En esta lección aprenderemos a proteger nuestro sitio web WordPress, de posibles ataques que puedan causarnos alguna molestia. Realizaremos las tareas más básicas y recomendables para evitar problemas e instalaremos algunos complementos de seguridad.
Ir a contenido:
Introducción
Ahora que todos tenemos nuestros sitios web en línea y accesible para todo el mundo, es momento de asegurar nuestro panel de administración de WordPress; como hemos podido notar, toda la actividad que realizamos a partir de ahora será dentro de internet, por lo tanto estamos expuestos a los ataques cibernéticos ya sea menor o gran menor medida.
Al principio es probable que no tengamos que preocuparnos, pues WordPress es muy seguro y además nadie conoce nuestro sitio web; sin embargo en cuanto tengamos un poco de notoriedad es posible que ciertos agentes externos traten de ingresar a nuestro panel de administración.
En esta lección aseguraremos nuestra instalación de WordPress para evitar problemillas más adelante, por no tomar las precauciones. Entonces ¡Vamos por ello!
Medidas básicas de seguridad en WordPress
Para asegurar nuestra instalación de WordPress, debemos empezar por tomar las medidas más básicas.
Comenzaremos asegurando nuestros datos de acceso al panel de administración, me refiero al nombre de usuario o correo electrónico y por otro lado la contraseña.
Recomendaciones básicas de seguridad
- Evita que tu nombre de usuario sea algo sencillo como: admin, root, tu dominio, tu nombre, o algo fácil de acertar.
- Asegúrate de tener una contraseña realmente segura, incluye en ellas letras, mayúsculas, números, signos, etc.
- En lo posible evita emplear un correo electrónico inseguro como correo administrador, me refiero a que evites usar ese correo que todos saben, público o que haya sido expuesto en algún lugar.
- Mantiene todas las actualizaciones al día, actualiza los plugins, temas, y el mismo WordPress cuando haya actualizaciones disponibles.
- En ocasiones, si tus datos de acceso son débiles o están comprometidos, puedes crear un nuevo administrador y atribuir todo el contenido, de tal manera que puedas eliminar el usuario con datos de acceso débiles o comprometidos.
Implementando Plugins de seguridad
Después de haber realizado algunas tareas para proteger nuestro sitio web, es momento de instalar ciertos plugins para reforzar la seguridad un poco más, para ello nos ayudaremos instalando un par de plugins que cumplan una tarea específica.
- Limit Login Attempts Reloaded.- para limitar los intentos de acceso a nuestro panel de administración.
- WPS Hide Login.- para cambiar la URL de acceso al administrador.
- Admin Block Country.- para evitar el acceso a nuestra instalación desde otras regiones del mundo.
Configurar los complementos de seguridad
Ahora pasemos a implementar los complementos de seguridad para WordPress que hemos mencionado y empezamos por cambiar la URL de acceso.
Wp Hide Login
El plugins Wp Hide Login nos ayudará a cambiar la URL de acceso a nuestro panel de administración de WordPress. Se supone que todos los sitios web creados con WordPress utilizan una URL de acceso, tan simple como agregar a la URL del dominio el: /wp-admin.
Desde luego, no es nada agradable ni serio que cualquiera pueda entrar a esta URL y tratar de ingresar a nuestro panel probando nombres de usuario y contraseñas.
Ahora empecemos con instalar y activar el plugin Wp Hide Login

Una vez activado podemos ir a ajustes del plugin desde nuestra lista de plugins instalados o también podemos ir a configurar desde la opción que se encuentra dentro de ajustes en la barra lateral del panel de administración.

O desde la barra lateral dentro de la opción ajustes. Esto nos dirigirá a la ventana de ajustes generales de nuestro sitio web, y si nos desplazamos al final, ahora disponemos con los campos necesarios para cambiar la URL de acceso.

