Seguridad en WordPress: 12 consejos para proteger tu página web

WordPress es el CMS más usado en el mundo, y aunque está construido sobre un software seguro que muchos desarrolladores mantienen y mejoran continuamente, su popularidad también lo ha convertido en un objetivo atractivo para los ciberataques. Por ello, tanto si tienes un blog sencillo, como una página web más grande, deberías prestarle mucha atención a la seguridad en WordPress.

Afortunadamente, hay muchas cosas que puedes hacer para proteger tu página web en WordPress, aunque no tengas conocimientos técnicos. En esta guía, te ofrecemos un listado de medidas de seguridad que puedes implementar fácilmente para mejorar la seguridad de tu página web.

¿Por qué es importante la seguridad en WordPress?

La respuesta corta es que, al priorizar la seguridad en WordPress, puedes proteger tu página web en WordPress contra ciberataques dañinos que pueden destruir tus datos importantes, que tu página web se caiga, o que te roben la identidad.

Normalmente, el objetivo de un hacker es robar información personal, propagar malware o tomar el control de una página web.

Al garantizar la seguridad de tu página web en WordPress, te proteges a ti mismo, a tus usuarios, y a la reputación de tu empresa.

12 medidas de seguridad para proteger tu página web WordPress

En esta sección, encontrarás un listado de medidas de seguridad que te ayudarán a proteger tu página web en WordPress.

1. Contrata un hosting WordPress seguro

Para asegurarte de que tu página web tenga una base segura, lo primero que debes hacer es elegir un proveedor de hosting que te garantice un nivel de seguridad de primer nivel.

Lo mejor es elegir un hosting que incluya protección antimalware, copias de seguridad automáticas y un certificado SSL. Con un buen hosting WordPress, también tendrás acceso a soporte cuando lo necesites. Todo esto te ofrece el mejor punto de partida para lanzar tu proyecto online.

2. Mantén WordPress actualizado

WordPress lanza continuamente nuevas actualizaciones y parches que reparan vulnerabilidades, por lo que, si mantienes actualizados el núcleo, los temas y los plugins de WordPress, reduces el riesgo de ciberataques.

Incluso si tu página web y tus plugins funcionan como deberían, pueden tener errores y vulnerabilidades que no notarás hasta que sea demasiado tarde. Por ello, saltarse las actualizaciones importantes es casi como dejar la cerradura de tu casa abierta.

Si quieres evitar la molestia de las actualizaciones manuales y aumentar aún más la seguridad de tu página web, te recomendamos que elijas un servicio de WordPress administrado en el que un grupo de expertos se encarga de la gestión del CMS, de modo que tu página web va a estar siempre actualizada y funcionando como debe.

3. Activa el certificado SSL y HTTPS

SSL son las siglas de Secure Sockets Layer. Es un protocolo que encripta la transferencia de datos desde tu página web al navegador del usuario. Al activar SSL en tu página web, evitas que terceros no deseados y hackers accedan a tu información personal o a la de tus usuarios, como números de tarjetas de crédito, contraseñas, u otros datos confidenciales.

Cuando se activa un certificado SSL en tu página web, su dirección cambiará de HTTP a HTTPS, que es un protocolo de encriptación seguro. Después de activar el certificado SSL, también se mostrará un icono de candado en la parte superior de la barra de direcciones del navegador, a la izquierda de la URL de tu página web. El símbolo del candado muestra a tus visitas que tu página web WordPress es segura.

Normalmente, tienes que pagar por un certificado SSL, pero si eliges el hosting WordPress de one.com, el certificado SSL está incluido en tu plan de hosting, independientemente del plan que elijas.

4. Utiliza contraseñas seguras

Tomar el camino más fácil al crear una contraseña es una pésima idea. Una contraseña débil o reutilizada puede ser la causa de un ciberataque o que tus datos personales caigan en las manos equivocadas. Cuanto más reutilices la misma contraseña, mayor será el riesgo. Por eso, necesitas tener contraseñas seguras a lo largo de tu página web en WordPress.

¿Qué debe contener una contraseña segura para una página de WordPress?

• Al menos 12 caracteres.
• No se reutiliza en varios sitios.
• No se comparte con otros.
• No es una variación de otra de tus contraseñas.
• Contiene una combinación de letras mayúsculas y minúsculas, números y caracteres especiales (! & @).

Si, como a tantas otras personas, te resulta difícil recordar todas tus contraseñas, puedes utilizar un gestor de contraseñas. Un gestor de contraseñas es un programa, aplicación o página web que almacena todas tus contraseñas en un solo lugar.

Con un gestor de contraseñas, todas las contraseñas están protegidas con una contraseña maestra. Esto significa que solo necesitas recordar la contraseña de tu gestor de contraseñas para acceder a todas tus contraseñas.

Lee más sobre la protección con contraseña en nuestro artículo 5 formas de proteger tu página web WordPress con contraseña.

5. Activa la autenticación en dos pasos (2FA)

Con la autenticación en dos pasos, se requiere una segunda forma de autenticación al iniciar sesión, además de la contraseña. La autenticación secundaria puede ser un código único de un solo uso enviado por SMS a tu número de teléfono, o un código generado por una aplicación de autenticación, como la de Google.

En algunos casos, también puedes utilizar tu huella dactilar o reconocimiento facial como segundo paso, si tu teléfono o tableta tiene esta función.

2FA proporciona protección adicional contra ataques porque un hacker no podrá acceder a tu página web, aunque tenga tu contraseña.

Si tienes tu página web en WordPress alojada en one.com, la puedes proteger aún más activando Advanced Login Protection directamente desde tu panel de control.

