La seguridad en una web es fundamental, y WordPress no es ninguna excepción. Es más gracias al crecimiento exponencial que este CMS está experimentando en los últimos tiempos, se ha vuelto un objetivo muy goloso para atacantes. Por eso el aspecto de la seguridad es en este caso especialmente importante. Afortunadamente, asegurar una web con WordPress es un tema bastante fácil: basta con aplicar un poco de sentido común y de seguir unos sencillos pasos.
Porque, no te engañes, WordPress no es perfecto, ningún software lo es. El hecho de que sea código abierto hace que mejore muy rápidamente, pero si instalas WordPress en tu servidor y no realizas unas mínimas tareas de seguridad (y después de mantenimiento) llevas todas las papeletas para encontrar problemas.
Y no vale pensar Nadie tiene interés en mi web. En el 99% de los casos la web atacada no es el objetivo, sino que se utiliza para hacer de puente hacia objetivos reales. Así que no lo dejes: revista estos pocos pasos básicos y podrás dormir mucho más tranquilo.
Tabla de contenidos
Mantenerlo todo actualizado
Vale, tienes razón, esto se supone que es lo último, ya que forma parte del mantenimiento y no de la configuración inicial. Pero lo pongo en primer lugar por dos razones:
- Si no lo haces, todo lo demás no habrá servido de nada
- A pesar de ser la tarea más básica de mantenimiento y además resultar vital para la seguridad, te sorprendería la cantidad de gente que no lo hace
Y creo que mucha gente no es realmente consciente de las implicaciones. El hecho de que WordPress (y los plugins y plantillas del repositorio oficial) sean código abierto, hace que esté a disposición de todo el mundo. Hay muchos ojos sobre él (sobre el código, quiero decir) y se encuentran fallos de seguridad que son corregidos de forma inmediata. Y claro, una vez publicada la corrección cualquiera puede ver dónde estaba el fallo, y aprovecharlo en los casos de webs que no hayan actualizado.
El caso más sonado de los últimos meses ha sido el de los «papeles de Panamá», en el que los hackers lograron hacerse con toda la información del bufete Mossack Fonseca gracias a una vulnerabilidad antigua y corregida hacía ya mucho tiempo y muchas versiones en un plugin de WordPress (un plugin premium, en este caso).
Así que te puedes hacer una idea de lo importante que es mantener la instalación totalmente actualizada: tanto el core (el propio WordPress) como los plugins y plantillas. ¿Por qué no se hace? Pues por lo que me dice la experiencia los motivos principales son tres: miedo, desconocimiento y falta de tiempo (que, en cierto modo, también es desconocimiento, porque no actualizar por falta de tiempo implica un profundo desconocimiento de las posibles consecuencias).
Y de las dos la que más suele pesar es la del miedo: miedo a que «pase algo» al actualizar. Es el típico si me funciona, mejor no tocarlo. Sin embargo esto es un error. Cierto que hay que tener ciertas precauciones al actualizar: chequear los cambios para comprobar que no haya posibles incompatibilidades con otros plugins o con la plantilla, disponer de copia de seguridad actualizada por si algo va mal y, en caso de desastre, tener muy claro qué hay que hacer para revertir los cambios.
Sea cual sea tu caso, ya sea miedo, desconocimiento o simplemente falta de tiempo, te recuerdo que mantener la web siempre actualizada es una de las tareas incluidas en mi servicio de mantenimiento web y soporte técnico WordPress. Échale un vistazo, quizá te venga bien.
Usar un alojamiento de calidad
En lo que respecta al hosting la oferta es inmensa hoy en día y uno se encuentra de todo: hostings de bajo precio y hostings de precio alto, y cualquier punto intermedio en el rango. Y sí, hay diferencia entre unos y otros.
Si hablamos de una web personal, alojando un blog o un sitio sobre alguna afición, tampoco tiene demasiada importancia. Pero si tu web es tu medio de vida, tu escaparate ante tus clientes o simplemente una tarjeta de presentación profesional, ¿de verdad merece la pena ahorrarte cincuenta o cien euros al año?
