Una de las cosas que más descuidamos cuando nos iniciamos con un blog son las medidas de seguridad imprescindibles en WordPress.
Y es que tenemos cosas más “importantes” de las que ocuparnos, o eso creemos.
¿Qué hay más importante que tu blog no sea atacado, no pierdas todo tu trabajo por una incompatibilidad o puedas restaurar una versión anterior en un clic?
Nada.
Pero cuando empiezas te entretienes (pierdes el tiempo) eligiendo la plantilla, retocándola y pensando en cuáles son los mejores plugins para WordPress.
Una vez que superes ese enamoramiento iluso e ideal de tu blog, te darás cuenta de que la seguridad es fundamental. De que, en un instante, puedes perder el trabajo de varios meses. Así que te voy a dar las 10 claves para proteger tu WordPress.
POST INVITADO
Hoy tengo el placer de presentarte a Pablo Moreno Acevedo, blogger en fueracodigos.com y autor del libro De mayor, youtuber.
Además, Pablo es miembro de nuestro equipo desde hace unos meses. Es un tío serio y resolutivo que nos ayuda con la creación de contenidos, modera nuestro grupo de Facebook sobre GeneratePress y Elementor y se encarga de los perfiles en las redes sociales. Si te das una vuelta por su blog, cosa que te recomiendo, verás que genera contenidos de mucha calidad.
La entrada que te ha preparado es un listado muy completo de acciones que deberías realizar si quieres que tu web esté protegida… y tu proyecto a salvo. Son acciones sencillas y fácilmente aplicables por usuarios de cualquier nivel, así que si quieres dormir tranquilo por las noches te aconsejo que las pongas en práctica cuanto antes.
Te dejo con él.
1. Actualiza todo
Cada actualización de WordPress, de tu plantilla y de tus plugins soluciona vulnerabilidades y cierra la puerta a los intrusos. De aquí la importancia de actualizar. Además, tu web funcionará mejor, será más bonita y tendrás más funcionalidades.
El único problema que te puedes encontrar al actualizar es que las nuevas versiones de algunos plugins pueden provocar incompatibilidades con WordPress o con otros plugins. Para estar cubierto frente a este posible problema, te recomiendo hacer una copia de seguridad antes de actualizar, así siempre podrás volver a un punto en el que esas incompatibilidades no existían.
2. Haz copias de seguridad periódicas y automáticas
Las copias de seguridad son como cuando estás en un videojuego, el enemigo te derrota y decides cargar una versión anterior de la partida para rectificar tu estrategia. La diferencia es que estamos en la vida real, no en un juego. Así que no te lo tomes a broma. Tu negocio está en juego, valga el juego de palabras ????
Cualquier proveedor de hosting decente hace copias de seguridad automáticas, sin embargo, es recomendable tener las tuyas propias. Además, si automatizas esta tarea no tendrás que estar pendiente de hacer copias de seguridad cada cierto tiempo.
Te explico cómo hacer copias de seguridad con UpdraftPlus en este vídeo.
3. Protege el login de WordPress
Usuario
Por defecto, WordPress asigna el nombre de usuario ‘admin’. Eso significa que el primer usuario que van a probar los piratas informáticos es ‘admin’. Así que hazte un favor y pon un usuario distinto. Tampoco pongas el nombre de tu web o de tu dominio.
Contraseña
Otro aspecto muy importante es la contraseña. No pongas ‘123456’ ni ‘qwerty’ ni ninguna secuencia de caracteres tan habitual que se la sabe hasta tu abuela.
La contraseña debe tener un mínimo de 8 caracteres, minúsculas y mayúsculas, números, letras y un caracter especial. ¿Y cómo consigo todo eso?
Utiliza un acrónimo. Esta es la técnica que yo utilizo. Es decir, haz una frase que te sea fácil de recordar, coge la primera letra de cada palabra, pon la primera con mayúscula, añade un número al final y un caracter especial.
