Seguridad en wordpress: ¿Me van a hackear mi web?

Es una pregunta muy habitual, y es que la seguridad es lo primero. WordPress mismo dice que una cuarta parte de las páginas del mundo están hechas en wordpres, esto es genial, la comunidad de WordPress es gigante, plugins, temas, mejoras constantes, nuevas funcionalidades etc.

Pero también tiene una parte negativa, tanto wordpress (y tanto wordpress no profesional) hace que malhechores anden buscando páginas no protegidas para colarse y usarlas para sus propósitos.

¿Entonces wordpress no es seguro?

Si, wordpress es seguro, de hecho es bastante seguro, la web de la casa blanca https://www.whitehouse.gov/ está hecha en wordpress (y esta gente suelen ser algo paranoicos con la seguridad).

Si instalamos wordpress de base sin nada más en un hosting de confianza (nosotros siempre recomendamos Webempresa) y lo actualizamos periódicamente, va a ser super seguro. Lo malo es que esto nunca va a ser así de sencillo, querremos un theme con posibilidades, necesitaremos formularios de contacto, conectarlo con Mailchimp o ActiveCampaign, poner una tienda, un porfolio… en fin. Cada nuevo plugin que instalemos multiplicara las posibilidades de hackeo, así que tendremos que empezar a hacer algunas cosas para cuidar la seguridad de nuestra web.

¿Y por qué a mí?

Si te han hackeado la web, no te lo tomes como algo personal. Muy probablemente sea porque tu página sea más vulnerable que otras….así de simple. Es poco probable que si tenemos una web donde ofrecemos nuestros servicios, unos famosos hackers rusos quieran hacernos chantaje.

Hay tres grandes motivos por los que pueden hacker la web:

  1. Hosting
  2. Actualizaciones y versiones
  3. Falta de acciones de seguridad

 

Hosting

El hosting es, a menudo, poco valorado, se busca el más barato, o el que más espacio nos da, y no nos fijamos en si nos hace copias de seguridad o si permite fácilmente instalar Certificados SSL.

Podemos encontrar hostings por 20€ al año, pero a la larga nos saldrá caro. No suelen estar optimizados para wordpress, no dispondrán o no podrás acceder a las copias de seguridad o instalar un SSL será costoso, lento y caro (podéis intentarlo en hostalia si queréis sufrir un infierno de burocracia)

Hace un tiempo que descubrimos Webempresa, no lo usamos antes pues nos parecía caro al principio, sin embargo a la larga el coste nos pareció incluso bajo. Puedes restaurar cualquier archivo del último mes, SSL gratis y super optimizados para wordpress (tanto en seguridad como en velocidad)

Actualizaciones y versiones

Lo hemos dicho en cientos de ocasiones, pero siempre es necesario recordarlo. WordPress, los plugins que usemos y nuestro tema se han de actualizar.

Siempre.

Sin excusas

Nunca escuche una explicación plausible para no actualizar nuestra página, aunque las más habituales serian estas:

  • Es que si actualizo deja de funcionar..: No lo hagas tú, a veces es complicado , busca un profesional que lo haga.
  • Es que el plugin es pirata y no tengo la licencia: Pues muy mal, wordpress es gratuito, así como gran parte de los plugins que uses, así que invierte unos pocos euros en los plugins de pago que necesites.
  • Es que quien me hizo la web me dijo que no se había de actualizar: Sin comentarios.

Para los muy curiosos, en este enlace podéis ver la lista de vulnerabilidades que periódicamente la comunidad de wordpress va descubriendo, reportando y que wordpress, versión a versión, va solucionando. Si no actualizáramos la versión, podéis haceros una idea de las puertas abiertas que le dejaremos a los malos para que entren en nuestra página.

Para no complicaros, podéis ver aquí las diferentes opciones de mantenimiento que podéis escoger con nosotros, así no tendréis que preocuparos de actualizar nada o de romper algo.

 

 

Acciones de seguridad

Hay tres tipos de acciones de seguridad que tenemos que tener en cuenta:

El propio desarrollo de la página:

Cuando hacemos un web, y cuando la publicamos, hay varios factores que hay que tener en cuenta: Cambiar los prefijos de la base de datos, cerrar el acceso a algunos archivos o directorios de la instalación, evitar que se pueda editar código desde la página, no tener un usuario admin etc. La lista es larga, nosotros lo hacemos por defecto, pero no todo el mundo lo hace.

 Plugins de seguridad

Hay muchos, Sucuri, ithemes-Security, Wordfence.

La mayoría son gratuitos, con versiones de pago que contienen más funcionalidades. Depende de vuestra web y donde este alojada, escogeríamos uno u otro. En resumen nos ayudarán a protegernos contra ataques de fuerza bruta (probar de poner las contraseñas más habituales una y otra vez hasta acertar), spam malicioso, que usen nuestra web para enviar emails etc.

Nuestros malos hábitos

¿Verdad que un trozo de cinta adhesiva no parece un cierre muy seguro para nuestra casa?

Pues 123456 no tampoco es una contraseña muy segura para nuestra web.

Tampoco es muy seguro usar el mismo usuario varias personas, o no eliminar usuarios que ya no colaboran con nosotros, guardar el acceso en nuestro ordenador, no borrar nunca la carpeta de spam etc…

Por mucho que nos esforcemos en mejorar la seguridad de una página, no nos olvidemos del propio sentido común.

¿Y tu crees que tu web es segura?

En esta herramienta puedes echarle un ojo: https://www.wpdoctor.es, no es infalible, pero podrás tener algo de información.

No dudes en contactarnos, te haremos un estudio de lo que necesitas y en pocos dias tendrás tu web segura y sin preocupaciones

 

 

 

Este sitio web utiliza cookies propias y de terceros con el fin de obtener información estadística sobre la base de los datos de navegación de los visitantes. Si continúas navegando entendemos que aceptas su uso y, en caso de no aceptar su instalación, deberás visitar el apartado de Política de Cookies , donde encontrarás la forma de eliminarlas o rechazarlas. ACEPTAR
Aviso de cookies