Determinar si ¿Es seguro WordPress? es complejo pues hay opiniones para todos los gustos, pero yo te voy a dar mi punto de vista al respecto.
Episodio 5 de Seguridad en WordPress para Principiantes.
Hoy te hago una pregunta… ¿Crees que WordPress es inseguro?
WordPress es inseguro…
Por medio de las publicaciones que realizo en este sitio web quiero aprovechar para llevar a los menos conocedores de la seguridad, principalmente la relacionada con CMS, su importancia y las sencillas técnicas o pautas con las que se puede mejorar.
[piopialo vcboxed=»1″]El usuario es el eslabón más débil de todo el proceso y evitarlo solo esta en las manos de cada uno. #wpseg[/piopialo]
¿Es seguro WordPress?
El núcleo (core) de WordPress, de facto, es muy seguro, pero son las malas políticas de seguridad o la ausencia de ellas, así como ignorar que las copias de seguridad sirven para algo, y abusar del uso de plugins, las que acaban llevando cualquier instalación estable al desastre.
- Si utilizas una versión desactualizada y/o vulnerable.
- Si instalas plugins indiscriminadamente y luego te olvidas de ellos.
- Si te excedes en la protección de tu web (menos plugins y más Hosting).
- Si lo de las copias de seguridad es cosa de tu Hosting y no va contigo.
- Si sumas en lugar de restar (menos es más).
- Si accedes a tu dashboard desde conexiones inseguras (wifis públicas, bares, etc).
Por increíble que te parezca, actualmente solo el 53,3% de instalaciones de WordPress trabajan con la versión estable, el resto se reparten entre el 0,8% que aún trabajan con la versión 3.4 que data de 2012 y el 10,7% que aún siguen anclados en la versión 4.6 que ya quedó atrás y además es muy vulnerable.
Vale la pena prestar atención a las revisiones (opiniones) y recomendaciones de los usuarios de WordPress y no ser demasiado rápido a la hora de descargar o instalar nuevos plugins en tu web que pueden tener graves fallos de seguridad.
Las vulnerabilidades existen, eso es incuestionable, por lo que tener políticas de prevención y contención frente a fallos de seguridad de un sitio web deben formar parte de tu checklist de trabajo con WordPress, sobre todo si tu enfoque es comercial y gestionas tu propia cartera de clientes.
Veamos en unos pocos puntos como puedes contribuir a que tu instalación de WordPress sea más estable, más segura y te permita dormir más tranquilo sabiendo que todo está bajo control.
Checklist para asegurar WordPress:
- Mantén el núcleo, plugins y temas siempre actualizados.
- Realiza de forma regular copias de seguridad. ¡siempre!
- Evitar la exploración de directorios.
- Oculta los posibles errores de PHP.
- Mantén protegido el directorio wp-admin
- Protege el archivo wp-config.php
- En sitios con varios usuarios, fuerza el cambio de contraseñas periódicamente.
- Deshabilita el listado del archivo .htaccess
- Utilizar contraseñas más robustas y menos predecibles. (Llaveros).
- Deshabilita llamadas a procedimiento remotos (XML-RPC)
- Deshabilita Trackbacks y Pingbacks
- Cambia el usuario administrador admin (un clásico).
- Elimina los usuarios inactivos.
- Utiliza el rol de colaborador para autores invitados. (MPE = Mínimo Punto de Exposición)
- Los temas y plugins que no necesites desinstálalos.
- Monitoriza tu sitio web en tiempo real.
- Utiliza SSL en WordPress ¡Let’s Encrypt es gratuito, no hay excusas!
- Audita los cambios realizados por diferentes administradores (multisitios).
- Usa métodos de autenticación en dos pasos (2FA) CiberProtector
- Accede siempre a la web de forma segura (SFTP, SSH, a cPanel desde VPN).
- No instales plugins de seguridad, mejor contrata un buen Hosting.
La lista es breve pero con los puntos más destacados a tener en cuenta, si quieres ampliar esta información puedes leer un post que publique en el Blog de José Facchin al respecto.
[perfectpullquote align=»full» cite=»» link=»» color=»#78d9b2″ class=»» size=»18″]Seguridad en WordPress ¡La mega guía para blindar tu página web o blog![/perfectpullquote]
Conclusiones
Tras esta breve exposición de puntos a considerar, y con la pregunta ¿Es seguro WordPress?, se justifica la máxima que siempre sostengo «WordPress es muy seguro» pero son los usuarios y el uso de plugins de terceros, vulnerables, o descargados de sitios de poca confianza, los que convierten WordPress en una instalación vulnerable.
[piopialo vcboxed=»1″]Tu feedback y comentarios son el combustible que alimenta estos PODCAST de Seguridad en #WordPress para Principiantes #wpseg[/piopialo]
Si te surgen dudas con los pasos a seguir para añadir seguridad a tu WordPress ¡pregúntame!
Gracias por haberme acompañado hoy en esta breve pero intensa aventura.
Recordarte que este PODCAST lo puedes escuchar desde tu dispositivo en iTunes o iVOOX .
Nos encontramos en el próximo PODCAST dedicado a WordPress y su seguridad!!