Ejemplo de contraseña segura: EbdAGmm17#
Explicación de la contraseña: El blog de Arturo García mola mucho 2017 #
Por supuesto, no utilices esta contraseña porque ya está colgada en Internet y es más pública que el autobús. Quédate con la técnica. Es muy útil.
Otra opción para conseguir contraseñas seguras es utilizar generadores online que creen las claves por ti.
Ruta de acceso – URL
Cambia la ruta de acceso de al panel de administración de WordPress. Por defecto es tudominio.com/wp-admin y es otra forma de ponerlo fácil a los amantes de la ajeno.
Existen muchas formas de hacerlo, la más sencilla es utilizar el plugin WPS Hide Login.
Bloquea el acceso desde otros países
Si tú estás en España, ¿qué sentido tiene que se pueda acceder a tu panel de control desde Ucrania, China o Rusia? Ninguno.
Así que es recomendable bloquear el acceso a todos los países que no sean el tuyo. Tranquilo, no vas a bloquear el acceso a tu blog si no al panel de administración de WordPress. Para ello, te recomiendo utilizar el plugin Admin Block Country.
Limita los intentos de login
Una de las formas de atacar tu web es hacerlo por fuerza bruta. Este ataque consiste en probar miles de usuarios y contraseñas en tu login de WordPress. Sin embargo, hay una forma muy sencilla de eliminar esta amenaza. Con Loginizer puedes limitar los intentos de loguearse.
Pon un número pequeño, pero que te deje cierto margen de maiobra (por ejemplo, 3 o 5), ya que puede que te equivoques alguna vez al introducir la contraseña y si llegas al límite de intentos el plugin te bloqueará.
4. Borra todas las pistas
Una de las mejores formas de dificultar que tu sitio web sea atacado es ocultar toda la información posible del gestor que utilizas, la versión, los plugins, la plantilla y todo lo que huela a nuevo.
En primer lugar, elimina todo el contenido que viene por defecto: el post “Hello world”, la página de ejemplo y el comentario típico y absurdo. A continuación, elimina todos los plugins. En toda instalación vienen dos por defecto: Hello Dolly y Akismet. El primero no vale para nada y el segundo para poco.
Hello Dolly es un plugin creado por el fundador de WordPress, Matt Mullenweg, porque le gusta esa canción de Louis Armstrong. Lo único que hace es mostrar una frase aleatoria de la letra en el panel de control.
Akismet es un plugin anitspam pero que deja pasar demasiados comentarios de ese tipo, por lo que es recomendable borrarlo e instalar otro más fiable, como WP-Spam Shield o Anti-spam.
Por último, WordPress trae en su instalación un par de archivos que lo único que hacen es proporcionar información al hacker que quiera piratear tu web, así que accede a tu hosting y elimínalos sin pestañear. Los archivos son readme.html y wp-config-sample.php (IMPORTANTE: no confundir con wp-config.php).
5. Elimina lo que no utilices
Todos los elementos que no utilizas sobrecargan el servidor, lo que supone un hándicap para la velocidad de tu sitio web. Además, cada plugin y cada plantilla que tienes instalada es un agujero más que tapar, una potencial vulnerabilidad.
Así que elimina todo lo que no utilices. Los temas y los plugins puedes eliminarlos desde el escritorio de WordPress. Los autoguardados no son inseguros pero ocupan espacio en la base de datos y en el hosting, por lo que ralentizan tu web. Soluciona este problema de un plumazo con el plugin WP-Optimize.
Además, estos elementos que no utilizas, quizá no los actualices porque creas que no es necesario. En este caso, el riesgo sería mucho mayor.
6. No uses nada sin licencia original
Huye de páginas de descarga gratuitas de plugins y plantillas premium. Si son premium es porque son de pago, y si no los pagas es porque el que te los ofrece (además, de cometer un delito) obtiene algo con ello.
