Contraseña nivel Legendario
Empezamos por lo básico, la contraseña para el panel de administración de WordPress tiene que ser lo más complicada posible (PAdsWqwie345379·”$%rtS) <= esto sí que es válido. Es más, WordPress trae consigo un generador de contraseñas que te puede servir sin problema.
El usuario que no sea “admin”; importante cambiarlo por un nombre totalmente ajeno a la web o tu persona, por ejemplo: “fuegovalyrio”
Modificar el prefijo en las tablas de la base de datos wp_
Cuando instalamos WordPress por primera vez, nos genera varios archivos y todos con el prefijo wp_ por defecto, esto lo sabe cualquier individuo que quiera hackear tu sitio web, por eso te recomendamos a modificar dicho prefijo por algo diferente: unicornio_admin, unicornio_config, etc…
Cuando se crea la base de datos, justo al final está la opción del prefijo:
Para poder realizar este cambio en Installatron, lo puedes gestionar desde el apartado de Archivos y tablas:
Servicio de alojamiento seguro, con preferencia un Hosting específico para WordPress
La seguridad de tu sitio web dependerá en gran parte del hosting donde esté alojado, ¿como podemos saber si el hosting es seguro?; hay muchas formas aparte de ver reviews y críticas en general, pero sería esencial que tengan un servicio de Hosting dedicado a WordPress. Es importante un CDN (como CloudFlare), Firewall, Antispam y servicio de copias de seguridad diaras, todo esto como mínimo para dejarnos llevar por un alojamiento para WordPress.
Plugins para aumentar la seguridad
Existen cientos o miles de plugins para WordPress que ayudan a proteger tu sitio de varias maneras, nosotros os dejamos los dos mejores:
- iThemes Security.
Protege, detecta, oculta, recupera; si es que lo tiene todo. Es una solución completa y óptima para WordPress que mantiene a raya a los hackers o intrusos. Al ser un plugin tan potente, la configuración de sus parámetros es un poco compleja, así que si no tenéis muchos conocimientos; acudir a un técnico para no dejar cabos sueltos en vuestro sitio web. - All In One WP Security&Firewall
Al ser un plugin “all in one” nos beneficio en el sentido de que trae consigo varios servicios de seguridad (antivirus, firewall, auditor de seguridad, entre otros); es fácil de configurar, intuitivo y muy potente
Más sobre Plugins
- Tienen que ser plugins oficiales, no podemos utilizar cualquier archivo que encontremos por ahí.
- Debemos tener todos los plugins actualizados a su última versión
- Eliminar plugins que no utilicemos
- Con preferencia descartar el uso de plugins “arcaicos”, hay infinidad de ellos que llevan meses sin actualizarse.
Tenéis que tomar en cuenta que los plugins de la página oficial de WordPress son los más recomendados: https://es.wordpress.org/
Actualiza WordPress a su última versión
Sabemos que WordPress es una de las plataformas más utilizadas a nivel mundial, se calcula que lo utiliza más de un 30% de sitios web a nivel mundial. Como es un gestor de contenidos famoso está claro que más de un hacker tiene puesto el ojo en él y que buscan la manera de hacerse con el control; por esa razón WordPress actualiza la plataforma constantemente para evitar en su mayoría cualquier tipo de vulnerabilidad, así que no lo dudes y actualiza que sólo es un clic y unos minutos.
Permisos a carpetas y archivos
WordPress por defecto genera permisos a carpetas y archivos que se puede modificar automáticamente por plugins o de forma manual desde el cPanel o un cliente FTP.
Los permisos de acceso deberían ser: Archivos 644 y Carpetas 755.
Realizar copias de seguridad (Backup)
Muchas empresas de hosting incluyen en sus planes el servicio de Backup, que puede ser diario, semanal, mensual etc… no obstante aunque tengamos unas copias en el hosting que hayamos contratado, por nuestra parte también deberíamos tener un backup en la nube o físico de al menos una vez al mes.
