Tenemos que ser conscientes que nuestra web nunca va a ser 100% segura (¡ni ningún sistema!). Lo que tenemos que hacer, y para ello vamos a ayudarte con este artículo, es intentar minimizar los agujeros de seguridad para que sea lo más segura posible, siempre dentro de nuestras posibilidades. Aunque nuestra web no necesite los niveles de seguridad que debe de tener, por ejemplo, la de un banco, vamos a intentarlo.
Ya os dimos algunas pautas de seguridad en nuestro artículo ‘Como hacer tu web más segura‘. Hoy vamos a profundizar un poco más en aquellos puntos más críticos parta tu WordPress, incidiendo en los errores habituales que podemos cometer.
Actualizaciones
Comenzamos con las actualizaciones porque es probablemente la parte más delicada, ya que son precisamente las vulnerabilidades de los sistemas las que explotan aquellos que quieran hacer uso malicioso de nuestra web o de los datos de contiene. Es fundamental revisar todo tu sistema periódicamente y actualizarlo debidamente.
WordPress nos anuncia de manera clara si tenemos alguna actualización como vemos en la imagen de arriba.
WordPress
Los desarrolladores del CMS suelen publicar actualizaciones de diferentes niveles para corregir las vulnerabilidades, fallos de seguridad o implementar mejoras. Se distinguen tres tipos:
- Actualizaciones mayores. Aquí se incluyen grandes cambios y mejoras de la aplicación. Por ejemplo actualmente está la versión 6.1 y anteriormente la 6.0. Estos son cambios mayores y por tanto necesitamos pensar dos veces antes de actualizar y tener preparado un plan “B” en caso de problemas
- Actualizaciones menores. Son temas de mantenimiento y seguridad. Las versiones de formas con dos dígitos, como por ejemplo al pasar de la 6.0.1 a la 6.0.2
- Actualizaciones de desarrollo. Este tipo de versiones son de prueba, y aparecen disponibles para ser probadas en versión beta como versiones futuras.
Plugins
Los plugins serán lo que más trabajo nos lleve en las tareas de actualización. Normalmente tenemos un número elevado de ellos en nuestra web, por lo que es habitual que siempre haya alguna actualización pendiente. No se recomienda hacerlo de manera inmediata a ver una nueva versión y sí realizar las tareas de manera coordinada y periódica. En este caso tenemos que tener en cuenta posibles incompatibilidades con el core de WordPress o con la versión de PHP, por lo que hay que realizar una serie de revisiones previas a la actualización.
Sobre los plugins ya hemos escrito otros artículos como una ‘Tu primer plugin en WordPress‘ donde podrás familiarizarte con esta parte fundamental de nuestro sistema, o nuestra recomendación de plugins ‘Unos plugins interesantes para nuestra web en WordPress‘.
Tema
Otras de las actualizaciones que vamos a tener es la que afecta a nuestro tema. Estas revisiones suelen implementar mejoras y solucionar problemas de seguridad, como ocurre en el caso de las anteriores. Sin embargo no suelen actualizarse tan habitualmente salvo los temas más extendidos, como le sucede por ejemplo a DIVI. Este no es un buen ejemplo ya que en realidad se trata más de un framework que un simple tema. En general se actualizan pocas veces al año.
PHP
Tampoco nos podemos olvidar de nuestra versión de PHP (como ya sabéis PHP es el lenguaje de programación usado para el desarrollo de WordPress)
El uso de una versión obsoleta de PHP también pone en peligro nuestro sistema. Una vez superada la fecha de soporte, esa versión deja de recibir las actualizaciones de seguridad y por tanto está en peligro de ser explotadas las nuevas vulnerabilidades.
Usuarios y contraseñas
Es otro de los pilares de la seguridad y que a veces olvidamos. Cuando buscamos la facilidad para recordar una contraseña o un usuario, estamos comprometiendo la seguridad ya que esas palabras “fáciles” de recordar serán las primeras que probará cualquiera que intente acceder.
