Volver al anterior capítulo
Volver al principio
Ir al siguiente capítulo
90%

Imagina que, después de años de dedicación a escribir 1 o 2 posts semanales, construir una audiencia, enviar newsletter dando lo mejor de ti, llega el día en el que abres tu blog y este ¡No funciona! Te recorre un escalofrío de arriba a abajo (por la zona de espalda principalmente). Empiezas a darle vueltas a las últimas acciones que has realizado en la página web y te haces preguntas del estilo ¿Me han hackeado el blog? ¿Ha entrado un virus? Y muchas cosas más, sin saber muy bien qué es lo que ha pasado.

guia seguridad wordpress asegurar web

Hoy vengo cargado de consejos de seguridad para tu blog de WordPress. Te voy a contar los secretos para tener un WordPress ultraseguro. Como ya te he comentado en algún punto de mi guía para crear un blog con WordPress, este es inseguro. De hecho, el equipo de desarrollo de WordPress tiene como una de sus prioridades hacerlo más y más seguro con el tiempo. Sin embargo, por mucho que se esfuercen, el hecho de que más del 65% de todos los sitios web que utilizan gestor de contenidos utilicen WordPress, hace que este tipo de instalaciones sean muy apetecibles para “los amigos de lo ajeno“.

Índice

#1 Prepara las herramientas que vas a necesitar

guia para hacer un blog paso a paso herramientas

Para hacer un buen mantenimiento de tu instalación WordPress es crítico disponer de una serie de herramientas, que pueden facilitarte la vida y hacer del proceso algo mucho más sencillo y llevadero. La base es tener un sitio web de WordPress configurado correctamente.

Dominio Web

mejores herramientas instalar configurar dominio web
Desde 7€/año
Ir a Dominio

Alojamiento Web

mejores herramientas instalar configurar alojamiento web
Desde 4€/mes
Ir a Hosting

Wordpress

mejores herramientas instalar configurar wordpress.org
Gratis
Ir a WordPress

#2 La seguridad empieza desde la instalación

guia asegurar blog wordpress asegurar web

Con la popularidad de WordPress, muchos de los proveedores de hosting proporcionan una herramienta para instalar WordPress con un solo click. También serás capaz de instalar WordPress en 5 minutos siguiendo la guía oficial (o este post). El problema viene si te quedas ahí, como el 80% de las personas que montan un WordPress.

Nota: Esta instalación es la instalación típica y está lejos de ser segura. Añade 15 minutos más a esa instalación y haz las cosas bien.

Checklist para asegurar tu WordPress sin riesgo

checklist seguridad wordpress

He hecho una lista con los ajustes que deberías de realizar a tu WordPress nada más instalarlo:

  • No uses el usuario admin que viene por defecto: Cambia o renombra este usuario administrador (evitarás muchos ataques de fuerza bruta que utilizan ese usuario en los intentos)
  • Usa una contraseña robusta: Ponle una contraseña segura a todos los usuarios de WordPress y a tus usuarios FTP y de la base de datos (para generar una contraseña segura echa un vistazo a este post)
  • Oculta la página de login por defecto: Todos sabemos que para acceder a la administración de WordPress podemos ir a “nombreweb.com/wp-admin/“, asi que cámbialo y evita ataques masivos (puedes usar el plugin Lockdown WP Admin o WP htaccess Control)
  • Cambia el prefijo de la base de datos por defecto: Por defecto, todas las tablas de la base de datos de WordPress empiezan con “wp_“, asi que cámbialo en el proceso de instalación por una cadena de al menos 6 caracteres combinando números y letras (por ejemplo “egns24t_“)
  • Protege los ficheros wp-config y .htaccess: Recuerda que son los ficheros esenciales de tu configuración de WordPress, por lo que dales permisos sólo de lectura y listo (nadie los podrá cambiar)

#3 Hosting, Backups y actualizaciones

guia asegurar blog wordpress asegurar web

La seguridad de tu sitio web empieza por tu propio servidor. Existe una amplia gama de empresas de hosting ahí fuera. Elige lo que más se adapte a ti. Si necesitas nuestro consejo, lo mejor es que eches un vistazo a esta guía de Hosting web, para que te quede mucho más claro (de todas maneras, siempre puedes contestar a este correo para preguntarnos cualquier duda o pregunta).

