Imagina que, después de años de dedicación a escribir 1 o 2 posts semanales, construir una audiencia, enviar newsletter dando lo mejor de ti, llega el día en el que abres tu blog y este ¡No funciona! Te recorre un escalofrío de arriba a abajo (por la zona de espalda principalmente). Empiezas a darle vueltas a las últimas acciones que has realizado en la página web y te haces preguntas del estilo ¿Me han hackeado el blog? ¿Ha entrado un virus? Y muchas cosas más, sin saber muy bien qué es lo que ha pasado.
Hoy vengo cargado de consejos de seguridad para tu blog de WordPress. Te voy a contar los secretos para tener un WordPress ultraseguro. Como ya te he comentado en algún punto de mi guía para crear un blog con WordPress, este es inseguro. De hecho, el equipo de desarrollo de WordPress tiene como una de sus prioridades hacerlo más y más seguro con el tiempo. Sin embargo, por mucho que se esfuercen, el hecho de que más del 65% de todos los sitios web que utilizan gestor de contenidos utilicen WordPress, hace que este tipo de instalaciones sean muy apetecibles para «los amigos de lo ajeno«.
Índice de contenidos
Mejores plugins de seguridad para WordPress gratis y de pago
Hay muchos plugins de seguridad para WordPress y algunos muy buenos, pero no tienes que usar todos. Esta es nuestra lista de recomendados:
WordFence
Wordfence Security es un plugin de WordPress Gratis y muy completo para administrar la seguridad de tu instalación: Firewall, escaneado de malware, aplicación para fortalecer contraseñas, reparación de plugins y archivos de la plantilla, vista general del tráfico en tiempo real y mucho más. La versión premium te da más opciones y puedes ahorrar mucho dinero cuando quieras registrar varios sitios webs.
Cerber Security
WP Cerber Segurity es un complemento de seguridad de WordPress de código abierto y defiende enérgicamente a WordPress contra ataques de piratas informáticos, spam y malware. Increíblemente rápido y confiable por diseño. Bloquea la actividad maliciosa antes de que dañe sus datos
a través de algoritmos que analizan las solicitudes entrantes en busca de patrones de códigos maliciosos y anomalías de tráfico. Cerber Security para WordPress ayuda a mitigar millones de ataques en todo el mundo por día.
Akismet
Akismet es un plugin que viene por defecto cuando instalas WordPress, pero es necesario activarlo añadiendo una clave API. Este plugin de wordpress detendrá las hordas de comentarios spam que llegan todos los días a las páginas web o blogs. Procesa los millones de comentarios que reciben todas esas webs. En base al comportamiento y la repetición de cada comentario Akismet determina si es spam o no. Altamente recomendable.
All In One WP Security
All in One WP Security & Firewall te permite gestionar el archivo .htaccess y el archivo wp-config.php, dos de los archivos más importantes en el funcionamiento de WordPress y en su seguridad (aunque él .htaccess se puede sustituir en caso de no usar Apache o LiteSpeed).
AntiVirus
AntiVirus es otro complemento gratuito para proteger tu sitio web en WordPress. Analiza tu página en busca de malware o spam. Esta exploración radica principalmente en tu base de datos y archivos de temas. Si encuentra algo, se te notificará inmediatamente por correo electrónico. Para brindar una protección continua, puedes programar AntiVirus para ejecutar un análisis automático en su sitio diariamente.
Anti-Malware Security and Brute-Force Firewall
Anti-Malware Security and Brute-Force Firewall es uno de los mejores complemento de seguridad para WordPress debido a su capacidad para detectar malwares específicos. La tecnología con la que está desarrollado permite analizar rápidamente todos los plugins y los temas para identificar posibles problemas y evitar que se produzcan errores en la web. Si se complementa con otra herramienta la protección es magnífica.
Astra Web Security
Astra Web Security es un complemento de seguridad de WordPress que incluye firewall, bloqueo de IP, listas negras, protección contra spam, protección contra fuerza bruta, escaneo y eliminación de malware. Su interfaz reúne todas estas herramientas que lo hace fácil de usar. Muchas marcas prestigiosas como Gillette, African Union, Ford y Oman Airways utilizan este complemento de seguridad.
Block Bad Queries
Block Bad Queries es un plugin de seguridad gratuito de WordPress, simple y súper rápido que protege tu sitio contra URLs maliciosas. BBQ comprueba todo el tráfico entrante y bloquea sigilosamente las peticiones maliciosas que contienen cosas dañinas. Esta solución de seguridad es simple, pero sólida para sitios que no pueden usar un firewall potente.
Bulletproof Security
BulletProof Security es una de las mejores suites de seguridad para WordPress. De hecho, una de las ventajas de sus es que dispone de un asistente que permite securizar tu instalacion de WordPress paso a paso. Además, tiene una versión premium con funcionalidades muy útiles e importantes.
