- Copias de seguridad
- Actualiza tu versión de Wordpress a la última.
Otro de los requisitos fundamentales: asegúrate de que la versión de tu Wordpress es la última.
- Cambia tu usuario de Login y pon una contraseña de seguridad.
El usuario por defecto de WordPress es “admin” y la mayoría de los hackers lo saben. Tienes que cambiar este usuario a otra cosa que no sea "admin" o "administrador".
- Contraseñas en el archivo wp-config.php
Utiliza el WordPress Key Generator para generar estas contraseñas. Abre tu wp-config.php y busca las líneas que se parecen a continuación y simplemente reemplazalos por los generados:
define ('AUTH_KEY', 'pon tu frase única aquí');
define ('SECURE_AUTH_KEY', 'pon tu frase única aquí');
define ('LOGGED_IN_KEY', 'pon tu frase única aquí');
define ('NONCE_KEY' , 'pon tu frase única aquí');
Guarda y ya está!
- Instala algún plugin de seguridad, por ejemplo, Wordfence.
Es un plugin muy sencillo y te envía todos las revisiones a tu correo si lo das de alta. Explorará tu WordPress en busca de vulnerabilidades y te informará de si encuentra algún código malicioso, etc.
- Cambie la tabla de prefijo. No uses la típica por defecto: _wp
Instala Change Prefix Wordpress.
El prefijo de tabla por defecto de WordPress es wp_. Lo sabes tú y lo sabe también el pirata que quiera hackear tu web.
Las inyecciones por SQL son los ataques más fáciles. Cambia tu prefijo por otro cualquiera. Puedes hacerlo de forma manual con conocimientos básicos de SQL o bien usa un plugin de Wordpress como el que comentamos al inicio de este punto.
- Protege tu .htaccess
Copia este texto dentro de tu .htaccess
# Protege .htaccess en Apache 2.4 <FilesMatch "^.*\.([Hh][Tt][Aa])"> Require all denied </FilesMatch>
# FUERTE PROTECCION HTACCESS <Files ~ "^.*\.([Hh][Tt][Aa])"> Order allow,deny Deny from all Satisfy all </Files>
Es mejor prevenir que curar. Así que trabaja tu Wordpress antes de que sea tarde.
Te aconsejamos que revises la seguridad de tu wordpress en general para que no te sigan o vuelvan a atacar la página, a continuación te copio algunos consejos:
-
Cambiar todas las contraseñas que tengas: cPanel, admin de wordpress, cuentas de correo electrónico, cuentas de FTP, etc.
-
Mantener tu wordpress actualizado a la última versión. Actualiza siempre que salga una nueva actualización con mejoras y añadidos de seguridad. Si has instalado el wordpress a través de cPanel > Softaculous, puedes actualizarlo desde ahí mismo.
-
Revisar los plugins instalados. Muchos plugins de terceros utilizan versiones de PHP anteriores a la 7.x, por lo que suelen estar desactualizados desde hace tiempo. Es mejor siempre utilizar plugins de confianza que tengan parches de seguridad asiduamente.
-
Revisar los formularios de contacto. Muchos bots atacantes utilizan los distintos formularios de contacto que existen para colarse en los wordpress. Es bueno utilizar algún plugin de contacto bien actualizado, que utilice SMTP y no
php mail()(esto es muy importante), y que cuente con un captcha o algún sistema que evite envíos de bots. -
Utilizar SMTP para todo el wordpress. El CMS por defecto envía correos a través de la función
mail()de php, la cual está totalmente obsoleta y no utiliza ningún tipo de seguridad de correo electrónico. Normalmente se utiliza para suplantar identidades. Lo mejor es utilizar una cuenta de correo existente en tu hosting, y configurar wordpress para enviar por SMTP a través de esa cuenta. -
La carpeta de administración
wp-admines conveniente que se llame de forma distinta para evitar intentos de entradas habituales. Se pueden poner unos números aleatorios al final para solucionarlo como por ejemplowp-admin19765. Lo mismo ocurre con el usuario de administración, no es conveniente mantener el usuarioadminsino poner un nombre de usuario que no sea habitual, y la contraseña por supuesto que sea lo más segura posible, mezclando mayúsculas/minúsculas/números/símbolos y que tenga una longitud mínima de 10 carcteres. -
Instalar plugins de firewall como WordFence (recomendado). Te ayudarán a bloquear la inmensa mayoría de ataques diarios que reciben los Wordpress a través de patrones conocidos.
Hay más cosas que se pueden hacer para mejorar la seguridad de tu web, pero estos puntos son esenciales para dicho cometido.