Si eliges un hosting demasiado barato, no esperes un gran rendimiento, una buena atención al cliente o una buena seguridad. Nadie te dará duros a pesetas. Sé consciente y no elijas la opción más barata. De las copias de seguridad ya hemos hablado en un email anterior. Sigue esos pasos. No queremos ser pesados, pero, por favor, no te olvides de hacer tus propios backups. Y de las actualizaciones también hemos hablado. Recuerda que las actualizaciones arreglan fallos de seguridad así que para tener un WordPress seguro es fundamental actualizar siempre que sea necesario. De nuevo, consulta el anterior email de esta serie y sigue nuestras recomendaciones, por favor.

Plugins no oficiales o plantillas piratas

En internet puedes encontrar de todo. Y es muy tentadora la idea de buscar una plantilla premium y descargarla ilegalmente. No te lo recomendamos. Estarás abriendo la puerta desde el principio a los malos. No cometas ese error, ya que es muy normal que esa plantilla que descargas “gratis” ya venga con “sorpresa”. Del mismo modo, hay plugins no oficiales que no se encuentran en el repositorio de WordPress. De primeras desconfía de ellos salvo que haya una empresa confiable detrás. Para ambos casos, tanto para plantillas como para plugins, te recomendamos esta lista de proveedores de total confianza.

#4 Mejores plugins para asegurar tu blog de WordPress

Además de las configuraciones que te hemos mencionado, te aconsejamos usar algunos de los plugins que existen de seguridad. Hay muchos y son muy buenos, pero no tienes que usar todos. Esta es nuestra lista de recomendados:

ganador 1

WordFence

mejores plugins wordpress seguridad wordfence security

Gratis | Premium ($99/1 Sitio Web)

Wordfence Security es un plugin de WordPress Gratis y muy completo para administrar la seguridad de tu instalación: Firewall, escaneado de malware, aplicación para fortalecer contraseñas, reparación de plugins y archivos de la plantilla, vista general del tráfico en tiempo real y mucho más. La versión premium te da más opciones y puedes ahorrar mucho dinero cuando quieras registrar varios sitios webs.

Ir a WordFence
ganador 2

Limit Login Attempts

mejores plugins wordpress seguridad limit login attempts
Gratis

El plugin de seguridad Limit Login Attempts limita los intentos de acceso a tu cuenta de WordPress. Ante un número de intentos fallidos bloquea el acceso desde esa IP durante un tiempo que configura el usuario haciendo imposible los ataques por fuerza bruta. Un plugin muy útil, sencillo y gratuito.

Ir a Limit Login Attempts
ganador 3

Akismet

mejores plugins wordpress akismet
Gratis | Plus (8€) |  Enterprise (38€)

Akismet es un plugin que viene por defecto cuando instalas WordPress, pero es necesario activarlo añadiendo una clave API. Este plugin de wordpress detendrá las hordas de comentarios spam que llegan todos los días a las páginas web o blogs. Procesa los millones de comentarios que reciben todas esas webs. En base al comportamiento y la repetición de cada comentario Akismet determina si es spam o no. Altamente recomendable.

Ir a Akismet

Acunetix WP Security

mejores plugins wordpress seguridad acunetix wp security scan
Gratis

Acunetix WP Security es un plugin indispensable para todos los propietarios de sitios de WordPress. Este plugin gratuito analiza las debilidades de seguridad de WordPress que los hackers podrían explotar y te dice cómo eliminarlas fácilmente.

Ir a Acunetix WP Security

All In One WP Security

mejores plugins wordpress seguridad all in one wp security and firewall
Gratis

All in One WP Security & Firewall te permite gestionar el archivo .htaccess y el archivo wp-config.php, dos de los archivos más importantes en el funcionamiento de WordPress y en su seguridad (aunque él .htaccess se puede sustituir en caso de no usar Apache o LiteSpeed).

Ir a All In One WP Security

Astra Web Security

mejores plugins wordpress seguridad astra web security
Pro (19€/Mes) | Advanced (39€/Mes) | Bussines (119€/Mes)

Astra Web Security es un complemento de seguridad de WordPress que incluye firewall, bloqueo de IP, listas negras, protección contra spam, protección contra fuerza bruta, escaneo y eliminación de malwareSu interfaz reúne todas estas herramientas que lo hace fácil de usarMuchas marcas prestigiosas como Gillette, African Union, Ford y Oman Airways utilizan este complemento de seguridad. 

