En este artículo vamos a hablar de unas mínimas normas básicas de seguridad para WordPress.
En un artículo anterior ya hablábamos sobre el desarrollo Web con WordPress, sus ventajas y desventajas. Si bien seguimos insistiendo en que según para que tipo de proyectos la utilización de la plataforma WordPress puede ser la más idónea, o no, lo cierto es que un gran porcentaje de usuarios utilizan WordPress.
Existen por la Web una gran cantidad, infinita diríamos, de artículos sobre WordPress y sobre todo sobre su seguridad, no es nuestra intención ser exhaustivos sobre este tema pero si recomendar unas mínimas medidas de seguridad a tener en cuenta.
Instalación limpia de WordPress
Siempre que sea posible y tengamos los mínimos conocimientos recomendamos una instalación limpia de WordPress (realizada por uno mismo), ello nos permitirá implementar algunas cosas de seguridad:
- Instalar siempre la última versión de WordPress, que podemos descargar desde https://es.wordpress.org/
- En el archivo «wp-config.php» cambiar el prefijo de la Base de Datos. Por defecto el prefijo de la BBDD es «wp_». Recomendamos cambiarlo por uno diferente.
- En el archivo «wp-config.php» implementar las claves secretas de WordPress que podemos generar a través de la URL https://api.wordpress.org/secret-key/1.1/salt/
- Utilizar la contraseña que genera automáticamente WordPress al hacer la instalación.
Temas y plugins de WordPress
Recomendamos encarecidamente utilizar solo Temas y Plugins que podamos descargar del repositorio de WordPress o que hayamos podido comprar en tiendas online seguras como https://themeforest.net/ , https://www.elegantthemes.com/ u otras. Es importante contar con licencia y un mantenimiento que nos garantice la permanente actualización tanto del Tema como de los plugins que utilicemos.
Recomendamos utilizar solamente los plugins imprescindibles y por supuesto eliminar aquellos que no estén activados.
Actualizaciones de WordPress
Para garantizar una mínima seguridad es importante que tanto la plataforma de WordPress, como el Tema, como los plugins estén permanentemente actualizados a sus últimas versiones. Afortunadamente WordPress nos da la posibilidad de actualizaciones automáticas. Aunque las tengamos activadas es conveniente «pasarse» de cuando en cuanto por el escritorio de WordPress y confirmar que lo tenemos todo actualizado.
Si estamos en el escritorio podemos clicar en el módulo «Estado de salud del sitio» y el propio WP nos dará un informe de como está.
Es importante también verificar que en el Servidor se está ejecutando la última versión de PHP recomendada por WP, que en este caso es PHP 7.4. Este detalle lo tendremos que ver con nuestro proveedor de hosting y si no lo tiene implementado solicitar que lo haga.
Otra recomendación es cambiar la URL de acceso al Panel de Gestión de WP. Por defecto es «https://www.informacionycomunicacion.es/wp-admin» y muchos de los ataques provienen del acceso a esta dirección. Podemos cambiarla fácilmente con el plugin «WPS Hide Login» que podemos descargar del repositorio de WP.
Como decíamos al principio son normas muy básicas pero que si las unimos a las que se recomiendan en el artículo «Seguridad en Internet, normas básicas» seguro que nos evitaremos más de un problema.
Artículo patrocinado por el Equipo de Aitana Multimedia, empresa valenciana de Diseño y Programación Web