WordPress es el CMS más utilizado en el mundo para el diseño y desarrollo de sitios webs, existen una gran comunidad de programadores que están preocupados por la seguridad, y constantemente sacan actualizaciones con muchas mejoras o con ciertos parches de seguridad. Cuando estamos construyendo un sitio web, o una tienda online basada en WordPress nos corresponde hacer todo lo posible para que este sea seguro. Entre estos aspectos podemos señalar los siguientes:
1.- Uso de contraseñas seguras
Las contraseñas débiles son fáciles de adivinar y constituyen un riesgo potencial, lo ideal es utilizar cadenas largas de letras y símbolos, y utilizando algo de aleatorio, pero el problema con esto es que tendríamos que apuntarlas en algún lugar porque son difíciles de recordar. En este caso una alternativa es utilizar un administrador de contraseñas.
Esta claro que la solución es utilizar contraseñas seguras, WordPress ya viene con la funcionalidad para generar contraseñas seguras pero no las requiere, es aquí que necesitamos un plugin que nos obligue a utilizar contraseñas seguras.
2.- Cambiar el nombre de usuario del administrador
Un atacante necesita dos cosas para ingresar al administrador de tu sitio web, el nombre de usuario y la contraseña. Si usas el típico usuario admin, administrador, el nombre del sitio web o incluso tu nombre personal, estarás dándole el 50% para que el atacante ingrese a tu sitio web. Para cambiar el nombre de administrador, puedes hacerlo manualmente o puedes instalar un plugin. Si te decides hacerlo manualmente pues puedes crear un nuevo usuario de perfil administrador, y luego elimina el anterior usuario.
3.- Cambiar el alias de tu usuario
No te olvides de cambiar el alias de tu usuario, este debe ser distinto al nombre de tu usuario, esto es otro típico error que cometemos, si publica entradas o cualquier contenido en el cual se visualiza el usuario de quien publico dicha entrada, y este nombre es igual al nombre de usuario, le estarás dando ya tu usuario a cualquier atacante. Para corregir este error basta con que bayas a editar tu usuario y modifica el alias con el cual vas a trabajar dentro de tu sitio web.
4.- Mantén actualizado tu WordPress, Plugins y Theme
Tener una versión antigua es como abrirle la puerta a los atacantes, ya que precisamente se aprovecharán de los fallos de seguridad conocidos para atacarnos. Cuando se lanza una nueva versión de WordPress no es solo para añadir nuevas funcionalidades, es también para corregir los problemas de seguridad que se han detectado.
Por lo tanto actualiza tu WordPress, tus plugins y tu theme cada vez que veas una notificación de actualización, y si por algún motivo no lo puedes hacerlo desde el administrador, hazlo manualmente.
5.- Fuerza el uso de HTTPS
Generalmente tu proveedor de hosting debe proveerte de un certificado SSL “Let’s Encrypt”, una vez que el certificado este instalado en tu cuenta de hosting, te queda a ti hacer que tu sitio web trabaje obligatoriamente con el protocolo https, puedes hacerlo de forma manual o instalar un plugin que lo hago por ti.
Como conclusión podemos decir que cada capa de seguridad que añadas a tu web hace que sea un poco más difícil para los atacantes entrar a tu web.