Puede que solo sea reconocimiento por la comunidad ladrona como el Robin Hood de los amantes de WordPress. Pero en muchos casos, lo que hace es inyectar código malicioso que recopila información sobre tu usuario y contraseña o que instala extractos de código que pueden poner en jaque la seguridad de tu web.
Así que no se te ocurra descargar y mucho menos instalar nada de estas páginas de descargas piratas. Por si estos riesgos no te parecen suficientes, ten en cuenta que no tendrás actualizaciones ni soporte, por lo que el peligro crece exponencialmente.
7. Instala un antivirus
Aquí tienes dos opciones: instalar una suite de seguridad o instalar solo aquellos pequeños plugins que hagan lo que necesitas.
Si te gusta la primera opción, iThemes Security o Wordfence son dos buenas alternativas. El problema es que, como tienen muchas funcionalidades, consumen muchos recursos del servidor y pueden llegar a provocar caídas en tu página. Además, Wordfence puede causar alguna incompatibilidad con Elementor.
Así que te recomiendo que no los instales. Basta con instalar un firewall que proteja las carpetas delicadas de WordPress, las de administración. BBQ: Bloq Black Queries es la mejor opción y no requiere configuración alguna.
Con este plugin, más los que hemos instalado para proteger el login, es más que suficiente, sobre todo si tienes un buen hosting que se tome la seguridad en serio.
8. Contrata un hosting seguro
Y es que el hosting es la casa de tu web. Si alojas tu web en una chabola, atente a las consecuencias: robos, ataques, inseguridad…
Así que no te la juegues. Contrata un hosting de calidad que te ayude a mantener segura tu web… Y duerme tranquilo. Tu proveedor de hosting debe ser uno de los pilares fundamentales de la seguridad de tu web.
9. Aprovecha el HTTPS y el SSL
El protocolo de conexión a Internet tradicional es el HTTP (Hypertext Transfer Protocol). Hace poco ha surgido el HTTPS, que añade una capa de seguridad: la ‘S’ significa “Secure”. Este nuevo protocolo te permite instalar un certificado SSL en tu web. SSL es el acrónimo de Secure Sockets Layer, lo que significa capa de puertos seguros.
De este modo, los datos viajan cifrados de extremo a extremo. Esto hace que tu web sea más segura, tanto para ti como para tus visitantes.
10. Utiliza el sentido común
Dicen que es el menos común de los sentidos, pero no debería ser así.
Actúa con precaución en todo lo que tenga que ver con tu ordenador, tu conexión a Internet y el acceso al panel de control. Nunca te conectes a una red wifi pública y abierta (sin contraseña). Si te conectas a una red pública (como la de la biblioteca), configúrala como red pública o de trabajo, nunca como red personal.
Si accedes a tu panel de control de WordPress desde un ordenador ajeno (que no es el tuyo) hazlo siempre con el modo incógnito activado. De esta forma, el navegador no almacenará ningún dato relativo a tu login (usuario, contraseña y URL de acceso).
No sería necesario que te dijera que instales un antivirus en tu ordenador, pero por si acaso lo hago. Mejor si es de pago.
Supongo que no querrás que un nuevo WannaCry te secuestre el ordenador y toda su información. Por unos 40 euros al año puedes tener una buena protección en varios dispositivos. Eset y Bitdefender son dos de las mejores opciones.
Y si quieres comprobar si tu web está infectada, entra en Sucuri e introduce tu dominio.
Ahora, soy consciente de que vas a leer este post y vas a pensar que soy un exagerado y un obseso de la seguridad, pero el día que le ocurra algo serio a tu web (y si no proteges tu web debidamente te aseguro de que ese día llegará antes o después), te acordarás de este post.
Así que espero que después de leerlo, tomes las medidas de seguridad oportunas para que cuando hagas referencia a este artículo sea solo para decir cuánto te ayudó ????
Ha sido un placer escribir este post, Arturo. Gracias por darme la oportunidad de llegar a tu audiencia.