Defender
Defender es un complemento de seguridad que detecta cualquier código sospechoso y malicioso dentro de tu sitio web; además, repara los archivos originales de WordPress. Pero si necesitas más protección, la versión premium incluye copias de seguridad en la nube con almacenamiento remoto de 10 GB, registros de auditoría para monitorear cambios, análisis de seguridad automatizados y monitoreo de listas negras. Sus expertos incluso te ayudarán a limpiar un sitio pirateado.
Google Authenticator
Google Authenticator es un plugin para administrar doblemente la seguridad de tu sitio web. Se trata de una autenticación que no aparece en otros sitios de seguridad. Este complemento es una segunda capa de seguridad a tu módulo de inicio de sesión. Además de la contraseña habitual, este plugin te envía una notificación automática a tu móvil para verificar si es o eres uno de los usuarios autorizados. Te puede enviar un código QR o hacer una pregunta de seguridad. La interfaz es bastante fácil de entender.
Hide My WP
Hide My WP es un plugin de seguridad de WordPress que oculta que estás usando la plataforma como tu CMS para atacantes, spammers y también detectores de temas como Wappalyzer o BuiltWith. Utiliza un detector para bloquear ataques en tiempo real como inyección SQL , XSS y otros. Notifica cualquier comportamiento inusual con todos los detalles del atacante, incluido el nombre de usuario, la dirección IP, la fecha, etc.
Hide My WP Ghost
Hide My WP Ghost es un plugin de seguridad de WordPress que oculta que estás usando la plataforma como tu CMS para hackers y ataques de fuerza bruta. Este complemento protege tus rutas y archivos comunes de tu WordPress y limita los inicios de sesión. Te alerta de cualquier intento de hackeo o actividad sospechosa a través de tu correo electrónico y te informa del registro de actividad en tu CMS. Más de más de 50 mil sitios web utilizan este servicio.
iThemes Security
Personalmente, iThemes Security es un arma muy potente para securizar WordPress. Pero si no eres capaz de configurarlo bien, puede traerte problemas. Con múltiples formas de proteger su sitio web, el servicio gratuito garantiza que tu sitio web no sea un objetivo fácil para los piratas informáticos. En la versión premium te ofrece más seguridad con la verificación de usuario, escaneo regular de malware con Sucuri Sitecheck, etc.
Jetpack
Jetpack es un plugin de WordPress que fortalece tus redes sociales y la velocidad de tu sitio web, pero también incluye herramientas de seguridad que te ahorrará dinero con una solución confiable. Bloquea cualquier actividad sospechosa de los ataques de fuerza bruta y/o listas blancas. Tiene un servicio gratuito que puede ser útil para un sitio web pequeño. Pero también cuenta con protección premium que incluye escaneo de malware, copias de seguridad en tiempo real y análisis de seguridad. Además, de tener un complemento que abarca funciones para marketing.
Limit Login Attempts
El plugin de seguridad Limit Login Attempts limita los intentos de acceso a tu cuenta de WordPress. Ante un número de intentos fallidos bloquea el acceso desde esa IP durante un tiempo que configura el usuario haciendo imposible los ataques por fuerza bruta. Un plugin muy útil, sencillo y gratuito.
Malcare
Malcare es un complemento de seguridad que utiliza un panel para controlar todos los sitios que estés administrando. Refuerza el firewall de tu sitio web, escanea de cambios de archivos centrales u originales, las actualizaciones de temas y complementos, etc. Ideal para los desarrolladores que son responsables de varias webs. Es un potente bloqueador de direcciones IP. Los precios varían según el número de sitios que desees proteger.
SecuPress
SecuPress es un plugin de seguridad que cada día va introduciendo nuevos campos de protección día a día. Hay en versión gratuita y premium. En ambas el interfaz de usuario es sencillo. La versión free cuenta con inicio de sesión anti-fuerza bruta, IP bloqueadas, firewall, protección de sus llaves de seguridad y bloquea las visitas de los robots maliciosos; mientras que la de pago incluyen características adicionales como alertas y notificaciones, autenticación de dos factores, bloqueo GeoIP, escaneos de malware PHP e informes en PDF. Además, puedes cambiar la URL de inicio de sesión de WordPress para que los bots no puedan encontrarla.
Security Ninja
Security Ninja es un complemento de seguridad que te ofrece la versión gratuita y la premium. Con la primera puedes realizar más de 50 pruebas de seguridad que van desde la comprobación de archivos y permisos de MySQL hasta varias configuraciones de PHP. Pero si quieres más protección, puedes obtener una verificación de fuerza bruta de todas las contraseñas de los usuarios para eliminar las cuentas con contraseñas débiles. Incluye un módulo de reparación automática para los que no saben nada de tecnología. Reconoce las direcciones IP incorrectas y las bloquea automáticamente.
