Vamos allá.

Elige proveedores de hosting de confianza

Cuando uno pone en marcha su proyecto en Internet necesita, al margen de la idea, un dominio y un servicio de hosting donde alojar la página web. Con el dominio no hay problema para elegir; al fin y al cabo se trata de escoger un registrador donde comprarlo.

El hosting es otra cosa. Aquí vale la pena entretenerse no solo en valorar las ofertas económicas (que es lo que muchos haríamos), sino también en comparar proveedores, en echar un vistazo a las opiniones de los usuarios en Internet y en consultar cualquier duda en materia de seguridad antes de contratar nada.

Muchas de las principales empresas de hosting ofrecen en sus planes de alojamiento sistemas de copia de seguridad automática y elementos de seguridad antiataques incorporados a sus servidores. Webempresa, Dinahosting, Siteground o Raiola son cuatro buenos proveedores que cuidan mucho eso en varios de sus planes. Sí, no son de los más baratos, pero la tranquilidad no tiene precio.

Mi consejo es que no escatimes cuatro euros en el alojamiento que, no lo olvides, será la casa de tu proyecto online. Y tener unos buenos cimientos es el primer paso para comenzar a proteger tu web.

Instala un certificado SSL en tu web

¿Y eso qué es? Pues, dicho en pocas palabras, el certificado SSL es una tecnología que encripta la transferencia de los datos que se intercambian entre una página web y un usuario.

Sabrás que una página web lo tiene instalado porque su dirección comenzará con https:// en lugar de por el tradicional http:// y, además, porque en la barra de navegación aparecerá un pequeño candado cerrado como el que puedes ver en esta web que te indica que el propietario ha protegido su web con un certificado de seguridad.

Existen diferentes tipos de certificados de seguridad para encriptar y proteger el tráfico de una web. Algunos son gratuitos, como los de Let’s Encrypt, mientras que otros son de pago y ofrecen diferentes capas de seguridad que deberías contemplar en función del tipo de web que tengas. Si tienes una tienda online o recoges datos de tus usuarios (contraseñas, datos bancarios, direcciones de correo electrónico…). un SSL es indispensable.

Mantén siempre actualizado tu WordPress

Este consejo vale para WordPress y para cualquier otro gestor de contenidos como Joomla, Drupal, Prestashop, Magento o el sistema que utilices para tu web. Si quieres proteger tu web no puedes tener desactualizados ni el sistema de contenidos, ni la plantilla, ni los plugins.

Ya hablamos de esto en el artículo de copias de seguridad. Las actualizaciones no son un capricho; cada una de ellas no solo mejora las prestaciones de la página, sino que resuelve posibles vulnerabilidades y ayuda a proteger tu web.

Usa contraseñas seguras de acceso

Parece una tontería, pero sigue habiendo gente que utiliza contraseñas débiles y fáciles de averiguar por parte de los hackers. Un buen consejo para proteger tu página web es emplear un gestor de contraseñas que te permita guardar a buen recaudo los passwords de tu web y de cualquier otro servicio que utilices. Google tiene un excelente gestor de este tipo, pero hay muchos otros. Uses el que uses, recuerda:

• Crea contraseñas de al menos 8 caracteres. Si son más, mejor.
• No emplees palabras que puedan encontrarse en un diccionario ni tampoco que puedan relacionarse contigo. Nada de usar el nombre de tus hijos o tu fecha de nacimiento.
• Utiliza una combinación de números, letras mayúsculas y minúsculas y caracteres especiales como %, & o @, por ejemplo.
• No uses contraseñas que hayas empleado en otros servicios online. Que la contraseña de acceso sea única es un buen modo de proteger tu web.
• Cambia las contraseñas periódicamente.

El nombre de usuario también es importante

Muchas veces nos fijamos en la contraseña y olvidamos elegir un buen nombre de usuario. Por defecto, WordPress crea un usuario llamado ‘admin’ que debemos eliminar en cuanto nos sea posible. Elige un nombre de usuario personalizado, dale rol de administrador y una buena contraseña y borra el usuario ‘admin’, que es el que primero intentan utilizar los hackers para atacar un sitio construido con WordPress.

Si usas tu nombre real como nombre de usuario, utiliza otro alias para que sea el nombre de autor visible en los artículos de tu blog. Si quieres proteger tu web en WordPress no debes dar ninguna facilidad para que alguien la ataque. Pónselo difícil.