Ir a Astra Web Security

Block Bad Queries

mejores plugins wordpress seguridad block bad queries
Gratis

Block Bad Queries es un plugin de seguridad gratuito de WordPress, simple y súper rápido que protege tu sitio contra URLs maliciosas. BBQ comprueba todo el tráfico entrante y bloquea sigilosamente las peticiones maliciosas que contienen cosas dañinas. Esta solución de seguridad es simple, pero sólida para sitios que no pueden usar ufirewall potente.

Ir a BBQ: Block Bad Queries

Bulletproof Security

mejores plugins wordpress seguridad bulletproof security
Gratis | Pro ($70/Pago Único)

BulletProof Security es una de las mejores suites de seguridad para WordPress. De hecho, una de las ventajas de sus es que dispone de un asistente que permite securizar tu instalacion de WordPress paso a paso. Además, tiene una versión premium con funcionalidades muy útiles e importantes.

Ir a Bulletproof Security

Defender

mejores plugins wordpress seguridad defender

Gratis | Defender Pro Only ($60/Año) | Security & Backups Pack ($90/Año) | WPMU DEV ($190/Año) 

Defender es un complemento de seguridad que detecta cualquier código sospechoso y malicioso dentro de tu sitio web; además, repara los archivos originales de WordPress. Pero si necesitas más protección, la versión premium incluye copias de seguridad en la nube con almacenamiento remoto de 10 GB, registros de auditoría para monitorear cambios, análisis de seguridad automatizados y monitoreo de listas negras. Sus expertos incluso te ayudarán a limpiar un sitio pirateado. 

Ir a Defender

Google Authenticator 

 

mejores plugins wordpress seguridad google authenticator
Gratis

Google Authenticator es un plugin para administrar doblemente la seguridad de tu sitio web. Se trata de una autenticación que no aparece en otros sitios de seguridad. Este complemento es una segunda capa de seguridad a tu módulo de inicio de sesión. Además de la contraseña habitual, este plugin te envía una notificación automática a tu móvil para verificar si es o eres uno de los usuarios autorizados. Te puede enviar un código QR o hacer una pregunta de seguridad. La interfaz es bastante fácil de entender. 

Ir a Google Authenticator

Hide My WP

 

mejores plugins wordpress seguridad hide my wp
$39 (1 Sitio Web) 

Hide My WP es un plugin de seguridad de WordPress que oculta que estás usando la plataforma como tu CMS para atacantes, spammers y también detectores de temas como Wappalyzer o BuiltWith. Utiliza un detector para bloquear ataques en tiempo real como inyección SQL , XSS y otros. Notifica cualquier comportamiento inusual con todos los detalles del atacante, incluido el nombre de usuario, la dirección IP, la fecha, etc. 

Ir a Hide My WP

iThemes Security

mejores plugins wordpress seguridad ithemes security better wp security
Gratis | Blogger ($80/Año) | Small Business ($127/Año) | Gold ($199/Año)

Personalmente, iThemes Security es un arma muy potente para securizar WordPress. Pero si no eres capaz de configurarlo bien, puede traerte problemas. Con múltiples formas de proteger su sitio web, el servicio gratuito garantiza que tu sitio web no sea un objetivo fácil para los piratas informáticos. En la versión premium te ofrece más seguridad con la verificación de usuario, escaneo regular de malware con Sucuri Sitecheck, etc.

Ir a iThemes Security

Jetpack

mejores plugins woocommerce tienda online wordpress jetpack
Gratis | Seguridad de Jetpack (18€/Mes) | Copias de Seguridad de Jetpack, Jetpack Anti-Spam y Exploración de Jetpack (8€/Mes) | Búsqueda de Jetpack (5€ /Mes) | Jetpack Completo (71€/Mes)

Jetpack es un plugin de WordPress que fortalece tus redes sociales y la velocidad de tu sitio webpero también incluye herramientas de seguridad que te ahorrará dinero con una solución confiable. Bloquea cualquier actividad sospechosa de los ataques de fuerza bruta y/o listas blancas. Tiene un servicio gratuito que puede ser útil para un sitio web pequeño. Pero también cuenta con protección premium que incluye escaneo de malware, copias de seguridad en tiempo real y análisis de seguridad. Además, de tener un complemento que abarca funciones para marketing. 