El tema de la seguridad es muy importante y lo descuidamos en exceso. Con estas 10 sencillas medidas nuestro WordPress estará mucho más seguro. Aunque siempre hay un riesgo, es importante reducirlo al máximo.
Estoy encantado de formar parte de tu equipo. Esto no ha hecho más que empezar 😉
Gracias a ti por la entrada y por todo lo que estás aportando al equipo 🙂
Muy buen artículo. Completo y bien explicado. Este Pablo es un crack, bravo! ????????
Muchas gracias, Rubén!!! Estoy esperando tus “matices” como experto en ciberseguridad.
Nos vemos en el coworking 😉
Muy buen post “Pablrturo” 😉 Claro y conciso, y no puedo estar más de acuerdo!
Yo perdí la posibilidad de entrar a un sitio que gestionaba y tuve que recuperar a mano más de 250 posts (de hecho, aún no he acabado) por culpa de un problema de seguridad, y aprendí de la peor manera lo que se siente cuando los malos te echan de tu casa y lo importantísimo que es impedirles que lo hagan.
El problema de la seguridad es que la mayor parte de las veces no le prestamos atención hasta que ya es demasiado tarde. Lástima que tuvieras que experimentarlo en tus propias carnes pero estoy seguro de que ya no te volverá a pasar, al menos, no con tan malas consecuencias.
Un abrazo.
Siento la experiencia que has sufrido Sonia, por desgracia muchísima gente sufre situaciones similares. Como dice Pablo este tema es recurrente porque no tenemos sensación de peligro y nos movemos cuando el daño está hecho.
Un amigo mío que se dedica a temas de seguridad me dijo una vez que ya había desistido de ofrecer servicios de control y prevención porque la gente no estaba dispuesta a contratarlos por baratos que estos fueran, sin embargo cuando sufres un ataque el pánico hace que pagues lo que sea para que te lo solucionen, así que a eso se dedica y gana una pasta gansa.
Siempre vale más prevenir que curar, pero la gente no acaba de ser consciente de que es muy probable que antes o después sufran un ataque.
Un abrazo!
Hola gente!
me dedico a ello y os puedo asegurar que la gente no está tan dispuesta a protegerse, como dice Arturo. Eso si, cuando les pasa… Y os puedo asegurar que hay dos tipos de sistemas: los que han sido hackeados y los que lo serán.
Como tu amigo, tengo claro que, si no quieren pagar poco por protegerse, tendrán que pagar mucho por solucionarles el marrón. Y así lo hago. No me corto. Y he visto auténticas barbaridades! Esto tiene que cambiar, de igual forma que el cinturón de seguridad o casco no eran obligatorios. Y así va a ser con el nuevo RGPD, como avanzadilla.
Voy siguiendo los comentarios de este artículo, que me parecen bastante interesantes, como la capa de Latch. Pablo, las puntualizaciones te las hago en el coworking cuando estés de vuelta :P. Tengo un poco de lío estos días… jaja.
Un abrazo para todo el mundo!!! #NoTenemosMiedo (tampoco en ciberseguridad)
Gran artículo Pablo y buenos consejos, un añadido, por eso de tener otra capa más de seguridad.
Latch como pestillo de seguridad, en el supuesto caso que llegaran a la contraseña, como el pestillo estará cerrado, no podrán hacer nada, encima enviarán a tu teléfono una alerta.
Para gustos los colores, y solo lo comento como opciones. Alternativa a Lastpass, alguien algo paranoico, o muy escéptico, por eso de que están en la nube, aunque promete contraseñas cifradas, si bien es verdad que este año ha tenido un par de sustos, sino recuerdo mal. KeePass, open source, no hay nube, el control es tuyo, no hay sincronización, hay extensiones para navegadores, en chrome y firefox (con la nueva verisón 55 por ahora no es compatible, pero como muchas, lo mismo que cuando llegue la 57). De KeePass hay varios forks conocidos como son KeePassX y KeePassXC, son programas que almacenan, una base de datos, por ahora nada de integración con navegadores, más adelante quien sabe. Yo he probado KeePassXC en el sobremesa que tengo Linux Mint, y bueno, no es tan rápido, pero es otra opción interesante.
