Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

9 consejos de seguridad para tu WordPress

Fecha de publicación 19/06/2018
Autor
INCIBE (INCIBE)
9 consejos de seguridad para tu WordPress

El gestor de contenidos WordPress es una herramienta elegida por multitud de empresas para diseñar su página web, pero como cualquier página, podría ser objetivo de ciberdelincuentes mediante ataques de denegación de servicio, defacement o inyección de código malicioso.

Este tipo de ataques podría provocar daños en el funcionamiento de la web y con ello proyectar una mala imagen por parte de la empresa así como la pérdida de credibilidad y confianza por parte de clientes y proveedores. Por todo esto, te recomendamos seguir los siguientes consejos para mantener tu sitio web con WordPress siempre protegido:

  • ¡Actualiza! : cuando accedemos al backend de nuestro WordPress se mostrará un mensaje con la nueva versión disponible siempre que haya una actualización. Además, el servicio de avisos de seguridad de Protege tu empresa te informará cuando haya que instalar una nueva versión debido a una actualización de seguridad. Sigue las indicaciones del aviso para llevar cabo la actualización de la manera más adecuada, y recuerda que en cualquier caso, debes actualizar tan pronto como sea posible.
  • Para instalar cualquier plugin: utiliza siempre repositorios oficiales. Evalúa las reseñas y comprueba que el número de instalaciones activas sea elevado. Busca aquellos que cuenten con soporte técnico y actualizaciones regulares, ya que de esta forma cualquier vulnerabilidad descubierta será corregida por los desarrolladores. Lee los términos y condiciones del servicio para evitar la instalación de funciones no deseadas y que solo sean provechosas para el desarrollador.
  • Cuidado con los plugins y temas preinstalados: comprueba periódicamente que los plugins y temas introducidos son compatibles con tu versión de WordPress. Verifica que no se han quedado obsoletos y si encuentras una nueva versión de los mismos compatible con tu Wordpress, no dudes en actualizarlos. No conserves plugins y temas que no utilizas habitualmente, si se quedan obsoletos, podrían ser vulnerables.
  • Cuentas de usuario: toda instalación de WordPress cuenta con al menos un usuario administrador. Este usuario nunca debe tener un nombre fácilmente adivinable como admin, administrador o similar ya que de esta forma los ciberdelincuentes podrían llegar a adivinar las credenciales de acceso más fácilmente. En caso de poseer una cuenta con alguno de los nombres anteriores o similares hay que crear primero una nueva cuenta administrador y posteriormente eliminar la antigua.

    La cuenta creada con el rol de administrador debe estar protegida con una contraseña robusta (combinando minúsculas, mayúsculas, números y caracteres especiales). Además, si creas otros perfiles para la gestión del portal (otros administradores, autores, editores, etc.), otórgales solo los permisos necesarios para llevar a cabo las tareas que tengan asignadas. Si en algún momento se necesitaran permisos extras para algún perfil, concédelos solo el tiempo necesario para la realización del trabajo y cancélalos cuando ya no sean necesarios. Por último, no olvides eliminar dichos perfiles cuando ya no estén en uso.

  • Doble factor de autenticación: si queremos ir un paso más allá en la protección de nuestra cuenta de acceso a WordPress, podemos instalar un plugin que nos permita usar el doble factor de autenticación. Al tratarse de la instalación de un plugin, recuerda seguir las indicaciones detalladas en el segundo punto de este artículo.

  • Limitar los intentos de inicio de sesión: WordPress no limita por defecto el número de intentos de inicio de sesión, lo que puede favorecer que nuestra web sea objetivo de un ataque por fuerza bruta (aquellos ataques en los que se prueban múltiples combinaciones de usuario y contraseña). Podemos evitarlos instalando plugins que nos permitan limitar el número de intentos de inicio de sesión.

  • Restricción de acceso por IP: también existen plugins que permiten la restricción de acceso por IP, por lo que podrás crear una lista blanca con las direcciones que tienen permiso para acceder al backend de tu web.

  • Copias de seguridad: para garantizar la disponibilidad de una página web es imprescindible disponer de copias de seguridad actualizadas. Ya sea debido a un ciberataque o por cualquier otra circunstancia (incendio, negligencia de un trabajador, etc.), se pueden perder todos los datos alojados en el servidor. Si alguna de estas situaciones tuviera lugar, siempre podrías restaurar inmediatamente el sitio web a través de la copia de seguridad, sin que tu negocio se viera afectado. Asegúrate de que dichas copias no se guardan en el mismo servidor en el que alojas tu web. También puedes automatizarlas para que nunca te olvides de realizarlas. Por último, debes asegurarte que sabes restaurarlas, haciendo la prueba al menos una vez y comprobando que funciona.

  • Utiliza un certificado SSL: este certificado permite utilizar el protocolo HTTPS para garantizar la seguridad de las transacciones. Si dispones de un proveedor de alojamiento web será el mismo proveedor el que te lo proporcione. Si tu web está alojada en tu propio servidor en este artículo te mostramos los pasos necesarios para instalar el certificado.

Recuerda, tu página web es tu tarjeta de presentación, protégela y conservarás la confianza de tus clientes.