Foto creative commons en Flickr de Purple Slog
Lo primero, una nota de aviso, no soy experto en seguridad y ni tan siquiera estudié la carrera de informática; lo que a continuación vas a leer es parte de mi experiencia en los últimos años y lo que he buscado en otros artículos recientemente.
¿Es wordpress seguro?
Antes de empezar una
instalación de wordpress nos hacemos esta pregunta y podemos contestar que sí, que lo es, pero también depende.
Es seguro su núcleo que nos podemos
descargar gratis desde wordpress.org, pero no es tan seguro si dejamos de actualizarlo cada vez que sale una nueva versión; Otra cosas son
los plugins que vayamos instalando porque son desarrollados por terceros y con el tiempo también quedan desactualizados y no siempre los programadores que los crearon siguen revisándolos o mejorándolos, por tanto mi primer consejo sería una vez instalados, comprobar su vigencia, de vez en cuando y, si son proyectos abandonados, sustituirlos por otros plugins que hicieran lo mismo
más actuales.
El siguiente asunto relacionado con la
seguridad en wordpress es
la elección del diseño o llamado también "tema" que queremos usar. Existen muy buenos diseños gratuitos de confianza en el
directorio de oficial themes de wordpress y, si queremos algo más profesional o espectacular, podemos acudir a los de pago en
Themeforest. Mi experiencia es que son muchos clientes con los que me he encontrado que prefieren no pagar y se descargan templates desde páginas
piratas siendo a la larga un problema más costoso de solucionar ya que si te quieres ahorrar unos 50 euros que como media que valen cada uno, si encuentras el "diseño en pirata" y lo instalas si garantías de su procedencia, al cabo del tiempo te puede costar cuatro veces más caro contratar a un experto que te limpie la web hackeada; además algo peor: perder toda la información de tus archivos.
Aclarado los puntos de partida, comenzamos la instalación de wordpress. En esta fase, además de elegir una
contraseña segura, sí, de esas que son imposible de recordar, y tendrás que apuntar en algún archivo de texto en tu ordenador o en la nube, es conveniente cambiar el
prefijo de la base de datos que nos dan: "wp_" por otras dos o tres letras distintas, así nos evitamos que usen programas que intenten entrar en las tablas de nuestra base de datos por los nombres del prefijo que por defecto nos muestra su instalación.
Efectuada la instalación otro paso sería
cambiar la ruta para administrar la web, es decir el /wp_login o /wp_admin por otro como /mipuerta /admimi /entroyo existen plugins como
renaming login.php que podrás instalar para ello.
Otros consejos sobre seguridad con relación a archivos sería
borrar de tu wordpress los archivos readme, config-sample license y /wp-admin/install.php además de los themes que no vayas a utilizar.
Por otro lado también he leído que se puede tocar
el archivo htacces hasta 20 formas combinadas para restringuir el acceso a determinados directorios de tu web, pero cuidado, es un archivo muy sensible, si no tienes conocimientos de programación mejor no editarlo.
Una vez puesta en marcha nuestra web, es conveniente también
instalar plugins de seguridad como
wordfence que te hace un scan de la web y te dice los problemas que ha detectado con la posibilidad de algunos incluso de corregirlos con un simple clic.
Y en tu panel de
Google Search Console activa
las notificaciones por correo electrónico si los robots de este buscador detectan algo extraño y te avisen.
Por último
no olvides de hacer copias de seguridad periódicamente ya sea manualmente a través de ftp y entrando en tu base de datoss exportándola a tu disco duro o bien usando plugins como
BackupWordPress que te lo hace automáticamente y periódicamente según tú lo configures.
Espero que te haya sido útil mis consejos y si ya tienes una web, independientemente de que sea wordpress u otro gestor de contenidos puedes empezar desde ahora a comprobar usando
https://sitecheck.sucuri.net si tienes algún problema de seguridad y poniendo solución con lo más arriba dicho.