Como siempre a gusto del consumidor.
Un buen amigo mío decía que el sentido común es el menos común de los sentidos…..
Veo importante tener un site de desarrollo o de test, ya sea en local…. donde probar plugins y otras cosas, y solo cuando funcione y lo tengamos claro, pasarlo a producción, es decir, que el site de producción no se vuelva probador de plugins y otras funcionalidad, o nuevas versiones de plugins, de wordpress.
Un saludo y gracias Pablo.
Gracias, Javier.
Me sonaba Latch, pero no sabía de qué. Ya he visto que es una aplicación creada por el gran Chema Alonso para Eleven Paths (que pertenece a Telefónica). Muy interesante. Sería una capa de seguridad adicional que podríamos situar en la décima medida del artículo: utiliza el sentido común.
LastPass y este tipo de add-ons están muy bien para evitar tener que escribir las contraseñas cada vez que te logueas. Estoy contigo en que existe cierto riesgo porque se almacenan en la nube. Por eso no las he puesto. Yo no soy muy partidario de usarlas para tu WordPress (y para el banco ni loco) pero para otras plataformas menos comprometidas son muy útiles.
En cuanto a lo que comentas de tener un sitio en local de pruebas, totalmente de acuerdo contigo. Es un error probar plugins directamente en el sitio en producción, máxime sin hacer una copia de seguridad antes.
Gracias a ti 😉
Qué buen aporte Javi! se nota que de esto sabes un rato 🙂
Muy buen artículo y muy práctico para todos aquellos que comenzamos en el WP y nos preocupa de forma “extra” la seguridad. Me ha sido de gran utilidad.
Muchas gracias
Me alegro de que te haga gustado y te resulte útil.
La seguridad en WordPress es como el mantenimiento del coche, no nos preocupamos por ella hasta que pasa algo.
Un cordial saludo.
Muy buen artículo! Algunas cosas ya las tengo puestas pero me surge una duda.
Las debería instalar todas? Tú tienes todos esos plugins instalados? O solo tienes 4 o 5… o tienes más de esos 10? Eso no ralentiza la web? Ains cuantas cosas… podrían inventar un plugins que haga todo eso a la web.
Muy buen artículo, me ha aclarado muchas cosas.
Hola, Laura.
Debes instalar lo que te haga falta. Para seguridad, yo te recomendaría WPS Hide Login, Loginizer, Admin Block Country y BBQ. Para copias, UpdraftPlus. Para tener limpia la base de datos, WP-Optimize. Esos instalaría yo.
Cada plugin consume recursos y eso ralentiza la web, ahora bien, ninguno de estos plugins va a hacer que tu web vaya especialmente lenta, su impacto en el tiempo de carga es mínimo. Los plugins que hacen muchas cosas, como Wordfence, son peligrosos porque en momentos puntuales pueden suponer un hándicap en la velocidad de la web, así que mejor instalar pequeños plugins.
Me alegro de que te haya resultado útil.
Gracias por escribir este articulo. Lo pondre en practica en todos los sitios que desarrolle.
Muchas Gracias…
Gracias ti por leerlo y comentarlo 😉
Excelente artículo, fácil de entender y útil. Muchas gracias. Saludos de Acapulco, México
Gracias Benjamín por leernos desde el otro lado del charco. Un saludo.
Me encantó el artículo, llevo algunos años desarrollando con WordPress y consultando varios blogs y es la primera vez que veo algo tan completo y sencillo acerca de la seguridad. Algunos plugins no los conocía.
Mi única duda es ¿tantos plugins no han llegado a afectar el rendimiento de tu web?
