¿Es seguro WordPress?

No se puede dar una respuesta rotunda y sin matices, porque los es y no lo es, dependiendo de muchos factores que, en muchos casos, están más relacionados con la gestión que hagamos de nuestro sitio, o del tipo de alojamiento que tengamos contratado y los servicios que nos ofrezcan.

WordPress es el sistema más utilizado en todo el mundo para el diseño y desarrollo de páginas web. De hecho, según W3Techs, el 40% de los sitios web que podemos encontrar en Internet han sido desarrollados sobre WordPress.Y si nos centramos solo en aquellos sitios que utilizan algún tipo de gestor de contenidos (CMS), su dominio resulta absolutamente abrumador, ya que ha conseguido hacerse con una cuota de mercado del 64%, marcando diferencias abismales con respecto a sus principales competidores: Drupal, Joomla o Wix, entre otros.

Es el sistema más utilizado y, en consecuencia, el que más ataques recibe. Pero al mismo tiempo, esa posición dominante que ostenta en el mercado hace que haya una gran comunidad alrededor de la plataforma, compuesta por desarrolladores de todo el mundo, pendiente de su funcionamiento y de solucionar cualquier agujero de seguridad que pueda producirse, lo que se traduce en constantes actualizaciones, muchas de ellas de seguridad, del propio sistema y de los innumerables plugin que sirven para ampliar las funcionalidades que ofrece.

Y es cierto, cada año cientos de miles de sitios de WordPress son atacados y pirateados, pero la realidad es que la mayoría de estos ataques no tienen éxito por vulnerabilidades del sistema, sino por fallos de mantenimiento.

Por lo tanto, ¿es WordPress seguro? Como cualquier otro sistema, no es infalible, pero ofrece bastantes garantías, siempre que adoptemos una serie de medidas de seguridad mínimas que mantendrán nuestro sitio protegido ante la mayor parte de los ataques que puede recibir.

Así que vamos a empezar a ver cuáles son esas medidas básicas que debemos poner en marcha para tener un sitio WordPress lo más seguro posible:

1. Utiliza siempre contraseñas fuertes

Prácticamente cualquier servicio al que tenemos que acceder requiere una contraseña. Son decenas, a veces centenares de combinaciones de letras, números y símbolos diferentes que sentimos que no podemos manejar ni, por supuesto, recordar. ¡Es imposible!, así que muchas veces acabamos optando por lo más fácil: poner la misma contraseña a todos los servicios a los que tenemos que acceder, utilizar dos o tres diferentes que vamos alternando, o incluir nombres de lugares conocidos, fechas o nombres que significan algo para nosotros.

Es un error. Un error que podemos pagar muy caro y que podemos evitar de manera muy sencilla. Para empezar, todos los navegadores ofrecen la posibilidad de recordar las contraseñas, por lo que no es necesario que las tengamos todas en la cabeza ni tenerlas siempre a mano para ponerlas a mano.

Además, tenemos la muy recomendable opción de utilizar un buen gestor de contraseñas.

Así que no lo dudes y opta siempre por contraseñas seguras que contengan combinaciones aleatorias de letras en minúsculas, mayúsculas, números y caracteres especiales.

En el caso de WordPress, ni siquiera vas a tener que pensarla, porque las últimas versiones incorporan un generador de contraseñas seguras que el sistema te sugiere utilizar. No es obligatorio, pero es, posiblemente, la mejor opción.

Además, si quieres aumentar la seguridad de tu sitio, puedes forzar cambios de contraseñas periódicos, con el fin de que todos los usuarios renueven sus contraseñas en un plazo determinado de tiempo, lo que también pone las cosas un poco más difíciles a los hackers.

2. No utilices el usuario admin para acceder a la web

A la hora de elegir nombres de los usuarios que tendrán acceso al administrador evita los más comunes: admin, Admin, root, editor etc., ya que son los primeros que utilizará un hacker que intente tomar posesión de tu web a través de un ataque por fuerza bruta, que son, explicados en pocas palabras, aquellos en los que se realiza login infinidad de veces hasta encontrar la combinación correcta.

3. Usa siempre la última versión de WordPress

Actualizar a la última versión de WordPress es fundamental si queremos que nuestra web sea segura. Cada día surgen nuevas amenazas y/o se descubren pequeños o grandes fallos de seguridad, de ahí que la mayoría de las actualizaciones que se lanzan tengan como objeto solucionar posibles problemas de seguridad.

Las versiones antiguas no actualizadas son más vulnerables y, por eso mismo, objetivo sencillo para los hackers. La explicación es simple: no están protegidas contra las nuevas amenazas que han ido surgiendo desde su lanzamiento, y pueden tener agujeros de seguridad que se han solucionado en versiones posteriores.