Perfecto, ahora solo queda colocar la URL de acceso que nosotros queremos y si gustas también tienes la opción de redirigir a una URL que quieras a quienes traten de acceder al wp-admin sin haber iniciado sesión, o bien puede mostrar la página 404 de página no encontrada.
Una vez terminado, debemos guardar los cambios, en la próxima que ingresemos al panel de administración lo haremos desde nuestra nueva URL de acceso que acabamos de crear.
Admin Block Country
Este complemento nos permite bloquear el acceso a nuestro panel de administración de WordPress por país, es decir, podemos establecer desde que países podemos conectarnos o no al administrador de nuestro sitio web.
Su configuración es bastante simple, basta con instalar activar y seleccionar los países de donde no queremos que puedan acceder al panel de administración y bloquearlas.
Entonces procedamos a activar el plugin Admin Block Country desde nuestra lista de plugins, y si aún no lo tienen instalado entonces instalen.

Una vez activado, buscamos la opción para poder configurar, en nuestro caso aparece una nueva opción en la barra lateral de nuestro panel, casi en la parte final, ubicamos y damos clic.

Seremos dirigidos a una ventana donde nos pedirán seleccionar los países que queremos bloquear. Antes de marcar todos, asegúrate de que tu país o los países desde donde si desees acceder al administrador, no estén bloqueados.

En caso no necesitamos acceder de ningún otro país, la opción de seleccionar todo (Select All) es genial. Finalmente damos clic en el botón de bloquear: Block, nos aparece un mensaje de éxito y el plugin ya cumple su tarea.

Cabe señalar que estamos bloqueando el acceso al panel de administración, más no a nuestro sitio web, el contenido de nuestra web siempre estará accesible para todos y en nuestro caso es esa la idea ¿Verdad? Claro que sí.
Limit Login Attempts Reloaded
El plugins Limit Login Attempts Reloaded es otro de los complementos para proteger nuestro panel de administración. Con este complemento podremos limitar los intentos de acceso a nuestro panel de administración.
Estableceremos la cantidad de intentos permitidos, el tiempo de bloqueo para los intentos errados, y entre otros ajustes que veremos a continuación.
Procedamos a instalar y activar el plugin de seguridad Limit Login Attempts Reloaded, en nuestro caso ya tenemos instalado, lo activaremos desde nuestra lista de plugins, si aún no instalaste, hazlo ahora y activamos.

Una vez activado, buscaremos la opción para poder configurarla; en este caso lo encontramos en la barra lateral dentro de los ajustes.

Una vez ubicado damos clic en la opción Limit Login Attempts. Seremos dirigidos a la ventana de configuración de plugin.

Lo que debemos configurar son los intentos permitidos, los minutos de bloqueo, veamos en orden:
- Total Lockouts.- Total de bloqueos que se han realizado
- GDPR Compliance.- marcar esta casilla hace que se cumpla GDPR, para sitios que están bajo el reglamento europeo de protección de datos, si es tu caso déjalo marcado.
- Lockout.- El primer cuadro indica que el número de intentos de acceso permitidos es de 4, el segundo campo indica que después de esos 4 intentos el tiempo de bloqueo es de 20 minutos, el tercer campo establece que después de 4 bloques de 20 minutos, el bloqueo será de 24 horas. El último campo establece que cada 12 horas se restablecen los intentos.
- Notify on lockout.- notificar sobre el bloqueo, podemos activar esta opción e indicar el correo electrónico al cual nos enviarán notificaciones automáticamente cuando se realicen bloqueos. Para ello indicamos, ¿Cada cuantos bloqueos queremos que se nos notifique? En este caso lo tenemos en 4.
Por otro lado tenemos los campos de Whitelist (lista blanca) y los campos de Blacklist (lista negra)

En ellas podemos colocar direcciones IP permitidas en whitelist y direcciones IP sospechosas en blacklist. Finalmente guardamos los ajustes realizados desde el botón: Save Options.
Perfecto, con estas configuraciones y complementos habremos asegurado nuestro sitio web frente algún posible ataque.
Existen muchas maneras de asegurar un sitio hecho con WordPress, desde métodos manuales hasta muchos plugins que hacen el trabajo de asegurar nuestra instalación de WordPress.
Hasta aquí esta lección, en la siguiente clase aprenderemos a crear formularios que son elementos muy importantes en un sitio web.
Si gustas puedes ver el vídeo tutorial sobre seguridad en WordPress desde aquí.