Si tienes un proyecto online con una página web, esta merece un cuidado especial.
Al igual que cuando tienes un coche y lo guardas en el garaje, cierras sus puertas o le pones alarma. Lo mismo debes hacer con tu página web, invertir en ella, teniendo en cuenta desde adquirir un buen hosting donde la vas alojar.
Configurar todos los accesos, cumplimentarla con el certificado SSL, usar contraseñas seguras, todo lo que vayamos a incluir en la página web que sea legal, adquirirlo desde el repositorio de wordPress o hablar con su desarrollador para ver las garantías que nos dan, estar al día e ir actualizando tanto WordPress como el tema que usemos o los plugins que hayamos instalados, y muy importante también el realizar copias de seguridad periódicamente de nuestra página web.
Son muchas cosas, pero os iré explicando en siete pasos, para que podáis comprobando en vuestra página, e ir haciendo si no lo tuvieras hecho.
Hacer todos estos pasos no os garantiza que no puedan hackearos, pero si ayuda y mucho, a ponérselo más difícil a los robots, troyano, y código malicioso que hay por ahí suelto.
Y no penséis que como vuestra página web es sencilla, o que no vendéis productos no os van a hackear, porque eso no es cierto, ya que los robots que intentan acceder a las páginas web no tienen eso en cuenta, sino los proyectos que son mas vulnerables y le dan mejor acceso. Por lo que, más vale prevenir que curar.
Hosting
HostingEs muy importante tener en cuenta las prestaciones y seguridad que nos van a dar el servidor donde vamos alojar nuestro proyecto web. Debe tener una plataforma segura, actualizada y debe estar siempre activos y que les preocupe mucho la seguridad de sus clientes.
Ya sabéis que lo barato sale a la larga caro. En mi opinión os dejo tres de los servidores con los cuales trabajo y recomiendo a mis clientes. Y en el tema de seguridad los tres están muy conciéncianos:
- Webempresa
- SiteGround
- Raiola Network
Conexión y herramienta de trabajo
Conexión y herramienta de trabajoY algo que no solemos prestar atención, y hay que tenerlo en cuenta es la conexión a internet y desde donde lo hagas. Es decir la herramienta de trabajo, el ordenador tiene que estar bien protegido. Y si luego abrimos con el cliente la página web desde una tablet o móvil para hacer alguna modificación, también tiene que estar bien protegidos con su antivirus y firewall.
Respecto a la conexión que deciros, que si lo hacéis desde casa, que os conectéis con cable, ademas de que os irá mas rápido, es mas seguro. Pero si lo tienes que hacer vía wifi, accedas a tu router y selecciones la conexión con cifrado WPA2 y le pongas tu propia contraseña. Y que deshabilites la conexión WPS que es una via de entrada para atacantes.
Certificado SSL
Certificado SSLLo que conocemos cuando vemos páginas web con el protocolo HTTPS, esas páginas son las que tienen el certificado SSL integrado en nuestra página web. Este permite que haya una comunicación segura entre el usuario y el servidor. Hoy en día, los servidores de hosting, suelen incluir este servicio al contratar alguno de sus planes, en el caso de las tres que te he mencionado lo hacen.
Copias de seguridad
Que buena frase, «mas vale prevenir que curar», verdad? Pues si, mi gente. Hay que ser previsores, y dormir tranquilos, sabiendo que tenemos una copia de seguridad de nuestro proyecto web y poder acceder a el ante cualquier posible incidente grave.
Podemos tener copia de seguridad que nos haga nuestro propio servidor de hosting, consultar si lo hacen y con que periodicidad. Ademas de ello, tambien te aconsejo con cualquier de los plugin que te indico a continuación hagas una copia de seguridad tu mism@ y lo guardes en tu ordenador, un disco externo o en el caso del plugin BackWPup te lo puede guardar en la nube.
Muy útil este apartado, sobretodo mirar si la tenéis actualizada antes de instalar cualquier actualización o realizar un cambio de instalación nueva de algún plugin o tema.
XCloner
👉🏼Webempresa nos enseña en este video cómo hacer copias de seguridad con este plugin.
BackWPup
👉🏼Alvaro Fontela, otro referente en el mundo WordPress, te explica en este video la instalación y configuración de este plugin.
Actualizaciones
ActualizacionesEs un hecho, y después de encontrarme con algunos proyectos para hacer el re-diseño, he accedido a su WordPress y he visto que tenían muchas actualizaciones pendientes. Y esto es como dejar la puerta abierta de tu casa, para que cualquier ladrón pueda acceder libremente.
La mejor forma de prevenir fallos de seguridad en tu página web frente a vulnerabilidades es tener el CMS en este caso WordPress actualizado en la última versión, al igual que el tema que estemos usando en la página web y los plugins que tengamos instalados.
