5 errores de seguridad WordPress y cómo evitarlos
Todo dueño o dueña de un sitio web, sin importar si es WordPress o no, te podría decir lo mismo, la seguridad es una de sus prioridades en su administración. ¿Por qué? Porque sin las medidas adecuadas, tu sitio web puede ser vulnerable a hackers y delincuentes que pueden:
- poner en peligro tu información,
- la de tus usuarios y
- la reputación de tu sitio.
Aunque WordPress sea auditado y actualizado regularmente, todavía hay mucho que se puede hacer para mantener tu sitio seguro. La seguridad no se trata solo de eliminar riesgos, sino de reducirlos y en este artículo te vamos a hablar de 5 errores referentes a la seguridad de nuestro WordPress que todos hemos cometido alguna vez.
1. No actualizar WordPress, plug-ins y temas de manera regular
Uno de los MAYORES errores de seguridad que podemos cometer en WordPress es que se nos pase su actualización, cuando sale una versión nueva. Actualizar tu WordPress no solo puede mejorar el rendimiento y la funcionalidad de tu sitio, también, y esto es lo más importante, va a estar al día con las mejoras de seguridad que lo protegen de nuevas vulnerabilidades. Lo mejor es que WordPress simplifica enormemente la gestión de actualizaciones. Cada vez que haya una actualización disponible de un plug-in, tema o del núcleo, WordPress te lo notificará. Hace algunas versiones, WordPress introdujo actualizaciones automáticas para cambios menores. Lo bueno es que las actualizaciones menores son las que corrigen problemas de seguridad, así que por este lado estamos cubiertos. Las actualizaciones mayores, las que lanzan nuevas funcionalidades, sí tendrás que hacerlas tú mismo una vez estén disponibles. Para plug-ins y temas, podrás activar actualizaciones automáticas o realizarlas tú mismo una vez estén disponibles.
Pro tip:
- Actualiza WordPress, plug-ins y temas con frecuencia
- Haz una copia de seguridad de tu sitio web antes de actualizar cualquier cosa, para asegurarte de que puedas volver atrás en caso de que algo salga mal.
- Verifica la compatibilidad de los plug-ins y temas con la versión actual de WordPress antes de actualizarlos.
2. Usar contraseñas débiles o inseguras
Todos lo sabemos, pero aun así, lo hacemos. Las contraseñas como “1234” son una amenaza para la seguridad de WordPress. Y es que utilizar una contraseña robusta es lo que mejor puedes hacer para mantener la seguridad de tu sitio web. Y no es difícil. WordPress tiene un generador de contraseñas integrado, solo basta presionar un botón para generarla y quedas listo. Las contraseñas deben ser largas, complejas y únicas para cada sitio web. Además, es recomendable cambiarlas regularmente.
Pro tip:
- Usa contraseñas con al menos 12 caracteres que incluyan letras mayúsculas y minúsculas, números y símbolos.
- No uses información personal obvia, como tu fecha de nacimiento o el nombre de tu mascota en tu contraseña.
- Asegúrate de que todas las cuentas de usuario en tu sitio web tengan contraseñas seguras, establece una política de contraseñas y haz que todos los usuarios las cambien regularmente.
- Usa una herramienta de gestión de contraseñas para generar y almacenar contraseñas únicas y complejas.
3. Dejar plug-ins, temas y cuentas de usuario que no utilizas
A menos que estés usando un plug-in, tema o cuenta de usuario, deshazte de él. La sobrecarga innecesaria no solo afecta al rendimiento del sitio, también su seguridad. Cada cuenta de usuario extra es una ventana abierta para hackers y cada plug-in extra es otro plug-in que tienes que actualizar.
Pro tip: ¡Si no lo necesitas, bórralo!
- Revisa regularmente los plug-ins y temas instalados en tu sitio web y no solo desactiva, también borra los que ya no uses.
- Desactiva y elimina las cuentas de usuario que ya no necesites.
- Considera usar un plug-in de seguridad de WordPress que escanee tu sitio en busca de plug-ins y temas obsoletos y vulnerables, y te notifique si encuentra alguno.
4. Usar «admin» como nombre de usuario
Las primeras versiones de WordPress creaban un usuario por defecto llamado “admin”. ¿Qué significaba esto? Que la mayoría de los sitios WordPress tenían un usuario “admin.” A menos que se borrara manualmente, estaba ahí. Y esto era un problema de seguridad, pues si un hacker quería entrar, solo necesitaba usar “admin” como usuario y probar cientos de contraseñas hasta encontrar una que funcionara. Este tipo de intrusión es llamado ataque de fuerza bruta o “brute force attack.” Afortunadamente, ahora puedes llamar a tu usuario administrador como quieras. Desafortunadamente, todavía existen millones de sitios que utilizan este usuario, por lo que sigue siendo el primer nombre de usuario con el que se puede comenzar un ataque de fuerza bruta. Si todavía tienes un usuario llamado “admin” en tu sitio WordPress, es hora de deshacerse de él.
Pro tip:
- Usa un nombre de usuario único y difícil de adivinar para tu cuenta de administrador en WordPress.
- Evita usar información personal obvia en tu nombre de usuario, como tu nombre o tu dirección de correo electrónico, palabras como webmaster o el nombre de tu sitio.
- Si todavía usas «admin» como nombre de usuario, crea una nueva cuenta de administrador con un nombre de usuario diferente y luego elimina la cuenta «admin».
5. No dedicar tiempo a escoger nuestro hosting
El lugar donde tengas alojado tu WordPress, aunque no lo creas, importa y puede jugar el papel más importante en la seguridad de su sitio. Y es que es de esperar que los alojamientos web gratuitos o “baratos” sean incapaces de implementar funciones de seguridad como la protección DDoS, donde los hackers tratan de sobrecargar su infraestructura, mantener actualizados el software y hardware de sus servidores y versiones de php o ni siquiera implementar firewalls. Esto se debe a que mantener una infraestructura de alojamiento segura cuesta dinero, así de sencillo.
Pro tip:
- Escoge un servicio de hosting reconocido aunque salga un poco más caro
- Asegúrate que ofrezcan respaldos automáticos, actualizaciones automáticas de WordPress y configuraciones de seguridad avanzadas.
TL;DR
A veces los cibercriminales tienen acceso a nuestro sitio web, no por vulnerabilidades en el núcleo de WordPress, sino porque como dueños no nos informamos y nos olvidamos de ciertas tareas. Recuerda, los sitios son hackeados por problemas que puedes evitar fácilmente, como mantener un WordPress más limpio, actualizar regularmente los plug-ins, utilizar contraseñas más seguras y definitivamente contratar un buen hosting. ¿Qué vas a hacer hoy para que tu WordPress sea más seguro? Yo comenzaría por cambiar las contraseñas
Resuelve problemas y mejora tu sitio con soporte técnico para WordPress en Colombia
Nuestro soporte técnico garantiza que tu sitio funcione de manera óptima en todo momento. Te brindamos:
- Reparación de problemas técnicos que afectan tu WordPress
- Actualización de contenido, diseño y configuraciones
- Mejoras en velocidad y seguridad para un rendimiento óptimo
- Soporte ágil y profesional, adaptado a tus necesidades
Mantén tu sitio siempre en óptimas condiciones con soporte técnico para WordPress en Colombia
Abre tu ticket ya y deja que nuestros expertos resuelvan tus problemas en WordPress.