Por: Diego Morabito y Paul Aguilar
¿Estás estrenando un sitio web nuevo? ¿Decidiste realizarlo con WordPress? ¡Genial!
Seguramente pasaste horas configurándolo para que se viera justo como querías, seleccionaste los temas y elegiste entre una larguísima lista de plugins a tus gustos y necesidades, pero, ¿cuánto tiempo pasaste configurando la seguridad de tu sitio? Para esto, aquí te compartimos 5 recomendaciones y herramientas básicas para asegurar tu sitio web en WordPress.
1. Accesos y contraseñas
Lo primero que recomendamos hacer es cambiar la contraseña del administrador.
Elige una contraseña que contenga combinación de mayúsculas, minúsculas, números y símbolos. Lo mejor es que no sea una palabra sencilla de adivinar o asociar a tu persona ya que son sencillas de conseguirse o romperse mediante ataques de fuerza bruta.
Los ataque de fuerza bruta son aquellos ataques automatizados en un programa que prueba todas las posibles combinaciones de usuarios y contraseñas con tal de acceder a tu cuenta.
Recuerda actualizar tu contraseña de manera periódica o por lo menos una vez al año.
Considerando los ataques de fuerza bruta, podemos configurar el plugin Limit login attempts reloaded, el cual limita el número de intentos de acceso al panel de administración de un usuario en WordPress.
El siguiente paso es configurar la verificación en dos pasos (2FA). Este método consiste en solicitar un segundo factor de verificación además de tu usuario y contraseña. Similar al método de verificación mediante un código que llevan años implementado los bancos (El token bancario). Si deseas leer más sobre verificación en dos pasos puedes revisar estos enlaces: https://protege.la/que-es-y-como-hacer-verificacion-de-dos-pasos-en/ y https://protege.la/la-importancia-de-la-verificacion-en-dos-pasos/
Algunos de los plugins que te pueden ayudar en la verificación en dos pasos son: WordPress 2-step verification, Two-factor o Wordfence Login Security
2. Content Delivery Network (CDN)
Un CDN es una herramienta que nos ayuda a principalmente dos cosas:
- Que el sitio web cargue más rápido, ya sea algunas secciones o el sitio completo
- Resistir ataques de denegación de servicios
Esto se debe a que los CDN son servicios que funcionan como una red de servidores que deciden a quién y cómo entregar la información de nuestro sitio, detectar bots o ataques y mitigarlos.
Para esto, el CDN hace una copia de nuestro sitio en todos sus servidores, de tal modo que cuando una persona accede al sitio, en realidad accede a una copia segura que no está en nuestro servidor, si no en un servidor optimizado.
Si hay que enviar información el CDN la manda sin necesidad de sobrecargar nuestro servidor, y en caso de un ataque, el CDN es quien recibe el impacto del ataque.
Esta imagen ejemplifica el funcionamiento de un CDN.
Existen servicios de CDN comerciales como Cloudflare o algunos enfocados a organizaciones defensoras de derechos humanos como Deflect.
3. HTTPS o “Certificado SSL”
El certificado SSL es aquel que permite que nuestros sitios muestren el candadito verde en la barra de navegación y que las urls comiencen con HTTPS. Esto lo que hace es generar un mecanismo de cifrado entre el navegador web y el servidor donde vive tu sitio, dando mayor seguridad y privacidad a las conexiones que se realizan al navegar en tu sitio.
Si estás utilizando un CDN, desde ahí puedes configurar que tu sitio se muestre mediante HTTPS en el panel de administración de tu CDN.
En caso contrario, verifica con tu proveedor de hosting cómo activar esta opción.
Una vez que tengas configurado el certificado SSL en el CDN o en tu proveedor de hosting, puedes utilizar el plugin Really Simple SSL para terminar de configurar WordPress y que responda adecuadamente con HTTPS.
4. Soluciones integradas de seguridad
Una solución integrada de seguridad podemos imaginarla como un tipo de antivirus, la cual tiene diversas funciones como análisis continuo del contenido del sitio, análisis de rendimiento del sitio y posibles vulnerabilidades en temas o plugins .
La mayoría de estas soluciones tienen dos paquetes, el gratuito y el premium. Puedes probar con la versión gratuita que igual brinda un nivel de seguridad para tu página y en caso de requerir otras funciones optar por la versión de pago.
Algunas opciones son Wordfence, Sucuri, iThemes Security y All in one WP Security & Firewall.
5. Actualizaciones
Un tema primordial son las actualizaciones, que si bien cuando instalas WordPress o alguno de sus componentes se mantienen al día, aún así no olvides verificar que estás utilizando la versión más reciente de WordPress, de tus plugins y temas de manera periódica y en tus mantenimientos.
Recuerda instalar plugins y temas desde el sistema de WordPress o desde fuentes confiables para evitar que tu sitio se infecte con código malicioso (virus/malware).
Por último, recuerda que todos los sitios se encuentran expuestos a ser atacados de alguna manera, por lo que tener medidas preventivas y de recuperación en caso de ataques es valioso.