Seguridad, seguridad, seguridad. Esa suele ser la respuesta más común cuando les preguntamos a nuestros clientes cuáles son sus principales preocupaciones una vez montado su sitio web. Porque para todos, incluidos nosotros, un hackeo inesperado acarrea una pérdida de tiempo, dinero y credibilidad por la que ninguno queremos pasar, ya tengamos una tienda de ecommerce o nos encarguemos de la gestión de diferentes sitios para nuestros clientes.
Si bien no existe una solución de seguridad estándar para todos los casos, sí que podemos seguir una serie de prácticas recomendadas con las que tratar de blindar nuestra web. Pero antes de eso, veamos también el porqué nuestro sitio resulta tan goloso para este tipo de malware.
¿Por qué son susceptibles de hackeo los sitios WordPress?
Merece la pena entender porqué suceden antes de ver qué podemos hacer para evitar estos ataques. Básicamente, los hackers irrumpen en nuestro sitio con tres objetivos bien claros:
- Para enviar correos electrónicos de spam a través de él.
- Para hacerse con todo tipo de información confidencial, como pueden ser listas de correos, tarjetas de crédito guardadas, datos de contacto, etc.
- Para instalar malware.
Sea cual sea el motivo por el que han hackeado tu sitio, no te lo tomes como algo personal. Lo más probable es que se trate de un ataque a gran escala como pueden ser los ataques de denegación de servicio (DoS, por sus siglas en inglés) o bien un ataque de denegación de servicio distribuido (DDoS). Esto quiere decir que en lugar de ir a por un solo sitio web, lo que pretenden los hackers es atacar más bien la infraestructura en la que opera tu sitio para así tener impacto en un mayor número de sitios a la vez.
Es precisamente por esto por lo que WordPress es a menudo blanco de estos ataques. Después de todo, aloja un 30 % de todos los sitios web. Pero que no cunda el pánico. El hecho de que WP sea un software de código abierto con una comunidad muy comprometida implica que tiene detrás un numeroso equipo que trabaja continuamente para mejorar la seguridad de la plataforma.
Basta con que seas consciente de que puedes sufrir un ataque en cualquier momento y que por suerte, tienes a tu disposición bastantes medidas con las que aumentar tu seguridad y ponérselo mucho más difícil a los hackers.
Mejores prácticas de seguridad para WP
- Actualiza con regularidad tus temas, plugins y la versión de tu WordPress
Mantener tu sitio al día con todas las actualizaciones disponibles es ya de por sí una garantía de seguridad. Las actualizaciones existen por algo, sobre todo en el caso de los plugins. Y la seguridad suele ser el motivo de sus mejoras frecuentes.
Así que cuando te pueda la desgana, piensa que en el momento que los desarrolladores de WP descubren una vulnerabilidad, enseguida trabajan en una actualización que la subsane, así que cuanto más tardes en instalarla, más expuesto estará tu sitio.
Claro que, si has contratado un servicio gestionado, siempre puedes estar tranquilo de que estará en las mejores manos y serán estas las que se encarguen de mantener plugins, temas y el núcleo de WordPress al día. ¡Una tarea menos a tachar de la lista!
- Sigue las recomendaciones para nombres de usuario y contraseñas
Puede que esta ya te la sepas, pero nunca está de más recordar que tu contraseña debe ser única, tu nombre de usuario, complejo, y que un gestor de contraseñas te facilita mucho la vida. Por si no conoces ninguno, te recomendamos encarecidamente 1Password.
Un par de cosas más: huye de las típicas contraseñas —los hackers se las saben todas—, y recuerda actualizar tus contraseñas con regularidad.
- Limita el número de intentos de inicio de sesión
Una vez que ya tienes resuelto el tema de las contraseñas y nombres de usuario, no está de más que des un paso más y que limites el número de veces que un usuario puede intentar acceder. Resulta ser una de las formas más eficaces para evitar ataques a tu sitio.
Prueba con este plugin, con el que lograrás bloquear durante 20 minutos cualquier inicio de sesión que supere los cuatro intentos.
- Mueve la URL del login de WordPress
Basta con cambiar la URL de inicio de sesión a tu WP, que por defecto suele formarse con tan solo añadir /wp_admin al final de la UR, para ponerle un obstáculo más a los hackers.
Tienes varias maneras de hacerlo. Nuestro consejo es que empieces con el plugin WPS Hide Login. Eso sí, cuando cambies la URL, recuerda compartirla con los demás colaboradores y/o con el cliente.
- Utiliza una autenticación de dos factores
Otra gran manera de garantizar la seguridad de tu sitio es recurriendo a una autenticación de dos factores, un método que crea una segunda contraseña temporal que se renueva cada 30 segundos aproximadamente. Una vez implementado, los hackers tendrán que adivinar tanto tu contraseña habitual como la generada por este sistema de seguridad. Y hacerlo con un margen de apenas 30 segundos.
- Añade un captcha a tus formularios
A estas alturas ya te habrás dado cuenta de la importancia de blindar el acceso a tu sitio a través de la página de login. Pero no es la única forma. No debemos olvidarnos de los comentarios de tu blog, las páginas de pago y cualquier otro formulario abierto que tengas en tu sitio web.
Piensa que los hackers lo tienen tan fácil como incluir enlaces maliciosos en un comentario, por ejemplo. Para evitarlo, te recomendamos que eches un vistazo a plugins como este.