SiteLock
SiteLock es otro espectacular complemento de seguridad de tu sitio web sin salir de WordPress. Te protege de actividades maliciosas y solicitudes dañinas. Sus actualizaciones en tiempo real permiten una rápida identificación y corrección de cualquier problema. Si bien SiteLock tiene una opción gratuita, los paquetes premium te ofrecen más protección, como detección y eliminación de malware, además de un firewall que supervisa, filtra o bloquea el tráfico HTTP hacia y desde una aplicación web.
Shield Security
Shield Security es una versión gratuita de los plugins de seguridad de WordPress. Este complemento comienza a escanear y proteger tu sitio desde el momento en que lo activa. Su objetivo es hacer que la seguridad de grado profesional sea accesible para todos los sitios, no solo para la versión premium. Te ofrece protección inteligente con características que funcionan incansablemente sin molestar con notificaciones. También hay una versión de pago que incluye más escaneos, auditorias y soporte para WooCommerce.
Sucuri Security
Sucuri Security es un plugin de seguridad para WordPress que tiene bastantes funcionalidades, aunque la mayoría solo pueden ser utilizadas en la versión Premium. Además tiene funcionalidades de hardening y medidas de seguridad post-hack. Su potente firewall bloquea la mayoría de los ataques antes de que lleguen a su sitio. Al instalar la versión premium, se realizará un escaneo para determinar si hay algún problema del lado del servidor o de un complemento.
Titan
Titan es un plugin para WordPress de los más completos que puedes encontrar en el mercado. Este plugin básicamente sirve para todo los aspectos no visibles de tu sitio web. Este plugin incluye un anti-spam, un firewall, un escaner de malware y un auditor de seguridad y rendimiento. Este plugin destaca por actualizarse constantemente con las nuevas mejoras y reglas que haya sobre seguridad y por tener una interfaz sencilla de utilizar donde puedes administrar cualquier cosa.
VaultPress
VaultPress es uno de los plugin de WordPress de seguridad premium más asequibles. Sus planes van para pequeños sitios webs o blogueros. Esta protección se basa en copias de seguridad en tiempo real o diarias. Las principales herramientas de seguridad monitorean la actividad sospechosa en tu sitio web, con pestañas para ver su historial y ver qué amenazas se han tratado o ignorado. También puede consultar las estadísticas y administrar todo su detalle de seguridad. Soporte técnico muy bien valorado.
WebARX
WebARX es una plataforma de seguridad conocida por su firewall de punto final avanzado, que te permite controlar completamente el tráfico de tu sitio web, y así proteger de algunas vulnerabilidades, ataques de bots y tráfico falso. Fortalece la instalación de WordPress, crea copias de seguridad, monitorea el tiempo de actividad y los problemas de seguridad. Recibirás alertas, exportar informes y mucho más. Es bastante fácil de configurar.
WP Activity Log
WP Activity Log es un plugin de auditoria de seguridad completa. Monitorea cualquier comportamiento sospechoso, monitoria usuarios, cambios de perfiles y de complementos de terceros (BBPress, Yoast y WooCommerce). Si bien no tiene firewall o escaneo de malware, este servicio de auditoría completa de cada acción realizada en tu sitio web. Útil si quieres vigilar a varios autores que acceden a tu sistema.
WP fail2ban
WP fail2ban es un plugin gratuito de seguridad que es muy valorado por los usuarios. Si bien ofrece pocas características, es muy potente. Este complemente protege contra ataques de fuerza bruta; es decir, documenta todos los intentos de inicios de sesión, independientemente de su naturaleza o éxito. Además, puedes crear un código corto que bloquea a los usuarios antes incluso de tener la oportunidad de llegar al proceso de inicio de sesión. También tiene la opción de implementar una prohibición suave o estricta, diferente a otras que solo te ofrecen una.
La seguridad empieza desde la instalación de WordPress
Con la popularidad de WordPress, muchos de los proveedores de hosting proporcionan una herramienta para instalar WordPress con un solo click. También serás capaz de instalar WordPress en 5 minutos siguiendo la guía oficial (o este post). El problema viene si te quedas ahí, como el 80% de las personas que montan un WordPress.
Hosting, Backups y actualizaciones
La seguridad de tu sitio web empieza por tu propio servidor. Existe una amplia gama de empresas de hosting ahí fuera. Elige lo que más se adapte a ti. Si necesitas nuestro consejo, lo mejor es que eches un vistazo a esta guía de Hosting web, para que te quede mucho más claro (de todas maneras, siempre puedes contestar a este correo para preguntarnos cualquier duda o pregunta).