Si no quieres estar pendiente de las actualizaciones, WordPress ofrece un sistema de actualizaciones automáticas, tanto para su núcleo, como para plugins y temas. Ahora bien, este sistema solo está pensado para las actualizaciones de mantenimiento y seguridad, pero no para los denominados cambios de versiones “mayores”, por ejemplo, para pasar de la versión 4.5. a la 4.6. tendrás que solicitar la actualización manualmente, aunque bastará con darle click a un botón.

4. Actualiza los plugins y el tema activo

Los plugins y los temas son otro elemento de extrema sensibilidad para la seguridad de un sitio desarrollado en WordPress, especialmente si no se mantienen permanentemente actualizados.

Como hemos comentado en el punto anterior, cuando activas las actualizaciones automáticas, puedes decirle al sistema que actualice también plugins y tema activo, siempre que estén incluidos en el directorio oficial de WordPress.

En el caso de que estés utilizando plugins o temas no incluidos en este directorio, lo normal es que desarrolladores y comercios online especializados te envíen notificaciones de las actualizaciones que lanzan los productos que has adquirido, pero si no es así, tendrás que estar pendiente para saber si han lanzado alguna actualización, para así instalarla.

Además, es conveniente que estés pendiente de si el tema de la web o alguno de los plugins que tienes instalado lleva mucho tiempo sin recibir actualizaciones. En ese caso, asegúrate de que sigue teniendo mantenimiento, y si no es así, lo mejor que puedes hacer es plantearte sustituirlo por otro. Es cierto, supondrá dedicar unas horas extras de trabajo, pero la alternativa es que descubras que tu sitio web ha sido hackeado, y ten por seguro que multiplica por mucho las molestias y los dolores de cabeza que te puede provocar.

5. Borra los plugins y temas que no utilices

Los plugins y temas inactivos, además, de ocupar un espacio en el hosting, también pueden ser una vía de entrada de ataques a la web, especialmente si están desactualizados. Así que, por precaución, borra todos aquellos temas y plugins que no utilices.

6. No uses plugins o temas piratas o descargados de webs de descargas

Puede resultar tentador en determinados casos, pero no es nada recomendable, porque siempre correrás el peligro de que lo que realmente descargues sea una plantilla o una extensión modificada y preparada para facilitar cualquier tipo de intrusión, porque una vez instalado, habrás sido tú mismo el que ha abierto las puertas de tu web de par en par a los hackers.

Así que, instala solo plugins y temas que encuentres en el directorio oficial de WordPress, sus versiones de pago, o aquellos que puedas adquirir en páginas de desarrolladores reconocidos, o en los comercios online especializados para este tipo de productos.

7. Haz copias de seguridad

Evidentemente, no es una medida preventiva, pero en el caso de que, a pesar de las medidas de seguridad que haya tomado, tu web sufra un ataque para el que no está protegida, realizar periódicamente copias de seguridad te salvará de perder todos tus datos y permitirá que tu web vuelva a trabajar a pleno rendimiento en un espacio de tiempo muy corto.

Por ello, es importante que compruebes que la empresa que te ofrece el alojamiento de la web realiza copias de seguridad completas periódicamente.

Otra posibilidad es que instales un plugin de copias de seguridad, pero desde luego, la mejor opción desde nuestro punto de vista, es contratarlas con tu proveedor de hosting.

8. Contrata un hosting de calidad

Quién te proporciona alojamiento y las tecnologías que utiliza también pueden contribuir a que tu sitio WordPress sea más o menos seguro.

Por ejemplo, con PHP7 se implementaron importantes mejoras de seguridad. Sin embargo, todavía quedan muchos sitios WordPress que utilizan versiones inferiores.

Si tenemos en cuenta que el soporte de PHP 5.6 (la siguiente versión que se lanzó de PHP tras la 5.6 fue la 7, ya que la 6 se abandonó) expiró oficialmente en 2018, y que las versiones anteriores de PHP llevan años sin recibir soporte de seguridad, cualquier página alojada en un entorno que no se haya actualizado, como mínimo, a PHP 7 – y no son pocas- será muy vulnerable a ataques de piratas informáticos.

Además, un buen proveedor de alojamiento implementará medidas adicionales de seguridad que contribuirán a defender tu web frente a posibles ataques e intentos de intrusiones.

9. Limita los intentos de acceso

Puedes instalar un plugin para limitar el número de intentos fallidos de acceso que puede realizar un usuario, Por ejemplo, si el límite está en cuatro, si alguien escribe mal su usuario o contraseña en cuatro ocasiones, no podrá volver a acceder a las páginas hasta que pase un tiempo predefinido.

Con esta medida dificultaremos los ataque por fuerza bruta.

10. Incluye un sistema de Captcha

Incluye un sistema de Captcha que evite los accesos de máquinas automatizadas. Este tipo de sistemas lo único que hacen es comprobar que quien intenta acceder a la web es efectivamente un ser humano, con lo que estarás mejor protegido contra todos esos ataques que se realizan con máquinas, entre ellos los de fuerza bruta.