Podemos dejar a un lado el aspecto del rendimiento (superimportante) y también el del servicio al cliente (superimportante), pero centrándonos en el tema de hoy, el de la seguridad, he de decir que el alojamiento que elijamos es… superimportante.
Una sola cifra: 41. Es el porcentaje de ataques a webs que llegan a través de la plataforma de hosting. ¿Sabes lo que eso significa? Pues que incluso aunque tú hayas hecho los deberes y lo tengas todo controlado al 100%, aún te pueden tumbar la web atacando al servidor.
Así que ya lo sabes, ojo a esas ofertas de hosting desde 1€. Suelen salir muy caras.
¿Estás construyendo tu tienda online o eres implementador WordPress?
¿Necesitas plugins de calidad y con soporte para implementar funcionalidades concretas?
Consigue todos los plugins a la venta en la sección de plugins de esta web y todos los que siga añadiendo. Acceso a los 96 plugins (y subiendo) con soporte directo del desarrollador, actualizaciones y uso ilimitado: úsalos en tantas webs como lo necesites.
Instalar un plugin de protección
¡A pelo no!
WordPress es un gran CMS, con un desarrollo ya muy maduro (versión 4.6 en estos momentos) y de mucha calidad, con estrictos controles en el código. Pero ningún software es perfecto. De tanto en tanto aparece, como en cualquier otro programa, alguna vulnerabilidad. Ya lo he comentado al hablar de las actualizaciones.
Y no es sólo eso: también están los plugins, que llevan lo suyo. El equipo de plugins de WordPress verifica el código de cada nuevo plugin que se incluye en el repositorio para comprobar que el código cumple los estándares de calidad de WordPress. Lo sé bien, ya que yo soy WordPress Plugin Developer y tengo algunos plugins en el repo oficial.
Pero no pasa así con las actualizaciones. Simplemente se hace una revisión inicial a la hora de incluirlo en el pool, y ya está. Sería absolutamente imposible revisar todas y cada una de las actualizaciones de los miles de plugins que hay en el repositorio oficial. Y es posible que alguna actualización incluya una vulnerabilidad.
Por eso y por muchas otras cosas, en una instalación nunca debe faltar un plugin de seguridad. Y tienes opciones muy buenas y gratuitas. Como, por ejemplo, Wordfence Security o iThemes Security.
Establecer un sistema de copias de seguridad automático
A pesar de todos nuestros esfuerzas algo puede fallar: una vulnerabilidad no parcheada en WordPress, en uno de los plugins o incluso en un script del servidor, una actualización fallida, una pérdida de datos debida a un fallo de hardware… Venga, tu web es parte de tu negocio (en muchos casos es tu negocio), ¿me vas a decir que no tienes un seguro, por si acaso?
Es absolutamente necesario contar con un sistema automatizado de copias de seguridad. Y digo automatizado porque, por mucha voluntad que le pongas al principio, si intentas hacer las copias de seguridad de forma manual al cabo de un tiempo se te empezará a olvidar, o estarás ocupado con otra cosa y no podrás ponerte a ello, o es una lata y ya lo haré mañana…
No voy a extenderme sobre esto porque ya le dediqué un artículo completo en su momento. Si aún no dispones de un sistema que haga automáticamente copias de seguridad de tu web de forma periódica y las ponga a buen recaudo, te recomiendo echarle un vistazo:
Conclusión
Ya lo has visto: sólo cuatro cosas, muy sencillas, que apenas requieren conocimientos técnicos (como mucho un par de búsquedas en Google) y que, sí, quizá nos quiten un poquito de tiempo semanalmente (seguimientos, comprobaciones de alertas, etcétera) pero que a cambio obtenemos mucho más: tranquilidad.
Y ya sabes que si no tienes el tiempo (o las ganas) que requiere el asunto, siempre puedes hacer que un profesional esté pendiente de esas cosas. Tú seguirás disfrutando de esa tranquilidad y olvidándote de todas estas tareas para poder centrarte en tu negocio.
Deja una respuesta