En esta lección, aprenderemos cómo proteger nuestro sitio web de WordPress contra posibles ataques que podrían causar inconvenientes. Ejecutaremos las tareas más básicas y aconsejables para prevenir problemas e instalaremos varios plugins de seguridad.
Ver índice del contenido
Introducción
Ahora que nuestros sitios web están en línea y accesibles para todos, es crucial asegurar el panel de administración de WordPress. Como es evidente, nuestras actividades en internet nos exponen a ataques cibernéticos, ya sean de menor o mayor magnitud.
Inicialmente, puede que no haya motivo de preocupación ya que WordPress es bastante seguro y nuestro sitio web aún no es conocido. No obstante, una vez que ganemos algo de notoriedad, es probable que agentes externos intenten acceder a nuestro panel de administración.
En esta lección, tomaremos medidas para asegurar nuestra instalación de WordPress y prevenir problemas futuros por falta de precauciones. ¡Así que vamos a ello!
Medidas básicas de seguridad en WordPress
Para garantizar la seguridad de nuestra instalación de WordPress, es fundamental comenzar implementando las medidas de protección más elementales.
Iniciaremos protegiendo nuestros datos de acceso al panel de administración, es decir, el nombre de usuario o correo electrónico y, por otro lado, la contraseña.
Recomendaciones básicas de seguridad
- Asegúrate de que tu nombre de usuario no sea algo simple como: admin, root, tu dominio, tu propio nombre o cualquier cosa fácil de adivinar.
- Es importante contar con una contraseña muy segura; asegúrate de que incluya letras, mayúsculas, números y signos de puntuación.
- Es recomendable no utilizar un correo electrónico inseguro como correo de administrador; es decir, evitar usar aquel correo que es de conocimiento público o que ha sido expuesto previamente.
- Mantenga todas las actualizaciones al día, actualice los plugins, temas y el mismo WordPress cuando estén disponibles las actualizaciones.
- A veces, si tus credenciales de acceso son débiles o han sido comprometidas, es posible crear un nuevo administrador y transferirle todo el contenido, para así poder eliminar al usuario cuyas credenciales son inseguras o están expuestas.
Implementando Plugins de seguridad
Tras haber ejecutado algunas acciones para proteger nuestro sitio web, ha llegado el momento de instalar algunos plugins que aumenten aún más la seguridad. Para esto, procederemos a instalar un par de plugins diseñados para cumplir con tareas específicas de seguridad.
- Limit Login Attempts Reloaded: para limitar los intentos de acceso a nuestro panel de administración.
- WPS Hide Login: para cambiar la URL de acceso al administrador.
- Admin Block Country: para evitar el acceso a nuestra instalación desde otras regiones del mundo.
Configurar los complementos de seguridad
Ahora procederemos a instalar los complementos de seguridad para WordPress que hemos mencionado, comenzando por modificar la URL de acceso.
Wp Hide Login
El plugin WPS Hide Login nos permite cambiar la URL de acceso al panel de administración de WordPress. Generalmente, los sitios web creados con WordPress acceden mediante una URL que añade al dominio: /wp-admin.
Ciertamente, no resulta agradable ni profesional que alguien tenga acceso libre a esta URL e intente acceder a nuestro panel utilizando diferentes nombres de usuario y contraseñas.
Ahora empecemos con instalar y activar el plugin Wp Hide Login
Una vez activado, podemos acceder a los ajustes del plugin desde nuestra lista de plugins instalados o configurarlo desde la opción disponible en la barra lateral de ajustes del panel de administración.
O bien desde la barra lateral, accediendo a la opción de ajustes. Esto nos llevará a la ventana de ajustes generales de nuestro sitio web y, desplazándonos hacia el final, encontraremos los campos necesarios para modificar la URL de acceso.
Excelente, ahora solo necesitas establecer la URL de acceso deseada. Además, tienes la opción de redirigir a una URL específica a aquellos que intenten ingresar al wp-admin sin haber iniciado sesión, o mostrarles la página 404 de error de no encontrada.
Una vez finalizado, es necesario guardar los cambios. La próxima vez que accedamos al panel de administración, lo haremos a través de la nueva URL de acceso que hemos creado.
