Espero que estés de buen humor porque hoy vengo con el firme propósito de intentar asustarte para que te tomes en serio las medidas de seguridad de tu web.
Si tú eres de las pocas personas que utiliza contraseñas seguras y mantienes al día el sistema puedes ahorrarte el post de hoy ;)
Pero si no es el caso, presta atención porque de todas las cosas que puedes hacer para que tu web sea un poquito más segura, he recopilado las 10 que considero imprescindibles.
Y si, ya sé que sueno muy pesada con este tema, que la seguridad es aburrida y que malo será…
Pero es que estas últimas semanas he estado trabajando en varios blogs y ninguno estaba en condiciones.
Y eso me ha dejado un poco preocupada porque no quiero que tu trabajo se vea comprometido.
Por cierto, aunque este articulo está centrado en medidas de seguridad para una web en WordPress .org, te darás cuenta que la mayoría de ellas son aplicables a cualquier sistema.
Así que seas de la plataforma que seas, te invito a tomar nota ;)
Descubre los 21 Errores que dinamitan tu web en WordPress
Únete a mi newsletter y recíbelo gratis en tu email
Una vez dado tu consentimiento, pasarás a formar parte de mi lista de suscriptores y recibirás boletines con recursos que te ayudarán en tu emprendimiento digital y ofertas de mis productos y servicios.
Medidas de seguridad web
1. Mantén el ordenador actualizado y libre de virus
Este debería ser tu punto de partida porque de nada te vale invertir tiempo y dinero en medidas de seguridad para tu web si luego resulta que tienes tu ordenador infectado y te roban la contraseña de acceso al panel de control.
2. No utilices “admin” como nombre de usuario
Intentar que el nombre del usuario administrador de tu sistema no sea demasiado obvio te ayudará frente ataques de fuerza bruta (es cuando intentan acceder probando todas las combinaciones posibles de usuarios y contraseñas).
Hay varias maneras de cambiar el nombre de tu usuario.
Yo lo haría directamente desde la base de datos, pero como entiendo que te pueda dar un poco de respeto trastear por las tripas del sistema, te recomiendo que utilices el plugin Username Changer.
Lo instalas, lo activas, accedes a través de “usuarios” – “username changer”, escoges el usuario que quieras cambiar, rellenas el nuevo nombre y guardas.
Así de simple.
Y cuando acabes, si quieres, elimina el plugin, que dudo que lo vuelvas a necesitar.
3. No muestres tu nombre de usuario en parte pública
Y ya que tomas la precaución de utilizar un nombre de usuario poco predecible no vas a arruinar el esfuerzo mostrando tu usuario de forma publica, ¿no crees?
Algunas plantillas muestran el nombre del autor de la entrada.
El problema es que si no indicas lo contrario, lo que muestra es el usuario.
Pero es muy sencillo cambiarlo.
Sólo tienes que ir a las opciones de edición del usuario en cuestión, acceder al apartado nombre, cubrir su nombre, apellidos o modificar el alias y escoger la opción que prefieras en el campo “mostrar este nombre públicamente”.
La única pega que le veo a esto es que si te fijas en la url que se muestra cuando pasas el ratón sobre el nombre del autor de la entrada, veras algo del estilo a www.tublog/author/tuusuario
Vamos, que nosotras lo arreglamos por un lado pero WordPress sigue sin colaborar.
Como en el caso anterior, esto se soluciona fácilmente a través de la base de datos.
¿Pero para qué arriesgarse a meter la pata cuando el plugin Edit Author Slug lo pone tan fácil?
Una vez activado aparecerá una nueva sección en el apartado de edición del usuario “Author slug” y desde ahí puedes cambiar el usuario que se muestra (recuerda que para loguearte en el sistema seguirás usando el usuario real).
4. Trabajar con un usuario no administrador
Tampoco es mala idea que tengas dos usuarios:
- Un usuario administrador que se encargue de las tareas de mantenimiento.
- Un usuario editor con el que accedas para escribir las entradas.