6. Ten en cuenta los permisos de usuario

¿Hay otras personas que tienen acceso a tu página web en WordPress? Si es así, deberías tenerlo en cuenta a la hora de gestionar los permisos de usuario. Cada nuevo usuario que creas abre una posible brecha para los hackers, por lo que solo debes dar a tus usuarios los permisos que realmente necesitan. Por ejemplo, si tienes un amigo o un compañero que te ayuda a corregir o escribir textos para la página web, solo necesitará derechos de edición, no derechos de administrador.

Si tienes un usuario que va a corregir el contenido de tu web, puedes asignarle el rol de Editor. Si el usuario es un escritor que solo necesita escribir y editar sus artículos, el rol de Autor es la mejor opción.

También es una buena idea revisar periódicamente tus usuarios y eliminar aquellos que ya no necesiten acceso a tu web.

7. Cambia tu nombre de usuario admin

¡No solo tu contraseña debe ser segura y única! Tu nombre de usuario admin de WordPress también debe ser único para reducir el riesgo de un ataque de fuerza bruta. Cuando hayas creado tu página web en WordPress, puedes cambiar manualmente el nombre de usuario en la tabla wp_users en phpMyAdmin. Esta herramienta está preinstalada en tu plan de hosting cuando alojas tu web WordPress con one.com.

Puedes acceder a la configuración de PHP y de la base de datos en el panel de control, en Configuración avanzada.

• Busca la tabla wp_users (también se puede llamar 0_users).
• Busca el nombre de usuario del administrador y haz clic en Editar.
• En user_login, introduce un nuevo nombre de usuario en el campo Valor.
• Haz clic en Ir para guardar.

8. Crea copias de seguridad

No importa lo buena que sea la seguridad de tu página web en WordPress, siempre existe el riesgo de que ocurra algún imprevisto, como un ciberataque o un error técnico. En este sentido, las copias de seguridad son tu salvavidas en caso de que ocurra algo así. Si tienes una copia de seguridad, puedes restaurar fácilmente tu página web y sus funciones, evitando un tiempo de inactividad prolongado que puede dañar la reputación y los ingresos de tu negocio.

9. Evita plugins inseguros

Existen un gran número de plugins de WordPress gratuitos y de pago que puedes utilizar para ampliar la funcionalidad de tu página web. Por desgracia, algunos de ellos pueden suponer un riesgo para la seguridad de tu página web o provocar problemas técnicos que impidan su funcionamiento.

La lista de plugins que pueden dañar tu página o suponer un riesgo para la seguridad es bastante larga. Aquí está nuestra lista completa de plugins de WordPress que te aconsejamos evitar.

Por otro lado, sí recomendamos los siguientes plugins, que ofrecen una buena seguridad y garantizan que tu página web funcione siempre a la perfección.

Plugins seguros para WordPress:

• Contact Form 7
• Contact Form de WP Forms
• Imagify
• Jetpack
• Site Kit de Google
• Social Media Share Buttons
• WooCommerce
• WP Mail SMTP
• YARPP
• Rank Math SEO
• WP Rocket

10. Elimina los plugins que ya no necesites

Siguiendo con el tema de los plugins, es importante eliminar aquellos que ya no utilices. Tener muchos plugins puede reducir la seguridad de la página web. Revisa periódicamente tus plugins y deshazte de aquellos que solo estén acumulando polvo digital. Eso sí, asegúrate primero de que el plugin en cuestión no se utiliza para funciones importantes en tu página web.

11. Desactiva la ejecución de PHP

En one.com, puedes instalar WordPress con un solo clic. Si has utilizado esta opción o la vas a usar, puedes saltarte esta parte.

Si has instalado WordPress manualmente, tienes que desactivar la ejecución de PHP en la carpeta de carga. Al hacerlo, puedes evitar ciberataques en los que el malware se propaga desde una puerta trasera de PHP al resto de tu página web.

Para deshabilitar la ejecución de PHP, puedes añadir las siguientes líneas de código al archivo .htaccess que se encuentra en la carpeta de carga (wp-content/uploads).

# Block executables
<FilesMatch ".(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$">
    deny from all
</FilesMatch>

12. Utiliza la monitorización de vulnerabilidades

La monitorización de vulnerabilidades implica escanear tu web WordPress en busca de posibles vulnerabilidades que los hackers puedan explotar. Cuando se lleva a cabo, se escanean todas las partes de tu web, incluidos los temas y plugins, lo que reduce significativamente el riesgo de que se produzcan errores imprevistos o ciberataques.

Al elegir un hosting WordPress que ofrezca monitorización de vulnerabilidades diaria y automática, te aseguras de que tu web esté siempre bien protegida contra ataques.

Elige Managed WordPress para una protección aún mayor

Como comentamos anteriormente, puede requerir mucho tiempo y ser un engorro revisar manualmente las actualizaciones, las copias de seguridad y las medidas de seguridad adicionales. Si prefieres evitarte la molestia y ahorrar tiempo, puedes elegir uno de nuestros planes Managed WordPress, que incluyen:

• Monitorización de vulnerabilidades con parches de seguridad automáticos.
• Actualizaciones automáticas de plugins y temas con pruebas visuales.
• Monitorización del tiempo de actividad in-app.

Con Managed WordPress, tienes más tiempo para tus proyectos más importantes y no tienes que preocuparte por el mantenimiento de tu página web en WordPress.

Haz que tu página web en WordPress sea más resistente

Siguiendo los pasos que detallamos en este artículo, podrás mejorar significativamente la seguridad de tu página web en WordPress. Las actualizaciones periódicas, las contraseñas seguras y únicas, un hosting WordPress seguro, así como las demás medidas de seguridad que te recomendamos, mantendrán a salvo tu página web y tus visitas.