Limita el número de accesos erróneos a la web

Uno de los métodos más frecuentes para intentar hackear una página web son los llamados ataques de fuerza bruta, que consisten en intentar encontrar el usuario y la clave de acceso probando todas las combinaciones posibles mediante un algoritmo o un sistema automatizado.

Una buena medida para proteger la página web es bloquear al usuario  si intenta acceder de forma errónea más de, por ejemplo, tres veces. También puedes elegur proteger tu web bloqueando el acceso a los nombres de usuario inexistentes, por su IP o por país de origen. ¿Para qué van a querer entrar en tu panel de WordPress un usuario ucraniano o uno norteamericano si no es para hacer daño?

Es imprescindible limitar el número de intentos, pero también la cantidad de veces que se recurre al enlace de recuperación de contraseña que vemos al conectarnos al panel de WordPress.

Proteger la base de datos es proteger tu web

Las páginas hechas en WordPress tienen como eje de funcionamiento una base de datos. Y esa base de datos tiene un prefijo por defecto (wp_) que conviene cambiar por otro de tu elección al realizar la instalación para poner una nueva barrera de protección frente a los ataques.

Lo ideal es hacerlo al montar la estructura de la página, aunque también es posible hacerlo mediante un plugin de seguridad o a través, si tienes experiencia, de la consola de administración de la propia base de datos.

Oculta la página de conexión

WordPress sitúa el acceso a la página de administración en un enlace por defecto, accesible en tudominio.com/wp-admin. Eso es ponerle las cosas demasiado fáciles a los posibles atacantes, así que lo mejor es ocultar esa página y sustituirla con otra del tipo tudominio.com/ssjkdsj45 (o la cola que tú elijas). Hay varios plugins que permiten hacer ese cambio.

Usa captchas en los formularios y en los comentarios

Pueden ser molestos o estéticamente poco agradables, pero los captchas o casillas de verificación que obligan al usuario a resolver alguna pregunta antes de dejar un comentario en tu web evitarán que los sistemas automatizados de spam llenen tu página de basura.

En el caso de los formularios de contacto, algunos elementos incorporan campos llamados honeypot, que son invisibles para el atacante pero permiten detectar su acción antes de que afecte de forma crítica al sistema.

Los mejores plugins para proteger tu web

Varios consejos que has leído en este artículo puedes llevarlos a cabo desde tu panel de control de WordPress sin mayor problema. Para poner en práctica el resto y proteger tu web necesitarás un plugin de seguridad. Algunos son gratuitos y con extensiones premium, otros ofrecen en su versión free prestaciones suficientes, mientras que en algunos casos podemos encontrarnos con cierta complejidad a la hora de configurarlos.

Esta es la lista de los que consideramos más adecuados para proteger una web de WordPress.

• iTHEMES. IThemes Security es un excelente plugin de seguridad para tus instalaciones de WordPress. La versión gratuita ofrece buenas prestaciones, pero existe una versión Pro que puede blindar tu web.
• AIWOPS.Durante mucho tiempo hemos utilizado AIOWPS (All In One WordPress Security) en nuestros desarrollos y nunca nos dio problemas. Es gratuito y ofrece seguridad más que suficiente para proteger cualquier web, aunque no es sencillo de configurar.
• WORDFENCE.Otro de los plugins más utilizados pero, para mi gusto, de los que menos funcionalidades ofrece en su versión gratuita.
• LIMIT LOGIN ATTEMPTS RELOADED.Evita los ataques de fuerza bruta bloqueando los intentos erróneos de acceso al panel del WordPress.
• SUCURI. Antivirus y firewall para la web. Protege de ataques DdoS y puede limpiar la web si ha sido hackeada. Dispone de un interesante servicio gratuito online para saber si tu web ha sido comprometida de algún modo.
• AKISMET.Imprescindible en cualquier instalación de WordPress que quiera prevenir y evitar el spam. Viene instalado por defecto en WordPress, así que vale la pena utilizarlo.
• UPDRAFTPLUS. No es un plugin de protección en sí, sino de copias de seguridad, pero es un complemento indispensable para proteger tu web.

Evita problemas con nuestro servicio de mantenimiento

Empezamos el artículo diciendo que la web 100% segura no existe, pero seguir estas recomendaciones y poner en marcha una adecuada política de copias de seguridad y mantenimiento te ayudará a proteger tu web ante posibles ataques. ¿Por qué ponerlo fácil a los hackers si por muy poco dinero puedes prevenir un desastre?

Conoce nuestros planes de mantenimiento, invierte en proteger tu página web y siéntete tranquilo.