Iniciar un blog, un e-commerce o un site para una pyme o cualquiera que sea el site que quiere implementar con este CMS requiere una inversión inicial como alojamiento, temas, o posibles desarrollos adhoc.
Esta inversión inicial por sí sola es suficiente para proteger su sitio web desde el principio. Pero lo más importante, es asegurar el potencial retorno que puede traer.
De forma predeterminada, el core de WordPress tiene implementadas algunas medidas de seguridad, pero no es nada comparado con lo que un plugin de seguridad acreditado hacer. Por ejemplo, los principales plugins de seguridad de WordPress ofrecen lo siguiente:
- Monitoreo de seguridad activa
- Escaneo de archivos
- Escaneo de malware
- Seguimiento de lista negra
- Endurecimiento de la seguridad
- Acciones de post-hack
- Firewalls
- Protección de ataque de fuerza bruta
- Notificaciones para cuando se detecta una amenaza de seguridad
Las principales pautas a grandes rasgos que se deben seguir para mantener la seguridad de tu WordPress pasarían por las siguientes.
Hosting
Sin duda la elección de nuestro proveedor de hosting puede traernos quebraderos de cabeza o darnos cierta seguridad.
En más de alguna ocasión he mencionado que para un tipo de blog normal o incluso uno con un cierto tráfico la mejor solución es una implementación VPS, donde poder levantar una instancia privada (virtualizada) donde sólo estará tu WordPress bajo una misma IP. Dejando atrás los arcaicos servidores compartidos que sólo traían problemas.
Para más detalles sobre la elección del Hosting y servidores VPS recomiendo la siguiente lectura de otro de mis artículos: Cómo lanzar tu WordPress en un VPS
Instalación de plugins y temas
Siempre tenemos que descargar plugins y temas (o themes) de sitios oficiales o recomendados por la comunidad. Así evitamos caer en posibles archivos dañinos que afecten a nuestra web.
Existen muchos sites para comprar plantillas que van desde los 9$, sites tan reconocidos como Themeforest, pero también hay muchos otro sites con plantillas wordpress que son realmente útiles.
Actualizar, actualizar, actualizar
Que más decir. WordPress es un código abierto, que cualquiera puede analizar y procesar. Si se tratan de ciberdelicuentes que intentan obtener beneficio de instalaciones obsoletas de wordpress tienen listados con exploits y vulnerabilidades que pueden explotar: https://wpvulndb.com/
Existe algún que otro plugin que realiza actualizaciones automáticas de los propios plugins presentes en la instalación. Sin duda una estrategia a tener en cuenta si el administrador del WordPress no suele estar conectado con frecuencia.
Backups
Es muy recomendable realizar una copia de seguridad de manera periódica. Así nos aseguramos de mantener a salvo nuestra página ante posibles problemas. Guardar la configuración y los archivos es vital para poder restaurarla si fuera necesario.
Al menos es aconsejable hacer una copia de seguridad cada mes, pero ya depende del flujo de nuestra página. Cuanto menos tiempo pase, mejor. Todo sea por aumentar la seguridad en WordPress
Existen plugis como «BackWPup» donde se pueden programar trabajos para realizar backups de la base de datos, listado de plugins, configuración, etc y volcarlos ya sea en Amazon S3, una cuenta FTP, una cuenta de Dropbox, etc..
Algo fundamental.
Gestión de contraseñas
Este es un consejo tanto para WordPress como para cualquier aplicación o servicio. Es muy recomendable cambiar las contraseñas periódicamente. Además éstas deben de ser lo más complejas que podamos. Evitar siempre introducir nombres propios, fechas, números que nos relacionen. Siempre es bueno alternar letras, números y otros caracteres, con mayúsculas y minúsculas.
También es importante revisar y modificar las claves de acceso FTP para evitar posibles incidentes.
Si quieres leer un artículo específico sobre este tema te recomiendo la siguiente lectura: Gestión de contraseñas seguras
Muy buen artículo. Tengo hechas todas mis ecommerce con wordpress. 🙂
Muchas gracias! Me alegro que te haya resultado útil.
Cualquier duda que tengas me dices.
Saludos!