Felicidades Pablo y Arturo.
Hola, Jorge.
He querido hacer un artículo referente sobre seguridad en WordPress. Hay muchos posts al respecto pero a todos les falta algo. Algunos de estos plugins los conocí cuando hice el curso “Tu web de cero a 100”, de Arturo.
En cuanto a los plugins lo que importa no es la cantidad sino la cantidad de recursos que consumen. Todos estos plugins juntos tienen menor impacto en la velocidad de carga que uno de esos grandes que tratan de hacerlo todo.
Suerte con tu proyecto.
Muy buen artículo, yo uso keepass para las contraseñas con la bd en dropbox. Uso wp-limit login para el límite de intentos de login, y me ha encantado el tema de evitar que desde otros países puedan acceder a nuestra pantalla de login. Muchas gracias!! voy a aplicar cosas!
Hola, Ury.
Cada uno tiene sus preferencias, lo que está claro es que hay que tener las espaldas bien cubiertas para evitar posibles ataques o poder restaurar una copia de seguridad si la cosa tiene mala pinta.
Es una funcionalidad sensacional. ¿Si tu estás en un país, para que quieres que puedan acceder desde otros? No tiene sentido a menos que tengas un colaborador en otro país. En ese caso, le das acceso al suyo y listo.
Perfecto. Aplica lo aprendido, que es lo importante.
Gran post para los que estamos empezando. Útil y muy bien explicado. Gracias Pablo y a Arturo por presentarnos a otro crack!
Hola, Luis.
Gracias por tus palabras. Es muy gratificante ver cómo tus contenidos sirven para ayudar a otros.
Un saludo, crack;)
Saludos Pablo desde Colombia me alegra mucho ver tu nuevo post aquí en el blog de Arturo. Felicitaciones!
La verdad me gustó mucho , me permitió refrescar algunos conceptos ,y me animo a darme una pasadita por mi panel de wordpress para hacer algunas correcciones y además conocer algo nuevo el pluging WPS Hide Login, voy a correr a instalarlo en mi web, por ahí tengo un huequillo de seguridad que debo taponar.
La verdad esta clase de artículos son muy importantes para los que están empezando con wordpress, creo que es una de las áreas que más descuidan los emprendedores al iniciar sus proyectos, y creo que la idea viene de pensar de que sus webs no son tan conocidas y que nadie querría hackearlas. Pero resulta que esto son ataques automáticos, robots que van por todo internet buscando webs con huecos por donde entrar. Así que no tienes que ser famoso para que uno de estos ataques llegue a tu puerta.
Así que a correr y seguir los concejos que nos deja Pablo hoy.
Un gusto verte por aquí, Jhon.
Te sorprendería la cantidad de diseñadores web y conocidos bloggers que tienen más de un “huequillo de seguridad”. Como bien dices, la mayoría de ataques son aleatorios y se producen mediante robots, ahora bien, cuando empiezas a ser conocido, los ciberdelincuentes van a por ti porque eso les hace sentir poderosos. Así que seguridad siempre, y si eres famoso, más.
Un abrazo.
Gracias por el dato de que Wordfence puede causar alguna incompatibilidad con Elementor, y por sugerir la alternativa.
Un placer compartir dicha información ya que más de uno puede ver que Elementor hace cosas raras al editar y no saber a qué se debe el problema.
Excelente artículo. ¡No te imaginas lo útil que me ha sido! Mil y mil gracias Pablo y Arturo.
Muchas gracias, Adriana.
No te imaginas la alegría que me das!!! 🙂
Excelentes recomendaciones, siendo honesto y muy aoesar de que tengo mucjos años utilizando WordPress.. no había tomado en cuenta do recomendaciones que pondré en práctica desde hoy, ocultar el panel de administración para otros países donde no estoy, así como usar URL con https.
Un abrazo.
Hola, Arnaldo.
