas cosas más que puedes hacer para mejorar la seguridad de tu blog, pero hoy me he querido centrar en las que son más sencillas de llevar a cabo. Y como sé que esta parte da algo de miedo y es un poco aburrida he pensado en la forma en la que yo te puedo ayudar con estás tareas y he creado un nuevo servicio con el que tendrás tu blog siempre a punto. Echa un vistazo y me cuentas.

Por cierto ¿cuántos de los 10 puntos cumple tu blog?

Jessica Gestoso

Web

Consultora tecnológica especializada en negocios digitales.
Soy mamá, compañera, emprendedora, blogger, programadora... y, si sueñas con cambiar el mundo, te ayudo a hacerlo ofreciéndote apoyo tecnológico.
Quiero que enfoques tus energías en lo que es importante para ti, sin sentirte frustrada por la tecnología.

Si alguna vez te ha ayudado mi trabajo puedes invitarme a un café.