Ir a Jetpack

Malcare 

mejores plugins woocommerce tienda online wordpress jetpack
Personal ($99/Año) | Small Business ($259/Año) | Developers ($599/Año) 

Malcare es un complemento de seguridad que utiliza un panel para controlar todos los sitios que estés administrandoRefuerza el firewall de tu sitio web, escanea de cambios de archivos centrales u originales, las actualizaciones de temas y complementos, etc. Ideal para los desarrolladores que son responsables de varias webs. Es un potente bloqueador de direcciones IP. Los precios varían según el número de sitios que desees proteger. 

Ir a Malcare

SecuPress

mejores plugins seo wordpress posicionamiento web otros titan

Gratis | Pro (60 €/Año)

 

SecuPress es un plugin de seguridad que cada día va introduciendo nuevos campos de protección día a día. Hay en versión gratuita y premium. En ambas el interfaz de usuario es sencillo. La versión free cuenta con inicio de sesión anti-fuerza bruta, IP bloqueadas, firewall, protección de sus llaves de seguridad y bloquea las visitas de los robots maliciosos; mientras que la de pago incluyen características adicionales como alertas y notificaciones, autenticación de dos factores, bloqueo GeoIP, escaneos de malware PHP e informes en PDF. Además, puedes cambiar la URL de inicio de sesión de WordPress para que los bots no puedan encontrarla.

Ir a SecuPress

Security Ninja

mejores plugins seo wordpress posicionamiento web otros titan

Gratis | Mensual ($8/1 Sitio Web) | Anual ($39.99/1 Sitio Web) | Pago Único ($119/1 Sitio Web)

Security Ninja es un complemento de seguridad que te ofrece la versión gratuita y la premium. Con la primera puedes realizar más de 50 pruebas de seguridad que van desde la comprobación de archivos y permisos de MySQL hasta varias configuraciones de PHPPero si quieres más protección, puedes obtener una verificación de fuerza bruta de todas las contraseñas de los usuarios para eliminar las cuentas con contraseñas débiles. Incluye un módulo de reparación automática para los que no saben nada de tecnología. Reconoce las direcciones IP incorrectas y las bloquéelas automáticamente. 

Ir a Security Ninja

Shield Security

mejores plugins seo wordpress posicionamiento web otros titan
Gratis | Protect 1 ($29/Año) | Protect 3 ($36/Año) | Protect 5 ($60/Año) | Protect 10 ($120/Año)

Shield Security es una versión gratuita de los plugins de seguridad de WordPress. Este complemento comienza a escanear y proteger tu sitio desde el momento en que lo activa. Su objetivo es hacer que la seguridad de grado profesional sea accesible para todos los sitios, no solo para la versión premium. Te ofrece protección inteligente con características que funcionan incansablemente sin molestar con notificaciones. También hay una versión de pago que incluye más escaneos, auditorias y soporte para WooCommerce 

Ir a Shield Security

Sucuri Security

Basic ($200/AÑO) | Pro ($300/Año) | Business ($500/Año)

Sucuri Security es un plugin de seguridad para WordPress que tiene bastantes funcionalidades, aunque la mayoría solo pueden ser utilizadas en la versión Premium. Además tiene funcionalidades de hardening y medidas de seguridad post-hack. Su potente firewall bloquea la mayoría de los ataques antes de que lleguen a su sitio. Al instalar la versión premium, se realizará un escaneo para determinar si hay algún problema del lado del servidor o de un complemento. 

Ir a Sucuri Security

Titan

mejores plugins seo wordpress posicionamiento web otros titan
Gratis

Titan es un plugin para WordPress de los más completos que puedes encontrar en el mercado. Este plugin básicamente sirve para todo los aspectos no visibles de tu sitio web. Este plugin incluye un anti-spam, un firewall, un escaner de malware y un auditor de seguridad y rendimiento. Este plugin destaca por actualizarse constantemente con las nuevas mejoras y reglas que haya sobre seguridad y por tener una interfaz sencilla de utilizar donde puedes administrar cualquier cosa.