Es un tema que se suele pasar por alto con demasiada frecuencia, incluso en algunos cursos de WordPress.
Me alegro de que te sirva.
Como he disfrutado mi desayuno de hoy acompañado de un nuevo de post de Arturo García. Además con una información muy relevante. ¡Lástima que se pordigan tan poco últimamente…!
Solo puedo aportar que yo utilizo siempre itheme security y me va bastante bien. Pero en este post he visto datos muy interesantes en los que investigar un poco.
Gracias Arturo y compañía.
¡¡¡Es la primera vez que me dicen que leen un post mío mientras desayunan!!! Me siento afortunado 🙂
Es un plugin que funciona muy bien aunque soy partidario de usar otras alternativas.
Gracias a ti.
Hola Israel,
Es verdad que últimamente estoy publicando muy poco, pero no dejamos de generar contenidos para suscriptores y para los alumnos de los cursos. A partir de octubre o Noviembre espero volver a darle más caña al blog 🙂
Un abrazo fiera.
Realmente una información muy válida para los que nos iniciamos en Wp. De todos los comentarios se han quedado dos preguntas atrás, por favor Pablo, ¿puedes darnos respuesta a la pregunta de si todos estos plugin afecta al rendimiento?
Gracias Pablo, gracias Arturo por compartir.
Manolo, todo lo que tenga que ver con la seguridad, afecta al rendimiento. De igual manera que cuando vas a un concierto, cuánta más seguridad haya más tardas en entrar, cuando utilizas sistemas de seguridad más tarda en reaccionar el equipo. O cuando vas por una carretera a menor velocidad por tu seguridad, más tardas en llegar. Eso por poner algún ejemplo.
En estos casos, se trata de cubrir necesidades concretas, afectando lo menos posible al rendimiento. Pablo ha sabido dar este enfoque con las herramientas de las que habla ????????
Hola Pablo y Arturo, gracias por el post, he empezado a poner en práctica alguna de las recomendaciones pero ahora estoy en pánico porque al instalar WPS hide login, poner el nuevo login, salir y volver a entrar con mi usuario y contraseña, me sale el cartel “Eso está desactivado” y en la url vuelve a salir la dirección web/wp-admin. Tampoco me deja entrar desde wp-admin, claro.
¿Qué puedo hacer? Gracias por vuestra atención.
Hola, María.
Eso es que la palabra que has puesto no es la que querías poner o que no has guardado los cambios. Prueba a poner /login. Si no funciona, accede al hosting, ve al administrador de archivos, public_html>wp-content>plugins y renombra la carpeta ‘wps-hide-login’. Eso desactivará sus funciones.
A continuación, entra al panel de WordPress, ve a Ajustes, cambia la palabra de paso ‘/login’ o la que sea. Vuelve al hosting pone el nombre original a la carpeta y listo.
Suerte 😉
Práctica y muy útil toda la información que transmites en este articulo. Lo haces que parezca sencillo con tus explicaciones y videotutoriales que compartes.
Gracias
Wow!!! Asun. Muchas gracias 🙂
Mi número de cuenta es 1234… XD
Me alegro de que te resulte útil.
Saludos.
Cuidado Pablo, acabas de poner la contraseña que usas para todo… 😛
Hola Pablo (y Arturo).
Grandes consejos de seguridad, enhorabuena. La preocupación por la seguridad (más bien la no preocupación) es algo que sufro con mis clientes. Se preocupan más por si el menú tiene este color o el otro, pero no se preocupan de tener bien configurado un sistema de copias de seguridad.
Me gustaría añadir un consejo en el punto 3. Y viene a complementar lo que dices del usuario admin. No lo sabe mucha gente pero hay otro paso que hay que hacer para no mostrar tu nombre de usuario en público.
En el escritorio de WordPress hay que ir a Usuarios y Tu perfil. Dentro hay que buscar una opción llamada “Mostrar este nombre públicamente”. Por defecto viene configurado el nombre de usuario que se usa para el login por lo que conviene cambiarlo y usar el nombre real por ejemplo.
