Como evitar un hackeo en Wordpress

Aquí te enseñamos una serie de pasos para proteger al máximo tu Wordpress. Síguelos concienzudamente para que tu Wordpress no se hackeado.
 
  1. Copias de seguridad
El primer paso y el más importante. Antes de hacer nada asegúrate de que tienes una copia de seguridad de tu base de datos. Puedes hacerlo manualmente (recuerda que nosotros también guardamos 9 copias de seguridad de tu cuenta)o bien utilizar un plugin de Wordpress. 
 
  1. Actualiza tu versión de Wordpress a la última.

Otro de los requisitos fundamentales: asegúrate de que la versión de tu Wordpress es la última. 

  1. Cambia tu usuario de Login y pon una contraseña de seguridad.

El usuario por defecto de WordPress es “admin” y la mayoría de los hackers lo saben. Tienes que cambiar este usuario a otra cosa que no sea "admin" o "administrador". 

  1. Contraseñas en el archivo wp-config.php

Utiliza el WordPress Key Generator para generar estas contraseñas. Abre tu wp-config.php y busca las líneas que se parecen a continuación y simplemente reemplazalos por los generados:

define ('AUTH_KEY', 'pon tu frase única aquí');
define ('SECURE_AUTH_KEY', 'pon tu frase única aquí');
define ('LOGGED_IN_KEY', 'pon tu frase única aquí');
define ('NONCE_KEY' , 'pon tu frase única aquí');

Guarda y ya está!

  1. Instala algún plugin de seguridad, por ejemplo, Wordfence.

Es un plugin muy sencillo y te envía todos las revisiones a tu correo si lo das de alta. Explorará tu WordPress en busca de vulnerabilidades y te informará de si encuentra algún código malicioso, etc. 

  1. Cambie la tabla de prefijo. No uses la típica por defecto: _wp

Instala Change Prefix Wordpress.

El prefijo de tabla por defecto de WordPress es wp_. Lo sabes tú y lo sabe también el pirata que quiera hackear tu web.
Las inyecciones por SQL son los ataques más fáciles. Cambia tu prefijo por otro cualquiera. Puedes hacerlo de forma manual con conocimientos básicos de SQL o bien usa un plugin de Wordpress como el que comentamos al inicio de este punto. 

  1. Protege tu .htaccess

Copia este texto dentro de tu .htaccess

# Protege .htaccess en Apache 2.4
<FilesMatch "^.*\.([Hh][Tt][Aa])">
Require all denied
</FilesMatch>
# FUERTE PROTECCION HTACCESS <Files ~ "^.*\.([Hh][Tt][Aa])"> Order allow,deny Deny from all Satisfy all </Files>


Es mejor prevenir que curar. Así que trabaja tu Wordpress antes de que sea tarde.

Te aconsejamos que revises la seguridad de tu wordpress en general para que no te sigan o vuelvan a atacar la página, a continuación te copio algunos consejos:

  • Cambiar todas las contraseñas que tengas: cPanel, admin de wordpress, cuentas de correo electrónico, cuentas de FTP, etc.

  • Mantener tu wordpress actualizado a la última versión. Actualiza siempre que salga una nueva actualización con mejoras y añadidos de seguridad. Si has instalado el wordpress a través de cPanel > Softaculous, puedes actualizarlo desde ahí mismo.

  • Revisar los plugins instalados. Muchos plugins de terceros utilizan versiones de PHP anteriores a la 7.x, por lo que suelen estar desactualizados desde hace tiempo. Es mejor siempre utilizar plugins de confianza que tengan parches de seguridad asiduamente.

  • Revisar los formularios de contacto. Muchos bots atacantes utilizan los distintos formularios de contacto que existen para colarse en los wordpress. Es bueno utilizar algún plugin de contacto bien actualizado, que utilice SMTP y no php mail() (esto es muy importante), y que cuente con un captcha o algún sistema que evite envíos de bots.

  • Utilizar SMTP para todo el wordpress. El CMS por defecto envía correos a través de la función mail() de php, la cual está totalmente obsoleta y no utiliza ningún tipo de seguridad de correo electrónico. Normalmente se utiliza para suplantar identidades. Lo mejor es utilizar una cuenta de correo existente en tu hosting, y configurar wordpress para enviar por SMTP a través de esa cuenta.

  • La carpeta de administración wp-admin es conveniente que se llame de forma distinta para evitar intentos de entradas habituales. Se pueden poner unos números aleatorios al final para solucionarlo como por ejemplo wp-admin19765. Lo mismo ocurre con el usuario de administración, no es conveniente mantener el usuario admin sino poner un nombre de usuario que no sea habitual, y la contraseña por supuesto que sea lo más segura posible, mezclando mayúsculas/minúsculas/números/símbolos y que tenga una longitud mínima de 10 carcteres.

  • Instalar plugins de firewall como WordFence (recomendado). Te ayudarán a bloquear la inmensa mayoría de ataques diarios que reciben los Wordpress a través de patrones conocidos.

Hay más cosas que se pueden hacer para mejorar la seguridad de tu web, pero estos puntos son esenciales para dicho cometido.

  • 9 usuarios han encontrado esto útil
¿Fue útil la respuesta?

Artículos relacionados

 Wordpress login

¿Qué es el login de Wordpress? Los dos login por defecto de Wordpress son el wp-login.php y el...

 Instalar Google Analytics en tu WordPress sin plugins

¿Dónde pego mi código de seguimiento? Si estás aquí es porque ya conoces los valores de Google...

 ¿Qué es Wordpress?

Siempre damos por supuesto que todo el mundo sabe lo que nosotros creemos como básico. Pues hoy...

 Instalar Wordpress

Cómo instalar Wordpress con Esquío: La fórmula más sencilla de instalar tu Wordpress con Esquío...

 Usuarios y Roles en Wordpress

Si tu sitio en web hecho en Wordpress es administrado por varias personas y necesitas manejar o...