WordPress en sí es seguro. Mucho. Hay una comunidad detrás que funciona mejor que muchas grandes empresas privadas. Actualizaciones constantes y muchísimos temas y plugins que ayudan a tener nuestros sites funcionando seguros y a toda máquina. Y además bonitos y a la última. #AmorDeWordPress
Sin embargo, el mayor problema de WordPress son sus usuarios. Es así. Todos cuando empezamos no tenemos ni idea y montamos temas y plugins a lo loco sin mirar qué estamos haciendo. Pensamos que cuantos más plugins mejor y que los temas podemos poner cualquiera así a lo loco.
Pues no.
Errores típicos que me encuentro en webs de clientes.
1.- Temas abandonados:
Este año me he encontrado con dos webs infectadas por un tema obsoleto. Son temas que has buscado por ahí y no en el repositorio oficial de WordPress. Estos temas tienen muchas papeletas de tener agujeros de seguridad por los que los robots piratas infectan y usan tu site para enviar spam o atacar bancos.
¿Cómo evito esto?
Fijándonos en los tres datos básicos que muestra la descripción de los temas en wordpress.org.
- Actualización: Que no hayan pasado muchos meses desde su última versión.
- Instalaciones activas: Que tenga varios miles, a no ser que seas un pro y un tester no hagas experimentos con tu web.
- Valoraciones: Cuatro estrellas o más es una garantía de éxito.
2.- Temas o plugins nulled o piratas
Un amigo me ha pasado el DIVI, que dice que es toda la caña, pirateado para que funcione gratis.
Miedo.
Ten mucho miedo.
Cuando un tema te lo descargas «por ahí» probablemente tenga virus o alguna captación de datos del piratilla de turno. No te fíes. ¿Que vas a llevar pasarelas de pago? ¿En serio? Pues no sé cómo decirte esto. No lo hagas. Usa sólo temas del repositorio oficial de WordPress o de sitios de confianza para la comunidad.
3. Webs abandonadas sin actualizar.
Hace unos meses sufrimos un «bug» en un plugin e infectó a docenas de clientes. Era un plugin de RGPD y nos costó muchas horas de trabajo limpiar los sites que no actualizaron en cuanto avisamos del fallo.
Es que me da miedo actualizar por si me deja de funcionar mi web.
De verdad. Si tenéis miedo a eso, hablad con vuestro hosting acerca de la política de copias de seguridad. Seguro que hay una copia de la noche anterior a la que volver. Y en el 99% de los casos, por actualizar nunca pasa nada. y si pasa, tiene arreglo en el 100% de los casos.
4. Contraseñas simples
Cuando usamos como contraseña nuestra fecha de nacimiento o nuestro nombre seguido de un número es un error demasiado común. Estamos invitando a los hackers a probar suerte con nuestras cuentas de usuario a ver si consiguen acceso de administrador a nuestro site para poder hackear. Hay una lista de unos pocos miles de contraseñas que representa el 30% (lo digo de memoria) de todas las contraseñas web.
Vamos, que somos muy poco originales
Y los hackers lo saben. Usan aplicaciones webs que comprueban con listados de contraseñas contra tu web. Y lo hacen a diario. Cada minuto, muchas veces. A no ser que pongamos medios. Uno de ellos es instalar plugins de seguridad en nuestras webs.
Asegurando nuestras webs con plugins
En este vídeo-taller os hablo de All In One WP Security and Firewall. Sirve para proteger bastantes puntos por donde atacan los piratas de turno.
Este vídeo es muuuuy largo (44 minutos) y me gustaría que lo usárais como referencia por si os atascáis en alguna parte o no sabéis para qué sirve cada cosa. Verlo del tirón puede ser muy duro. 😀
Es más. Si queréis dejar las webs exactamente igual de bien defendidas que yo lo he hecho con espejito-espejito.com, no tenéis más que descargaros la configuración de mi AIO WP S & F e importarla en vuestro propio blog.
Este sistema no está garantizado, así es que aseguráos que tenéis copia de seguridad y sabéis aplicarla. O al menos que tenéis el teléfono de quien os lo pueda hacer.
Descargamos el archivo de configuración de aquí abajo Copiamos y pegamos el código que indicamos aquí abajo y seguimos el paso a paso de la imagen.
Lo importamos copiando y pegando el txt del archivo de descarga que tenéis aquí abajo, porque el otro método no me ha funcionado todas las veces y el del txt sí. Aquí tenéis el archivo de descarga.
¡¡Importante: Tenéis que darle a buscar y reemplazar el correo soporte@induscomp.com por el vuestro propio o si no me llegarán a mí vuestras alertas de seguridad!!
Y si queréis saber para que sirve cada cosa aquí me tenéis 44 minutos hablando acerca de cómo configurar cada opción de este completísimo plugin. Y también traduciendo qué significa cada cosa, que algunas las he tenido que googlear. 😀
Aparte de este plugin suelo utilizar WordFence y también Anti-Malware Security and Brute-Force Firewall. Si me lo pedís hacemos otro taller para cada uno de ellos.
Ponedme en los comentarios si necesitáis algo más para poder ayudaros con vuestros WordPress.
Un abrazo y gracias por vuestro apoyo.
Hola Alfonso, muchas gracias por este taller, es super completo!
Estoy muy interesada en que hagas uno sobre WordFence, lo tengo instalado y no sé cómo configurarlo adecuadamente.
Mil gracias por tener en cuenta mi sugerencia.
Juliana
Hola Juliana.
En realidad, WordFence, con los ajustes automáticos funciona bastante bien. Además estoy suscrito a sus newsletters de seguridad que son muy interesantes.
Me alegro de que te haya sido útil el taller. Muchas gracias por comentar.
Hola Alfonso, otra vez yo.
No logro activar los permisos de archivo, tienes alguna idea de qué puede estar ocurriendo?
Me sale este error cuando intento establecer los permisos recomendados: ¡No ha sido posible cambiar los permisos de /homepages/2/d826389863/htdocs/app826389951/wp-config.php!
y debido a esto no logro establecer ninguno de los permisos que aparecen en amarillo.
Estaría muy agradecida si pudieras darme una luz,
Juliana.
Me suena a que es tu hosting el que no te permite cambiarlos.
Puedes probar a hacerlo por ftp con el programa FileZilla.
Te dejo un enlace para que veas cómo:
https://ayudawp.com/que-permisos-poner-a-archivos-y-carpetas-en-wordpress/