Ir a Titan

VaultPress 

mejores plugins seo wordpress posicionamiento web otros titan

Gratis | Real-Time Backups ($50/Mes) | Daily Backups ($10/Mes)

VaultPress es uno de los plugin de WordPress de seguridad premium más asequibles. Sus planes van para pequeños sitios webs o blogueros. Esta protección se basa en copias de seguridad en tiempo real o diarias. Las principales herramientas de seguridad monitorean la actividad sospechosa en tusitio web, con pestañas para ver su historial y ver qué amenazas se han tratado o ignorado. También puede consultar las estadísticas y administrar todo su detalle de seguridad. Soporte técnico muy bien valorado. 

Ir a Vaultpress

WebARX 

mejores plugins seo wordpress posicionamiento web otros titan
Mensual ($15/1 Sitio Web) | Anual ($153/1 Sitio Web)

WebARX es una plataforma de seguridad conocida por su firewall de punto final avanzado, que te permite controlar completamente el tráfico de tu sitio web, y así proteger de algunas vulnerabilidades, ataques de bots y tráfico falso. Fortalece la instalación de WordPress, crea copias de seguridad, monitorea el tiempo de actividad y los problemas de seguridad. Recibirás alertas, exportar informes y mucho más. Es bastante fácil de configurar. 

Ir a WebARX

WP Activity Log

mejores plugins seo wordpress posicionamiento web otros titan
Starter ($89/Año) | Professional ($99/Año) | Business ($149/Año)

WP Activity Log es un plugin de auditoria de seguridad completa. Monitorea cualquier comportamiento sospechoso, monitoria usuarios, cambios de perfiles y de complementos de terceros (BBPress, Yoast y WooCommerce). Si bien no tiene firewall o escaneo de malware, este servicio de auditoría completa de cada acción realizada en tu sitio web. Útil si quieres vigilar a varios autores que acceden a tu sistema.

Ir a WP Activity Log

WP fail2ban

mejores plugins seo wordpress posicionamiento web otros titan
Gratis

WP fail2ban es un plugin gratuito de seguridad que es muy valorado por los usuarios. Si bien ofrece pocas características, es muy potente. Este complemente protege contra ataques de fuerza bruta; es decir, documenta todos los intentos de inicios de sesión, independientemente de su naturaleza o éxito. Además, puedes crear un código corto que bloquea a los usuarios antes incluso de tener la oportunidad de llegar al proceso de inicio de sesión. También tiene la opción de implementar una prohibición suave o estricta, diferente a otras que solo te ofrecen una.

Ir a WP fail2ban
Plugins gratis y de pago para instalaciones WordPress

Asegura tu WordPress contra los amigos de lo ajeno

Ya tienes unos buenos conocimientos de cómo hacer seguro tu WordPress. Si sigues esta guía, podrás tener un sitio web mucho más seguro que muchos. Son muchos los webmasters que no atienden debidamente este tipo de tareas de una intalación WordPress, y por eso luego vienen los sustos. Te animo a probar diferentes plugins y ver cuál es el que mejor entiendes para hacer de tu blog de WordPress, una intalación segura.

Justo debajo tienes acceso al siguiente capítulo y acceso a todos los demás, pero te pediría que, antes de avanzar, dejases un comentario sobre qué te ha parecido esta primera parte, con tus ruegos, dudas o preguntas. Además, si compartieses este contenido con tus amigos y familiares estaría muy agradecido, ya que me ayudaría a difundirlo.

¡Quiero saber qué opinas! Deja tu comentario
Volver al anterior capítulo
Ir al siguiente capítulo

Guía para crear, diseñar, gestionar, optimizar y rentabilizar un blog

Volver al principio
Nota: Los capítulos tienen un orden concreto pero, si quieres saltar directamente a alguno de ellos, haz click sobre el icono. Una vez que hayas superado y dominado cada uno de los capítulos de mi guía para crear un blog de éxito, podrás crear, diseñar, gestionar, optimizar y monetizar tu propio blog. Si necesitas ayuda durante el proceso, por favor, ponte en contacto conmigo en cualquier momento. También dispongo un servicio de diseño para blogs y una selección de las mejores herramientas para bloggers.