Buenas prácticas y consejos de seguridad en WordPress
Te explicamos una lista de buenas prácticas e ideas que puedes llevar a cabo para proteger tu web:
Configurar una cuenta de correo por SMTP
Aunque no influya directamente en la seguridad de tu web, nunca está de más mejorar la calidad de tus correos.
Imagina que hackean tu web y tienes que resetear los usuarios como te contábamos en este otro artículo. Si tus correos no están bien configurados y no se entregan los usuarios nunca podrán solicitar la recuperación de contraseña.
Configurar un correo SMTP permitirá que los correos de tu web no los mande tu propia web sino tu servicio de correo contratado. De esta manera la reputación de los mismos será mucho mejor y es muy menos probable que Hotmail o Gmail los rechacen o los envíen a carpetas de spam.
Para eso necesitas una cuenta de correo que pueda enviar correos, su contraseña y los datos de configuración del hosting.
Después instala el plugin post SMTP y configura la cuenta.
Envía un correo de prueba y si lo recibes es que está bien configurado.
Configurar un Captcha en formularios y login
Instalar un Captcha en el formulario de acceso a tu web añadirá una barrera de seguridad contra intentos de login automatizados y robots.
Hay varias maneras de instalarlos. Puedes mirar aquí cómo hacerlo.
Cambia las claves de cifrado de WordPress
Las cookies de sesión de WordPress almacenan la contraseña cifrada de cada usuario para que la próxima vez que acceda a la web ya esté conectado. Añadir claves de cifrado nuevas y seguras permitirá que tus contraseñas no queden expuestas a través de tus cookies. Cambiarlas con relativa frecuencia puede mejorar notablemente la seguridad de tu web.
Puedes leer en este otro artículo como cambiarlas.
Cómo cambiar las contraseñas de WordPress.
Ocultar ficheros y directorios por .htaccess
Es habitual que a la hora de desarrollar una web se cree una nueva carpeta y y mover la web vieja dentro, o hacer una exportación de la base de datos y dejar el fichero SQL en la raíz, o incluso añadir algún código específico de WordPress en un fichero en la raíz.
Ya sea por despiste o por desconocimiento, la realidad es que muchas veces se quedan ficheros que son accesibles desde el navegador y no nos damos cuenta. Es cierto que WordPress redirige todas las URL que escribimos y si no existen las envía a la página 404, el problema es que si el fichero sí existe, WordPress no interviene y se abrirá directamente.
Si no quieres borrar contenido o no tienes muy claro si tienes que hacerlo, puedes utilizar este pequeño consejo para ocultarlo a los navegadores y que solo sea accesible a través de FTP.
Si quieres ocultar un fichero, abre .htaccess e indica que quieres bloquearlo de la siguiente manera:
<Files readme.html>
Order Allow,Deny
Deny from all
</Files>
También puedes copiar este código para bloquear todos los ficheros habituales que no son html o php para asegurarte que impides el acceso a cualquier fichero que se quede ahí por error:
<FilesMatch "\.(htaccess|htpasswd|ini|log|sh|inc|bak|sql)$">
Order Allow,Deny
Deny from all
</FilesMatch>
Si quieres ocultar una carpeta con todos sus ficheros, dentro de ella crea o edita el fichero .htaccess y añade este código:
# Apache 2.4
<IfModule mod_authz_core.c>
Require all denied
</IfModule>
# Apache 2.2
<IfModule !mod_authz_core.c>
Order Allow,Deny
Deny from all
</IfModule>
Aunque no son ficheros críticos si quieres puedes aprovechar y ocultar permanentemente los ficheros readme.html y license.txt que crea WordPress automáticamente en cada actualización.
Instalar WordFence
Ese plugin es tu estrategia definitiva contra los hackers. Añadirá un cortafuegos que bloqueará las IPs peligrosas, te permitirá instalar un Captcha en el login de WordPress, impedirá ataques de fuerza bruta, añadirá un registro de todos los accesos y logins de desde que está activo y te mandará correos cuando pasen cosas peligrosas en tu web.
No usar usuario admin
Aunque no es realmente necesario, es una buena práctica no utilizar nombres comunes en las cuentas de usuario de tu web.
En cualquier intento de acceso ilícito lo primero que van a intentar descubrir es la contraseña del usuario admin. Si en tu web no existe este usuario admin, te aseguras de que antes de empezar a atacar tienen que descubrir el nombre de tu usuario.
Por la misma razón, otra buena idea es tampoco usar el dominio o el de tu cuenta de correo como nombre de usuario.
Enmascarar URL del backend
Hay muy pocas razones (por no decir ninguna) en la que alguien necesite acceder a la URL de /wp-admin si no es el administrador. En la mayoría de los casos serán curiosos, usuarios malintencionados, o robots con intenciones dañinas.
Así que una buena estrategia es ocultar la ventana de login de tu WP. Es un pequeño paso más para ponérselo difícil a los intentos de ataques por fuerza bruta y robots automatizados.
La manera más fácil y rápida es instalar el plugin WPS Hide Login. Un plugin muy liviano con el único objetivo que de enmascarar tu dirección de acceso y que además se suele actualizar con frecuencia.
Atención: Ten en cuenta que una vez lo instales tu url de acceso cambiará y tendrás que recordarla cuando quieras volver a acceder. Si la olvidas tendrás que desactivar el plugin desde un acceso FTP ya que no podrás acceder a tu backend.