Esta es la primera puerta que debemos de cerrar de nuestra web, por ello se recomienda el uso de usuarios y contraseñas complejas, evitando, por ejemplo los típicos “admin” o “administrador” y contraseñas del estilo “1234” o “password”.
Mediante plugins de seguridad, como se puede obligar a una complejidad mínima en el uso de contraseñas aunque el sistema te ayuda ya que te ofrece generar una contraseña segura. Sino aquí tenéis una web que os genera una contraseñas complejas según las opciones
SSL
El uso de certificados digitales son claves para aislar las comunicaciones entre nuestra web y el explorador remoto que la solicita. El funcionamiento es muy sencillo, la comunicación se encripta entre tu web y el usuario por lo que si tratáramos de “leer” el contenido durante el trayecto sería imposible. Esto es especialmente crítico en el caso de un banco o un ecommerce ya que tratan de datos muy sensibles. Hoy en día existen certificados gratuitos que vienen configurados en la mayoría de los hostings, por lo que podemos disfrutar de esta seguridad extra sin trabajo de configuración.
En este apartado es casi imprescindible instalar el plugin Really Simple SSL. Y si queremos una seguridad extra, la versión Pro es una opción muy recomendable.
Plugins de seguridad
Instalar un antivirus o un firewall en nuestro WordPress es tan necesario como tener el sistema actualizado, pero ojo, no podemos perder de vista algunos inconvenientes que nos pueden causar estos programas, por ejemplo el rendimiento. En general debemos evitar el exceso de plugins en nuestra web pero hay algunos que son fundamentales para su funcionamineto.
Es este caso tenemos plugins como Wordfence como una de las mejores opciones. Otra buena elección es iThemes Security
Copias de seguridad
A esto es a lo que nos referíamos con tener siempre un plan “B”. Antes de realizar cualquier actualización debemos asegurarnos que tenemos un respaldo reciente (de poco nos serviría tener una copia de seguridad de hace 6 meses…) del que podemos recurrir en caso de “catástrofe”, que a veces suceden…
Muchos de los actuales proveedores de hosting nos ofrecen un buen sistema de respaldo con copias diarias, por ejemplo a través de programas como JetBackup que es de los más usados en cPanel. El contratar un buen proveedor para nuestra web es tambiñen una buena medida de seguridad. Aquí podéis ver nuestra recomendación de los principales proveedores de hosting en español.
Un buen sistema de respaldo nos asegura tener siempre una copia reciente (de un máximo de 24h) y poder restaurar la parte que nos haya fallado, como puede ser solo los plugins o, en el caso extremo, toda mi web.
Una buena alternativa es instalar un plugin de backup. Para ello Updraftplus es probablemente la mejor opción. Tiene una versión gratuita que será suficiente y es realmente muy potente. No solo te permite descargarte los ficheros de las copias sino que podéis conectarlo con muchos sistemas en cloud, como Dropbox, Google Drive, etc. y llevar allí las copias. ¡Toda una garantía!
Otra opción interesante es clonar la web antes de cualquier la tarea de actualización. Para ello nuestra recomendación sin duda es Duplicator, aunque dependiendo del tamaño de nuestra web, la versión free se nos quedará corta.
Otras medidas
Existen otras acciones que podemos realizar, como ocultar el backend por defecto de WordPress. A diferencia de otros CMS como Prestashop, que generaran URLs de acceso aleatorias, WordPress siempre usa /wp-admin/ (por ejemplo htps://miweb/wp-admin/). Podemos cambiar este acceso de manera sencilla, o bien a través de algunos plugin de seguridad como iThemes Security que lo tienen incluido (del que hemos hablado anteriormente), o con uno específico como WPS Hide Login.
Conclusiones
La seguridad es una de las mayores preocupaciones de todos los profesionales que trabajamos con páginas web. Siguiendo una pequeña guía como la que te hemos mostrado y teniendo la regularidad de llevarla a cabo, ayudarás y mucho a su seguridad. ¡Buen trabajo!