Mejorar la Seguridad WordPress es uno de los objetivos más perseguidos por todos los que nos dedicamos a trastear con WordPress, pero siento decirte que la seguridad 100% es imposible pero lo que nosotros perseguimos es acercarnos lo más posible a 100%
Estos tres errores son los que me encuentro en el 95% de las webs que veo y son a mi parecer básicos, hay muchos más pero vamos a centrarnos en estos 3.
WordPress no actualizado.
Cuando se lanza una nueva versión de WordPress no es solo para arreglar errores o añadir nuevas funcionalidades, también se hace para corregir los problemas de seguridad que se han ido detectando.
Tener una versión antigua de esta herramienta es como abrir una puerta a los usuarios maliciosos, ya que precisamente se aprovecharán de los fallos de seguridad conocidos para atacarnos.
Actualiza tu WordPress cada vez que veas una notificación de actualización en la administración; es muy sencillo y solo te llevará un minuto. Con esta sencilla tarea ya estarás mejorando la seguridad de tu WordPress.
Ahora mismo la versión de WordPress es 6.3.2, puedes consultar el aviso de Incibe aquí:
CONSEJO: Antes de actualizar asegúrate de que tienes una copia de seguridad completa en caso de que la actualización falle, te evitará un sofocón.
Ocultar la versión de WordPress
Cada versión de WordPress tiene una serie de vulnerabilidades conocidas que los usuarios maliciosos intentan aprovechar. Ocultar la versión de WordPress que estás utilizando hará que no sea tan fácil identificar esas vulnerabilidades.
La encargada de mostrar la versión de tu WordPress en tu web es la función wp_head(), que incluye una llamada a la función wp_generator().
Para ocultar esa información, tienes que incluir la siguiente línea en el archivo functions.php de tu WordPress:
remove_action(‘wp_head’, ‘wp_generator’);
.- accede a tu cuenta de cPanel -> Administrador de Archivos
.- accede a la carpeta make que encontraras en wp-content/themes/make
.- edita el Archivo functions.php
.- Añade lo siguiente después de la linea de código -> // Initial content width.
// eliminar version wordpress
remove_action(‘wp_head’, ‘wp_generator’);
Y listo ya no se podrá ver tu versión WordPress, una capa más de protección añadida.
Cambia la URL de acceso al panel de WordPress (wp-admin)
¿Por qué cambiar la URL de acceso a WordPress? Por una cuestión de seguridad. Si todas las webs creadas con WordPress tuviesen la misma url de acceso, por ejemplo dominio.com/wp-admin, todo el mundo podría acceder al formulario de inicio de sesión.
Por tanto, la personalización de esta url puede conseguir que no todos los usuarios puedan llegar a dicho formulario y la web estará más protegida frente a hackers y otros problemas de seguridad que pueden surgir.
Esto se puede hacer de dos formas modificando el archivo .htaccess o con plugin.Lo más recomendable es hacerlo con .htaccess por cuestiones de seguridad.
Modifica el acceso a WordPress desde .htaccess
Para modificar el acceso a WordPress, puedes hacerlo en el archivo .htaccess. Además, cuentas con la ventaja de que accediendo al archivo desde CPanel no necesitarás la antigua url. Para cambiar el acceso, debes escribir en el htaccess la siguiente línea de código:
RewriteRule ^nombre-acceso$ https://dominio.com/wp-admin.php [NC,L]
Después, sustituye wp-admin.php por el slug que quieras incorporar en tu url de acceso, guarda el archivo y vuelve a subirlo.
¡Ya podrás acceder a WordPress desde tu nueva url!
¿Qué pasa si se me olvida la nueva URL?
Es importante no olvidar la nueva url de acceso a WordPress, pero es posible que suceda. Por eso, hay una alternativa que puedes tomar en caso de que ocurra: acceder a WordPress desde cPanel, entrar en la configuración del plugin y comprobar cuál es la url de acceso.
tudominio.com/cpanel
Si no has cambiado la url desde un plugin, sino desde el archivo .htaccess, la manera de modificarlo es también entrar en el CPanel y comprobarlo dentro del propio archivo.
Es del todo recomendable modificar la url de acceso dentro de WordPress por una cuestión de seguridad. Por eso no se debe olvidar la nueva url, y deben tomarse todas las precauciones para ello.
Con Plugin
Para hacerlo con plugins, para este caso voy a mostrarte un plugin, llamado Protect WP Admin y que se limita a realizar el cambio de wp-login-php o de wp-admin por la palabra de ruta que tu quieras de manera que no sea intuitiva ni deducible, y además redirecciona con una redirección 301 a quienes invoquen https://tu-dominio/wp-login-php o https://tu-dominio/wp-admin hacia https://tu-dominio/, lo que sería la página principal de tu web (home) sin posibilidad de que vean el formulario de acceso al dashboard de WordPress.
El plugin no tiene mucho misterio y las configuraciones se militan a pedirte el nombre que tendrá el fragmento de URL que sustituirá a “wp-admin”.
- Permite definir la URL de inicio de sesión, el tramo relativo a wp-admin.
- Escoger la imagen del formulario de inicio de sesión.
- Permite el acceso al dashboard utilizando ID (identificadores) múltiples, separados por comas.
- Restringe el acceso al dashboard a “invitados”.
- Establecer colores de fondo y de texto para el inicio de sesión.
Con este sencillo paso puedes conseguir que tu formulario de acceso al panel de administración de WordPress reduzca el impacto de peticiones y de esta manera disminuir también un poco el tráfico no deseado automatizado hacia tu web.
Conclusiones
Como puedes ver estos errores tan comunes son sencillos de solucionar y harán que tu WordPress no sea tan accesible. Ahora ya sabes lo que tienes que proteger, pero si te resulta complicado o se te hace bola puedes reservar una reunión aquí.
Si te preocupa la seguridad también puedes echarle un vistazo a este Post.