Lo podemos hacer de forma manual, o que se vaya haciendo de forma automática introduciendo una linea de código en el wp.config.php
👉🏼 define (´WP_AUTO_UPDATE_CORE´,true);
Y es que tener una página web en Internet, no consiste en «mimarla» solo al principio cuando la estamos creando y una vez que la tengamos subida olvidarnos de ella. Ya que hay que tener un mantenimiento sobre nuestra página web.
Es nuestro negocio, y una de las peores cosas que nos pueden suceder es que puedan hackearla. Investigar dónde está el código malicioso y limpiarla, te saldrá caro además del tiempo que perderás hasta que se active de nuevo.
Plugin de seguridad para tu WordPress
Plugin de seguridad para tu WordPressEn este apartado, como en varios artículos que ya he publicado, os haré hincapié en la importancia de instalar tanto temas como plugin desde el repositorio de WordPress, y teniendo en cuenta el número de descargas y su fecha de actualización. Y ante alguna duda, ponernos en contacto con el desarrollador del mismo o informarnos en el foro de WordPress.
No os fiéis de lo que ofrecen barato por ahí, o gratis. Ya que pueden ir cargados de código malicioso y lo instaléis vosotros mismos.
Hay muchos plugin de seguridad que puedes utilizar, pero como ya sabéis, yo no os voy a mencionar todos los que hay, sino el que yo utilizo y me parece mas sencillo y completo.
Itheme security
Cómo veis en la imagen anterior, la valoración es casi de las cinco estrellas y tiene un gran éxito siendo muy instalada. Y hace poco de su última actualización, tres datos muy importantes a tener en cuenta cuando vayamos a instalar un plugin del repositorio de WordPress.
Me gusta mucho este plugin, porque tiene una serie de bloques que puedes activar y configurar , abarcando muchas posibilidades de seguridad como veis en la imagen:
Cambios de url y datos
Cambios de url y datosEste apartado es un poco más avanzado pero igual de importante que cualquiera de los otros pasos a tener en cuenta para tener una página web segura en WordPress. Y os hablo de no ponérselo fácil a los intrusos.
WordPress por defecto, incluye para acceder a su cpanel, incluir wp-admin a la url. Es decir, mi dominio es www.mariadelacalzada.es si quiero acceder al cpanel de mi página para escribir una entrada, pongo en la url 👉🏼 www.mariadelacalzada.es/wp-admin y ya me sale para meter usuario y contraseña.
En este caso os aconsejo cambia ese acceso que usa todo el mundo, al igual que no uséis admin como nombre de usuario y que la contraseña no sea relacionada con el proyecto, sea larga, utilizando letras tanto minúsculas como mayusculas, números y símbolos.
Con este plugin podréis configurar este acceso.
Custon Login URL
*Entrevista con Fernando Tellado
*Entrevista con Fernando TelladoEste fin pasado, tuve el placer de asistir a la Wordcamp de Granada con grandes amigos. Fue una experiencia única que seguro siempre recordaré, ademas de todo los tips que pude aprender e iré implementando y comentaros, tuve la oportunidad de entrevistar a Fernando Tellado para mi un gran ídolo en este mundo de WordPress y un gran referente.
Os dejo su web, al cual os aconsejo que os suscribáis, ya que diariamente Fernando escribe un mail con temas muy interesantes sobre WordPress. Su conocimiento es muy valioso es una persona con mucho paraje en este mundo, con muchos años de experiencia y que está en continuo actualización y probando plugin y cambios que se hacen en WordPress.
Su web y sin más os dejo esta entrevista con grandes Tips que desde su experiencia nos cuenta la seguridad en WordPress. Cosas a tener en cuenta:
Espero que todos estos pasos que te menciono y los tips y grandes consejos que nos da Fernando Tellado, te sirvan para dormir más tranquilo una vez que hayas aplicado a tu página web todo. No es complicado de hacer y no te llevará mucho tiempo. Recuerda, más vale prevenir que curar.
También te puede interesar:
Y tú, que métodos aplicas de seguridad en tu página web?
Gracias Maria por acercar de forma tan detallada la seguridad en WordPress para el usuario.
La mayoría de veces por falta de mantenimiento en una web con WordPress aparecen los problemas. Todos somos susceptibles de recibir diversos tipos de ataque. Por lo que siempre es de gran ayuda toda la información aportada en temas de seguridad.
Gracias
Así es Jorge, mucha gente contrata una pagina web o la diseña, y la deja en el olvido. Y como cualquier cosa, para su buen funcionamiento y rendimiento, y como parte de un negocio, es escalaba y necesita de un mantenimiento. Luego se pagan más caro las consecuencias. Espero que la gente comience a concienciarse a tiempo y no sufran ataques.
Saludos
Muchas gracias María por este artículo. La verdad es que la seguridad es algo imprescindible en una web que usa WordPress, pero siento que mucha gente la descuida porque no ven el peligro que existe en internet (hasta que pasa lo que pasa).
Instalaré el plugin de Itheme security que la verdad no conocía!
Ha sido un gusto leerte 🙂