De esta manera minimizas el riesgo de que la contraseña del administrador caiga en malas manos.
Solemos conectarnos muy alegremente a cualquier wifi gratuita, pero no nos damos cuenta del riesgo que eso supone para la seguridad, sobre todo si no tienes tu equipo en condiciones.
Así que tomar precauciones en este sentido no está de más.
5. Usa una contraseña segura
La longitud de una contraseña no debería ser inferior a 8 caracteres y debe combinar mayusculas y minúsculas, incluir números y caracteres especiales.
No es muy buena idea usar una contraseña fácilmente predecible así que olvídate de usar tu cumpleaños, el de tus hijos o el nombre del perro.
En esta web puedes comprobar el nivel de seguridad de tu contraseña.
Ahhh y recuerda cambiarla con frecuencia.
6. Limitar el número de intentos de login
Y si quieres poner las cosas un poco más difíciles, puedes utilizar un plugin como WP Limit Login Attempts para bloquear temporalmente aquellas ips que están intentando acceder a tu sistema.
Eso sí, si eres de las que olvida a menudo su contraseña, olvidate de esta medida, no vaya a ser que acabes bloqueandote a ti misma :p
7. Mantén WordPress actualizado
No es necesario que corras cada vez que veas una actualización disponible en tu wordpress (en realidad es aconsejable esperar un par de días).
Pero no es bueno pasarse meses con el sistema desfasado.
Muchas de las actualizaciones incluyen correcciones de errores que afectan a la seguridad y si no las aplicas puedes convertir tu instalación en un gran agujero por el que se cuela cualquiera.
El proceso a seguir es muy simple:
- Realiza una copia de seguridad de tus archivos y de la base de datos.
- Actualiza WordPress.
- Los temas
- Los plugins (incluidos los que tengas desactivados). Y aunque se tarda más, ve de uno en uno, así en caso de error puedes detectar de dónde vienen.
8. No instalar plugins o temas de desconocidos
Se que a veces es muy tentador descargarse un plugin un tema pirata de alguna página, pero no es una buena idea, ya que muchos vienen con “sorpresa” y comprometen tu seguridad.
Acude al repositorio oficial de wordpress (puedes hacerlo a través del panel de control) o a los que provengan de desarrolladores de confianza.
9. Hosting de calidad
Tener alojado tu blog en un servidor que se tome en serio la seguridad te va a ahorrar más de un quebradero de cabeza.
Yo estoy muy contenta con SiteGround, pero tu puedes escoger el que quieras.
Sólo recuerda preguntar cada cuanto tiempo hacen las copias de seguridad y que te expliquen que medidas de seguridad tienen en su servidor.
10. Copias de seguridad
Desgraciadamente, que tomes las todas las medidas anteriores no te cubre al 100% y lo único que puede salvar que pierdas todo tu trabajo es que tengas tus copias de seguridad al día.
Hay muchos plugins gratuitos que te pueden ayudar en esta tarea. Aunque lo ideal es que inviertas en uno que te almacene las copias fuera del servidor.
Yo estoy muy contenta con UpdraftPlus y es el plugin que le instalo a todas mis clientas.
Hay muchas cosas más que puedes hacer para mejorar la seguridad de tu web.
Pero hoy me he querido centrar en las que son más sencillas de llevar a cabo.
Y como sé que esta parte da algo de miedo y es un poco aburrida tengo un servicio pensado para ayudarte con estás tareas.
Por cierto ¿cuántos de los 10 puntos cumple tu blog?
Yo usaba un generador de contraseñas pero veo que hay muchas más cosas que hacer para estar «seguro» en internet…
Para las contraseñas yo utilizo 1Password. Utilizo una super-contraseña como llave de paso y desde ahí las gestiono todas. Que es la única manera que he encontrado de poner una contraseña segura para cada una de las herramientas que manejo.
¡Excelente artículo! Tomo nota para ponerlo en práctica pronto ?
Muy buen post, gracias por compartirlo
saludos
Nicolás