Admin Block Country
Este complemento permite restringir el acceso al panel de administración de WordPress por país, lo que significa que podemos definir desde qué países se permite o no la conexión al administrador de nuestro sitio web.
La configuración es bastante sencilla: solo se necesita instalar, activar y elegir los países a los cuales no deseamos permitir el acceso al panel de administración para bloquearlos.
Procedamos a activar el complemento Admin Block Country desde nuestra lista de complementos; si aún no está instalado, procedan con su instalación.
Una vez activada, buscamos la opción de configuración. En nuestro caso, aparece una nueva opción en la barra lateral del panel, casi al final. La localizamos y hacemos clic.
Nos llevarán a una ventana que nos solicitará seleccionar los países que deseamos bloquear. Antes de seleccionar todos, verifica que tu país o los países desde los cuales deseas tener acceso al administrador no estén incluidos en la lista de bloqueados.
Si no necesitamos acceso desde otros países, la opción de ‘Seleccionar Todo’ es excelente. Al hacer clic en el botón ‘Bloquear’, aparecerá un mensaje de confirmación y el complemento comenzará a funcionar.
Es importante mencionar que estamos restringiendo el acceso al panel de administración, pero no a nuestro sitio web. El contenido de nuestra página estará siempre disponible para todos, y esa es precisamente la idea, ¿no es así? Por supuesto que sí.
Limit Login Attempts Reloaded
El complemento Limit Login Attempts Reloaded es una herramienta más para proteger nuestro panel de administración. Este complemento nos permite limitar los intentos de inicio de sesión en nuestro panel.
Configuraremos la cantidad de intentos permitidos, el tiempo de bloqueo después de intentos fallidos, y otros ajustes que examinaremos a continuación.
Procederemos a instalar y activar el plugin de seguridad Limit Login Attempts Reloaded. En nuestro caso, ya lo tenemos instalado, así que lo activaremos desde nuestra lista de plugins. Si aún no lo has instalado, por favor instálalo ahora para que podamos activarlo.
Una vez activada, buscaremos la opción para configurarla; en este caso, la encontraremos en la barra lateral dentro de los ajustes.
Una vez localizada, hacemos clic en la opción ‘Limit Login Attempts’. Esto nos redirigirá a la ventana de configuración del plugin.
Debemos configurar los intentos permitidos y los minutos de bloqueo; analicémoslo en orden:
- Total Lockouts: Total de bloqueos que se han realizado
- GDPR Compliance: marcar esta casilla hace que se cumpla GDPR, para sitios que están bajo el reglamento europeo de protección de datos, si es tu caso déjalo marcado.
- Lockout: El primer campo señala que se permiten hasta 4 intentos de acceso; el segundo, que tras esos intentos el bloqueo será de 20 minutos; el tercero, que después de 4 periodos de bloqueo de 20 minutos cada uno, se impondrá un bloqueo de 24 horas. El último campo indica que los intentos se reinician cada 12 horas.
- Notify on lockout: Para recibir notificaciones sobre bloqueos, podemos habilitar esta función y especificar el correo electrónico al que se enviarán las alertas automáticamente tras cada bloqueo. Podemos establecer la frecuencia de estas notificaciones; por ejemplo, en este caso, se ha configurado para recibir una notificación cada cuatro bloqueos.
Por otro lado tenemos los campos de Whitelist (lista blanca) y los campos de Blacklist (lista negra)
En ellas podemos colocar direcciones IP permitidas en whitelist y direcciones IP sospechosas en blacklist. Finalmente guardamos los ajustes realizados desde el botón: Save Options.
Perfecto, con estas configuraciones y complementos habremos asegurado nuestro sitio web frente algún posible ataque.
Existen muchas maneras de asegurar un sitio hecho con WordPress, desde métodos manuales hasta muchos plugins que hacen el trabajo de asegurar nuestra instalación de WordPress.
Hasta aquí esta lección, en la siguiente clase aprenderemos a crear formularios que son elementos muy importantes en un sitio web.
Si gustas puedes ver el vídeo tutorial sobre seguridad en WordPress desde aquí.