Me apunto el artículo para compartirlo. Un abrazo.
Hola, Juan.
Así es. Conozco alguno que ni actualiza los plugins, ni la plantilla ni nada de nada o lo hace una vez al año que, en este caso, sí hace daño.
Buena aportación. Es correcto. También se puede crear un usuario como administrador con un nombre y contraseña muy seguros y utilizar otro usuario para publicar. Opciones hay muchas, aunque la que has apuntado es muy recomendable y no cuesta nada.
Muchas gracias por compartir 😉
Me ha encantado, faltaria solo poner como bloquear los bots de ahreds, semrush y otros con el .htaccess, pero me ha encantado
Como le he dicho a Juan, hay decenas de opciones de seguridad y una web nunca va a estar segura al 100%.
En cuanto a lo que comentas, son técnicas más avanzadas y no he querido tocar nada de código para que todo el mundo pueda hacerlo y no se carguen su página.
Gracias por tu valoración 🙂
Hola Pablo y Arturo,
Me ha gustado mucho tu post. Aunque tengo una duda. Muchos de los plugins con los que securizar tu sitio web no están disponibles en servidores que, por su configuración, tienes que funcionar por FTP. En estos casos, ¿qué recomendarías?
Hay un plugin muy interesante que se llama Wordfence, no sé si lo has probado, y este por ejemplo no me deja instalarlo en un sitio así… Es una lástima.
Un saludo,
—
Borja Moreno
Hola, Borja. No entiendo qué tiene que ver el servidor con los plugins. Si tienes algún problema instalando el plugin desde el propio WordPress puedes ir al repositorio oficial, descargarlo y subirlo por FTP a tu hosting. De esta forma puedes instalar cualquier tipo de plugin.
Wordfence no está mal, el problema es que consume muchos recursos y puede generar alguna incompatibilidad con Elementor. Los plugins que recomiendo en el post son mucho más ligeros y no tendrás problemas con tu servidor.
Aunque por lo que cuentas, si sigues teniendo problemas, quizá deberías cambiarte de hosting.
Es el mejor articulo que he leido
WoW!!! Sin palabras. Muchas gracias 😉
Hola Pablo,
El artículo me ha parecido muy claro, bien esquematizado y va directamente al grano.
Desconocía el plugin de WPS Hide Login, así que me lo anoto para instalarlo. Además, el vídeo esta muy bien explicado.
Antiguamente, utilizaba en otras webs, el plugin BackWPup para las copias de seguridad, pero desde que descubrí en el curso de Arturo el plugin de Updraftplus no lo cambio por nada. Me parece más fácil de utilizar y la forma de acceder a los respaldos es mucho más cómoda e intuitiva que en otros plugins, sobre todo para personas que no tienen conocimientos sobre estos temas.
Felicidades por el post.
Un saludo 🙂
Hola, Jessica.
No te acostarás sin saber una cosa más 🙂
WPS Hide Login es un plugin muy útil y sencillo de configurar. Lo mismo le pasa a UpdraftPlus. Los plugins son para facilitar las cosas, si son muy complicados, no merece la pena utilizarlos.
Muchas gracias, compi 😉
Muy buenas, grandisimo artículo
Tengo una duda que me pesa mucho. Utilizo wordpress y woocommerce para un pequeño comercio electrónico que al principio era una simple prueba y ahora quiero ir un paso adelante. Utilicé una plantilla crackeada para probar, y ahora me gustaría comprar la licencia y hacer la transición a la legalidad. ¿Como harías ese cambio de una plantilla pirata y, por ello, muy insegura a la otra? es decir, ¿sería simplemente adquirir la licencia de themeforest y meter el código de activación y solucionado o no es tan sencillo? Muchísimas gracias.
Hola, Fran.
Me alegro de que te guste. ