1. envato-tuts+
  2. Home
  3. Code
  4. WordPress

Fortificar la Seguridad en WordPress, Parte 2

Scroll to top
Barış Ünver
7 min read
WordPress
This post is part of a series called Fortifying Security in WordPress.
Fortifying Security in WordPress, Part 1

Spanish (Español) translation by Eva Collados Pascual (you can also view the original English article)

En la parte anterior de esta mini-serie tratamos sobre algunos consejos y trucos muy importantes para reforzar los proyectos hechos con WordPress. En esta parte, vamos a repasar algunos de los mejores plugins de seguridad para WordPress, y algunos consejos vitales para la seguridad de WordPress.

¡Vamos directo a ello!

Securizar WordPress Con Plugins y Otros Consejos Cruciales

En las siguientes secciones explicaré las medidas que protegieron a mis sitios web de una serie de ataques durante los últimos años. Espero que también podáis hacer uso de ellas. Espero que te sirvan también a ti.

Instalación de un Plugin de Seguridad

Los consejos y trucos sobre la seguridad en WordPress son geniales, pero en ocasiones necesitas algo más que eso. Más allá de pequeñas modificaciones en los archivos .htaccess y wp-config.php, podrías necesitar prevenir intentos de acceso de fuerza bruta, registros de solicitudes con apariencia maliciosa y cosas por el estilo. Para este tipo de tareas, necesitarás un plugin de seguridad.

Proporcionar trucos y consejos sobre la seguridad de WordPress está muy bien, pero a veces se necesita alfo más que eso. Más allá de pequeños ajustes en archivos como .htaccess y wp-config.php, es posible que necesitemos prevenir ataques de fuerza bruta, registrar los posibles intentos maliciosos de conexión y demás. Para este tipo de tareas, necesitaremos un plugin de seguridad. No voy a revisarlos todos uno a uno, pero si me gustaría hablar sobre algunos de los plugins de seguridad más populares para WordPress:

iThemes Security (anteriormente conocido como Better WP Security): este es seguramente uno de los mejores plugins de seguridad gratis que existen en el ecosistema de WordPress (también tiene una versión Pro, pero honestamente nunca he necesitado actualizarlo). El plugin verifica la instalación de WordPress, comprueba si hay puntos inseguros, y ofrece asegurarlos. Por otra parte, tiene algunas características interesantes como la prohibición de determinados agentes de usuario, la prevención de ataques de fuerza bruta, el seguimiento de archivos por cambios no autorizados, y el registro de errores 404. De hecho, escribí un artículo sobre este plugin en octubre de 2014, así que asegúrese de leerlo si está interesado. (también tiene versión Pro, pero honestamente yo nunca he necesitado actualizar esta versión.) Audita tu instalación de WordPress y comprueba puntos débiles, y después se ofrece a solucionarlos. Más aún, dispone de algunas estupendas funciones como prohibir ciertos "user agents", prevenir ataques de fuerza bruta, monitorizar archivos para prevenir cambios no autorizados, y errores de acceso 404. De hecho, escribí una pieza sobre ello en octubre de 2014, así que asegúrate de revisarlo si estás interesado

Wordfence Security: Wordfence Security es uno de los plugins gratuitos más populares, con una increíble valoración de 4.9 estrellas (de un máx. de 5), convirtiéndolo incluso el plugin de seguridad más valorado dentro del Directorio de Plugins de WordPress.org. Tiene toneladas de funciones, desde la monitorización y el bloqueo hasta el escaneado y el cacheado (sí, cacheado). La versión Pro ofrece incluso más características que harán que tu sitio web sea increíblemente seguro.

All in One WP Security & Firewall: All in One WP Security & Firewall es otro plugin de seguridad muy popular con una valoración de 4.9, pero cuenta con menos descargas. También tiene un amplio rango de características y ajustes de los que puede ofrecer un plugin de seguridad, como seguridad de acceso y registro, protección de archivos del sistema y funcionalidad cortafuegos (firewall).

Sucuri Security: "Sucuri" es uno de las firmas más reconocidas en el sector de la seguridad de WordPress, especialmente por el gran nivel de sus informes de sobre fallos de seguridad en el núcleo de WordPress y en plugins populares. Ha ayudado a muchos desarrolladores a reparar sus productos, y ayuda a todos los usuarios de WordPress con el plugin Sucuri Security. Asegúrate de comprobar las características del plugin en su página de WordPress.org, y pruébalo antes de tomar una decisión, merece la pena. 

Quería mantener la lista breve, ya que esto es solo una parte del tutorial. Si quieres aprender más sobre cada uno de los plugins, asegúrate de visitar sus páginas y realizar una investigación antes de decidirte sobre cual usar.

Otros Consejos sobre Seguridad en WordPress

Modificar los archivos .htaccess y wp-config.php es estupendo, y los plugins de seguridad son una ayuda extraordinaria… pero siempre hay espacio para mejorar—especialmente en términos de seguridad. Y con suerte, los siguientes consejos y trucos te ayudarán a acercarte más a un índice de seguridad 99.999%.   ¡Empezamos!

Instala SSL en WordPress

Una conexión segura HTTP ayuda en más de una forma para lograr mayor seguridad en WordPress. La conexión estará encriptada, así que atacar a través de la conexión será inútil (para la mayoría). También es una buena manera de mostrar confianza, lo cual es esencial para sitios web de e-commerce. No querrás decirle a tus clientes que la información de sus pagos está pasando a través de una conexión no cifrada.

Si quieres aprender más sobre SSL en WordPress, revisa este artículo en Make WordPress. Para aprender a implementar SSL en WordPress, lee este artículo de Envato Tuts+ escrito por Joe Clifton.

Usa Autentificación de Dos Factores para los Accesos

Con los años las contraseñas cada vez son más fáciles de descifrar, así que no deberías confiar ya en la elección de una contraseña segura. Afortunadamente, los métodos que requieren más de un tipo de autentificación nos brindan alguna promesa en términos de seguridad (en general, no solo en WordPress).

Básicamente funciona como sigue: El sistema te pregunta por tu contraseña, y después pregunta por algo más—como un código de un único uso que se nos proporciona vía SMS o pulsando un enlace vía email. Así que, aunque un hacker robe tu contraseña (o la adivine), aún así fallará al intentar acceder a tu cuenta.

Las forma más popular de habilitar la autentificación en WordPress es usando uno de estos dos plugins, Google AuthenticatorClef Two-Factor Authentication. Si quieres usar Google Authenticator, hay un artículo estupendo sobre este plugin en Envato Tuts+ escrito por Jeff Reifman.

Escoge un Buen Entorno de Alojamiento

Tristemente, si un hacker tumba una web WordPress en un servidor inseguro, la gente suele asumir que es por culpa de WordPress. En cualquier caso, elegir un buen alojamiento que preste atención a la seguridad es siempre una buena idea.

No recomendaré ninguna compañía en este artículo, pero te puedo decir en qué tienes que fijarte: Una buena compañía de alojamiento mantiene el software del servidor actualizado, monitoriza toda actividad inusual con un corta fuegos (firewall), y mantiene frecuentes copias de seguridad de tu cuenta sin cargos extra. Haz los deberes y encuentra el mejor servidor web que cubra tus necesidades.

Interioriza la Importancia de la Seguridad

¿Sabes que Filezilla, uno de los clientes de FTP más populares del mundo, guarda las credenciales de los servidores en un archivo XML no encriptado?  ¿Sabías que cualquiera en tu red inalámbrica podría interceptar tus conexiones HTTP? ¿Sabías que la mayoría de los proveedores de servicios VPN tienen que compartir tu información con servicios de inteligencia cuando necesitan tu información?

Supongo que un poco más de paranoia no hace daño. Incluso aunque si instalases los mejores plugins de seguridad y modificases los archivos .htaccess y wp-config.php perfectamente, si hablas de tu última mascota con un extraño en un café o instalas cualquier aplicación Android que te apetezca, podrías fallar con la seguridad de tu web. Aquí tienes una regla general: El sentido común es la mejor herramienta de seguridad

Conclusión

Espero que hayas disfrutado con los consejos y trucos de esta mini serie dividida en dos partes. Seguramente, habrás tropezado con alguno de los casos que he comentado, aún así, siempre es buena idea reunir revisiones como ésta sobre el tema para poner al día a todos sobre la seguridad en WordPress. Si ya tenías conocimientos sobre el tema, ¡mejor! Y si no, ¡encantado de haberte ayudado!

¿Guardas más trucos útiles sobre la seguridad en WordPress bajo la manga? ¡Venga, compártelos con nosotros en la sección de comentarios de aquí abajo! Y, si te han gustado estas mini series, ¡no olvides compartirlas con tus amigos!

WordPress
Barış Ünver By
Unlimited Downloads
From $16.50/month
Get access to over one million creative assets on Envato.
Over 9 Million Digital Assets
Everything you need for your next creative project.
Create Beautiful Logos, Designs
& Mockups in Seconds
Design like a professional without Photoshop.
Join the Community
Share ideas. Host meetups. Lead discussions. Collaborate.