Ningún software es 100% seguro y WordPress no es una excepción. Casi la cuarta parte de todos los sitios web en todo el mundo están hechos con WordPress, por lo que se ha convertido en un objetivo irresistible para los piratas informáticos, siendo muy numerosos los ataques que reciben diariamente.
Seguramente aún hay gente que recuerda las vulnerabilidades del WordPress descubiertas en 2009 y por tanto se inclina a pensar que esta platarforma es insegura, y esto es un error. Por cada vulnerabilidad descubierta gracias a los usuario, los equipos de WordPress han desarrollado sistemas para contrarrestarlas y aumentar la seguridad.
A pesar de esto, mucha parte de la seguridad está en manos del usuario final y por ello vamos a comentar 5 medidas esenciales para mejorar la seguridad de tu WordPress.

1.- Utilice Nombres de Usuario y Contraseñas Fuertes

a) Usuario

Uno de los errores más frecuentes y fácilmente evitable es no cambiar el nombre de usuario predeterminado “admin”. Si lo dejamos tal cual, los malos solo deben adivinar la contraseña y a base de combinaciones, más tarde o más temprano pueden dar con ella.

b) Contraseña

La contraseña es la segunda línea de defensa. Estoy seguro de que estás cansado de que te digan que debes elegir contraseñas seguras y únicas para cada sitio. Realmente esto es algo que debes hacer ya que aunque requiera algo de esfuerzo este es enormemente menor que el que se necesita para reparar el sitio web.
Un buen gestor de contraseñas casi siempre incluirá fuertes herramientas de generación de contraseñas seguras. Algunos plugins para hacer esto son LastPass, RoboForm y 1Password.
Como medida adicional de seguridad se puede recurrir a la autenticación de dos factores tal y como viene en el plugin de seguridad iThemes.

2.- Asegurar la pantalla del login

Aunque tu combinación de usuario y contraseña fuera muy segura, un atacante que se empeñara en la tarea podría acceder a tu panel de control si no estás protegido contra ataques de fuerza bruta.

a) Limitar intentos de login

Una de las maneras más fáciles de evitar esto es limitar el número de intentos de conexión permitidos desde cualquier fuente única dentro de un poeríodo especifico de tiempo.

b) No informar más de la cuenta

Por otra parte, la pantalla de login tampoco debe informar a los usuarios del campo en que han cometido un error ya que esto podría ser una buena pista para un posible atacante.

c) Utilizar el Captcha

Utilizar el Captcha también es una herramienta válida para eliminar la posibilidad e ataques desde robots.

d) Bloqueo de IP’s

Instalar un servidor de seguridad qye bloquee direcciones IP que se hayan puesto previamente en lista negra.

3.- Entender los permisos

En la gran mayoría de casos, que no es necesario perder el tiempo con valores por defecto de WordPress, pero vale la pena al menos tener un conocimiento superficial de los modos de permiso de los archivos en general.
Los dos modos más comunes son el 644 y 755. Estas son básicamente las categorías que determinan el conjunto de normas que rigen cada archivo o directorio (es decir, quien pueden leer, abrir o modificar archivos).
Los archivos y directorios categorizados bajo el modo 644 se pueden leer y escribir por su propietario (el usuario que los creó en el servidor), pero sólo ser leídos por todos los demás. Este es el escenario ideal para muchos tipos de archivo.
El modo 755 por su parte se utiliza sobre todo para las carpetas, ya que permite a todos los usuarios cambiarse a ese directorio. De vez en cuando uno se encuentra con plugins que requieren ciertas carpetas que se establecen en el 755.
Siempre se debe evitar el establecimiento de un modo de permiso para 777, incluso si un plugin te lo pide explícitamente, a menos que sepas exactamente que estás haciendo.
Este modo es básicamente un gran no-no, ya que otorga acceso completo a absolutamente cualquier usuario, lo que les permite leer, escribir o borrar directorios a su voluntad y potencialmente causar todo tipo de problemas.

4.- Copia de seguridad, si o si

Ante un desafortunado fallo de seguridad, catastrófico o no, estarás enormemente agradecido de tener copias de seguridad.
El único peligro potencial aquí es que las copias de seguridad estén fuera de fecha. Una copia de seguridad semanal o quincenal debería ser más que suficiente para la mayoría de los sitios web y esto se puede automatizar mediante plugins, por lo que en realidad no tiene que acordarse de llevarlas a cabo de forma manual.

5.- Mantener WordPress actualizado

Todos sabemos lo molesto que puede llegar ser el tener que lidiar con la notificación “actualización disponible” tanto para WordPress como para todos los plugins que tengas instalados. Sin embargo, hay una razón por la que los equipos de desarrollo llevan a cabo actualizaciones constantes y no es solo para incluir nuevas características.
A pesar de lo fácil que es utilizar WordPress, todavía es un CMS muy complejo. Al agregar plugins, se crean interacciones entre ellos que está potencialmente abriendo toda una lata de vulnerabilidades de seguridad que los desarrolladores necesitan contrarrestar para proteger a sus usuarios.
Saltarse la última actualización puede significar la diferencia entre tener un sitio web con una vulnerabilidad evidente, que a los hackers les encantará explotar, o no.
Cuando hagas una actualización, no pases de puntillas sobre el registro de cambios (changelog), ya que es posible que pierdas información importante acerca de problemas de compatibilidad entre plugins o versiones de WordPress. Ese es el tipo de cosas que pueden romper una web de la manera más inoportuna.
Con respecto a las actualizaciones de seguridad de WordPress, es especialmente importante tomarse algún tiempo en comprobar si tu sitio se actualiza tan a menudo como sea posible, pero no te preocupes, porque para esto también hay algún plugin.

Plugins que nos pueden ayudar con los puntos arriba mencionados

Plugins completos de seguridad

  • Wordfence Security
  • iThemes Security
  • All In One WP Security & Firewall
  • BulletProof Security
  • Sucuri Security

Plugins monotemáticos

  • WP-DB-Backup
  • Login Security Solution

Referencia Bibliográfica

Ewer, T. The 5 Essential WordPress Security Measures You Must Take (And How to Implement Them). Elegant Themes Blog in Tips & tricks. October 3, 2015