Si eliges un hosting demasiado barato, no esperes un gran rendimiento, una buena atención al cliente o una buena seguridad. Nadie te dará duros a pesetas. Sé consciente y no elijas la opción más barata. De las copias de seguridad ya hemos hablado en un email anterior. Sigue esos pasos. No queremos ser pesados, pero, por favor, no te olvides de hacer tus propios backups. Y de las actualizaciones también hemos hablado. Recuerda que las actualizaciones arreglan fallos de seguridad así que para tener un WordPress seguro es fundamental actualizar siempre que sea necesario. De nuevo, consulta el anterior email de esta serie y sigue nuestras recomendaciones, por favor.
Plugins no oficiales o plantillas piratas
En internet puedes encontrar de todo. Y es muy tentadora la idea de buscar una plantilla premium y descargarla ilegalmente. No te lo recomendamos. Estarás abriendo la puerta desde el principio a los malos. No cometas ese error, ya que es muy normal que esa plantilla que descargas «gratis» ya venga con «sorpresa». Del mismo modo, hay plugins no oficiales que no se encuentran en el repositorio de WordPress. De primeras desconfía de ellos salvo que haya una empresa confiable detrás. Para ambos casos, tanto para plantillas como para plugins, te recomendamos esta lista de proveedores de total confianza.
Pasos a seguir para asegurar tu instalación WordPress correctamente
He hecho una lista con los ajustes que deberías de realizar a tu WordPress nada más instalarlo:
- No uses el usuario admin que viene por defecto: Cambia o renombra este usuario administrador (evitarás muchos ataques de fuerza bruta que utilizan ese usuario en los intentos)
- Usa una contraseña robusta: Ponle una contraseña segura a todos los usuarios de WordPress y a tus usuarios FTP y de la base de datos (para generar una contraseña segura echa un vistazo a este post)
- Oculta la página de login por defecto: Todos sabemos que para acceder a la administración de WordPress podemos ir a «nombreweb.com/wp-admin/«, asi que cámbialo y evita ataques masivos (puedes usar el plugin Lockdown WP Admin o WP htaccess Control)
- Cambia el prefijo de la base de datos por defecto: Por defecto, todas las tablas de la base de datos de WordPress empiezan con «wp_«, asi que cámbialo en el proceso de instalación por una cadena de al menos 6 caracteres combinando números y letras (por ejemplo «egns24t_«)
- Protege los ficheros wp-config y .htaccess: Recuerda que son los ficheros esenciales de tu configuración de WordPress, por lo que dales permisos sólo de lectura y listo (nadie los podrá cambiar)
Conclusión: Asegura tu WordPress contra los amigos de lo ajeno
Ya tienes unos buenos conocimientos de cómo hacer seguro tu WordPress. Si sigues esta guía, podrás tener un sitio web mucho más seguro que muchos. Son muchos los webmasters que no atienden debidamente este tipo de tareas de una intalación WordPress, y por eso luego vienen los sustos. Te animo a probar diferentes plugins y ver cuál es el que mejor entiendes para hacer de tu blog de Wordpress, una intalación segura.
Justo debajo tienes acceso al siguiente capítulo y acceso a todos los demás, pero te pediría que, antes de avanzar, dejases un comentario sobre qué te ha parecido esta primera parte, con tus ruegos, dudas o preguntas. Además, si compartieses este contenido con tus amigos y familiares estaría muy agradecido, ya que me ayudaría a difundirlo.
¿Te ha gustado el contenido?
Puntuación media 5 / 5. Votos: 3494
¡Todavía no hay votos! Sé el primero en valorar el contenido.
¿Sientes curiosidad o interés por iniciar tu propio blog? No es ningún secreto que las bitácoras ocupan buena parte de la red, dejando claro que la generación de contenidos puede generar tráfico, relevancia e ingresos. Hacer un blog que sea, a la vez, tu identidad digital y un escaparate es algo que hay que tomarse muy en serio. Este tutorial te explica, paso a paso, cómo crear, diseñar, gestionar, optimizar y rentabilizar un blog.
Soy muchas cosas, pero todo empezó como blogger hace más de 20 años. Desde ahí he ido ido creciendo como persona y profesional hasta que decidí dejar un buen trabajo, emprender por mi cuenta y poner en marcha mi propia agencia de marketing digital. Ahora, junto con un equipo joven, motivado y muy cualificado, ayudo a profesionales y empresas a crear y hacer crecer su negocio en Internet ofreciendo un servicio de marketing digital atento, cercano, integral y profesional.
Únete a más de 50.000 personas que, aparte de recibir los primeros todas las actualizaciones del blog e importantes descuentos en herramientas, tienen acceso gratuito a todos nuestros contenidos.
Únete a más de 50.000 personas que, aparte de recibir los primeros todas las actualizaciones del blog e importantes descuentos en herramientas, tienen acceso gratuito a todos nuestros contenidos.