WordPress es el CMS más popular hoy en día para crear un sitio web. Actualmente esta plataforma acapara el 59.5% de todas las webs que utilizan un sistema de gestión de contenidos conocido, por encima de Drupal o Joomla, según W3Techs. Esta popularidad le convierte, por desgracia, es un objetivo atractivo para hackers y piratas informáticos. Y esto puede hacer cuestionarte si WordPress es lo suficientemente seguro y si es el CMS más adecuado .
En primer lugar, la mala noticia es que ningún CMS es 100% seguro, y a diario cientos de webs son hackeadas. Sin embargo la buena noticia es que la mayoría de ataques pueden ser prevenidos siguiendo una serie de pautas.
Un reciente estudio sobre webs hackeadas destacó que los ataques poco tenían que ver con las vulnerabilidades de seguridad del núcleo de WordPress, sino más bien estaban relacionadas con desactualizaciones y un pobre mantenimiento. Los plugins son los que mayores problemas suponen en cuanto a seguridad. Le siguen las vulnerabilidades del núcleo y por último provienen del tema utilizado.
Una web hackeada puede ser un dolor de cabeza sobre todo en términos de ranking de SEO. Google y otros buscadores enseguida colocan en la lista negra aquellas webs que contienen algún archivo malicioso.
Pero vayamos por partes, ¿qué pautas son las recomendables para que tu web en WordPress esté segura ? Veamos.
Cuando se trata de WordPress, tu hosting importa
Ya que el servidor donde se aloja tu web puede ser un objetivo para los atacantes, usar un hosting compartido de baja calidad puede hacer que tu sitio sea más vulnerable y tenga más posibilidades de verse comprometido.
A la hora de elegir alojamiento web para tu WordPress, te recomendamos que optes por uno con una sólida infraestructura de seguridad. La seguridad debe ser uno de sus principales puntos de reclamo. También te recomendamos que ofrezcan: fácil instalación de certificados SSL, soporte SFTP (no solo FTP), y que utilice al menos PHP 5.6, aunque la versión 7.0+ es más recomendable, por sus mejoras en seguridad.
Los plugins y temas instalados también son clave
Hay miles y miles de plugins para mejorar tu web, pero cada extensión instalada puede abrir una posible entrada a un actor malicioso. Por tanto, instala plugins de webs de confianza y reputación, y mantenlos actualizados.
Las actualizaciones importan. Y mucho
También, el riesgo de que tu web se vea comprometida es mayor cuando el núcleo de WordPress está desactualizado. Según el estudio antes mencionado, de todas los WordPress atacados, el 39.3% no usaban la última versión del core de wordprees. Por eso, para que tu web se mantenga lo más segura posible, actualiza tu WordPress siempre que salga una nueva versión. No te olvides de hacer una copia de seguridad antes de instalar una actualización importante.
Ojo con las contraseñas
La página del login es la forma más fácil que cualquier hacker tiene para entrar al admin de tu web. Ya que no hay límite de intentos fallidos de logueo, a través de prueba y error pueden llegar a adivinar tu combinación de usuario y contraseña, y lograr entrar. Por eso, utiliza siempre una contraseña compleja para proteger la seguridad de tu web, mejor si es una combinación de mayúsculas, minúsculas, símbolos y números. Es muy útil utilizar un gestor de contraseñas como Keepass que te ayude a generar y guardar tus contraseñas.
También puedes aplicar una capa extra de seguridad utilizando un plugin de Verificación en 2 pasos. Además de tu usuario y contraseña, para loguearte se te pedirá un código que podrías recibir en tu móvil u otro dispositivo.
Copias de seguridad a mano
Por lo que pueda pasar, no está de más tener una copia de seguridad a mano, que te permita fácilmente restaurar una versión completa de tu web en caso de que pase algo indeseado. WordPress no ofrece por defecto esta funcionalidad y necesitas de una solución externa, ya sea a través de tu proveedor de hosting o la instalación de plugins específicos. Lo más cómodo es que periódicamente se realice una copia automática, para estar prevenido en cualquier momento. Que sea además una copia completa no solo de tu base de datos sino también de tus archivos.
Activa el certificado SSL
Este certificado permite que todo dato transmitido entre el ususario y tu sitio web esté cifrado. Esto significa que nadie podrá ver ni interceptar información que el usuario comparta con tu sitio (por ejemplo, tarjetas de crédito). Es un servicio que muchos proveedores de hosting ofrecen de forma gratuita, para que tu web sea HTTPs. Además tiene otro beneficio, y es que es otro factor de posicionamiento para Google.
En resumen
Siguiendo una serie de simples pasos puedes mantener tu WordPress seguro y minimizar cualquier riesgo.
- Elige un hosting de calidad
- Utiliza contraseñas complejas y no fácilmente adivinables.
- Mantén el core de WordPress , tus plugins y temas actualizados.
- Y desinstala aquellos que no se usen.
- Elige plugins y temas de desarrolladores de confianza y con buena reputación.
- Ten un copia de seguridad reciente siempre a mano.
- Activa el SSL en tu web.