4 medidas básicas para asegurar tu WordPress (sin tocar líneas de código)

wordpress-best-cms

Con este artículo inauguro una serie de publicaciones que tienen como fin hacer de tu sitio de WordPress un sitio más seguro sin tener que entrar en las líneas de código.

Un reciente estudio realizado por pingdom, revela que WordPress es la plataforma preferida por los 100 blogs más grandes del mundo.  Estos datos coinciden con los reportes que aplicaciones como Wapalyzer ( especializadas en  detectar el tipo de tecnología utilizada por un sitio web)  que ubican a WordPress como la aplicación más popular en la categoría blog con un 75% de instalaciones detectadas en los últimos 30 días.

Lo anterior resulta interesante y da cuenta de la gran comunidad de usuarios y desarrolladores de la plataforma, lo que a su vez significa contar con un gran respaldo. Por esta razón WordPress seguirá  evolucionando  aún más y continuará ampliando su portafolio de características y funcionalidades.

Sin embargo, por desgracia, tal y como ocurre en otros ámbitos de la tecnología, entre más personas  utilicen una herramienta, mayor será el interés de los ciberdelincuentes por atacar dicho recurso a fin de sacar provecho de tal volumen de usuarios para propagar sus creaciones.

Compañías reconocidas de seguridad informática catalogan a WordPress como el CMS más seguro o dicho de una forma más precisa, inseguro de su clase. No obstante esto no lo hace ajeno a sufrir algún tipo de amenaza o infección y mucho menos cuando su popularidad es tan evidente.

Ataques del tipo Multistage, Cross Site Scripting (XSS), SQL Inyection, Fuerza Bruta, robos de sesión, ejecución maliciosa de código, suplantación de contenido, entre muchas otras amenazas, pueden comprometer tanto a  la integridad de su sitio web o blog como a sus usuarios y con ello a su marca directamente, si no se toman las medidas necesarias para prevenirlas o mitigarlas.

Este tipo de irrupciones a sitios web suceden a diario sin que sus propietarios logren percatarse de la situación. Por fortuna, existen recursos y medidas que se pueden implementar (sin que seas un experto en seguridad) para mitigar en gran medida los riesgos asociados a posibles vulnerabilidades o agujeros de seguridad que pongan en jaque a nuestro sitio frente a usuarios malintencionados.

Consejos para mejorar la seguridad en WordPress

En esta primera entrega sobre seguridad en WordPress, vamos a hablar a través de algunas de las mejores prácticas que en materia de seguridad se deben considerar. Luego, haré referencia a algunos plugins de seguridad indispensables.

1.- Servidor

Así es, todo comienza por el hosting. Tengo cuidado al escoger el proveedor de alojamiento para tu sitio. Por lo generar los hosting de bajo costo suelen tener falencias a nivel de seguridad. No obstante no es un mal que aqueje únicamente a los host baratos. Existen servicios costosísimos que te prometen características de seguridad de alta, soporte permanente y en realidad cuando tienes tu sitio andando, nada es como te prometieron.

Contrata un buen servidor, consulta en foros y en google sobrela fiablidad del proveedor que pretendes contratar antes de hacer la compra. No te fijes de los mensajes que dejas los usuarios afiliados a un proveedor.

2.- Asegura tu propio computador

Nuestro PC o laptop pareciera no tener nada que ver con nuestro sitio de WordPress más que permitirnos conectarnos y navegar en el sitio. Sin embargo, ¿Qué pasaría si tu computador está infectado con un Keylogger que esta capturando tus credenciales de acceso a WordPress y tus archivos vía FTP? Sin duda, malas consecuencias traería consigo este hecho.

Debes mantener tu sistema operativo actualizado, todos tus programas en PC actualizado y tu equipo protegido con alguna herramienta antivirus con capacidades de detección proactiva de malware. Un antivirus que te permita estar protegido contra todo tipo de amenazas informáticas.

Actualizaciones de WordPress

Siempre debes contar con la última versión de WP instalada en tu sitio. Además es importante que todos los plugins estén debidamente actualizados así como la plantilla de diseño de tu sitio.

¿Por qué? Por lo generar en cada actualización se resuelven errores y agujeros de seguridad que de no hacer la actualización, un atacante podría darse cuenta de que su sitio no está actualizado, hacer una revisión de la documentación de errores y vulnerabilidades de la versión actual de tu sitio y aprovechar esta brecha para hacer de las suyas.

3.- Copias de seguridad

Procura mantener una rutina programada para la generación de respaldos de todo tu sitio, tanto de archivos como de la base de datos. Contar con una copia actualizada de nuestro sitio, nos será de mucha utilidad en caso de desastres. Un backup nos permite reaccionar rápidamente ante un eventual incidente para hacer la restauración respectiva.

4.- Elimina los plugins que no utilizas

No hay razón para tener plugins instalados que no se están utilizando. A parte del consumo de recursos que demanda la sobrecarga de plugins, detrás de un plugin sin utilizar, olvidado y desactualizado se podría esconder una vulnerabilidad que ponga en riesgo a tu sitio. Entre menos plugins instalados, mayor control sobre estos tendrás.

En una próxima entrega te daré la lista de 12 plugins indispensables para asegurar tu sitio. Mientras tanto,  ¿ Qué otras medidas agregarias a esta lista?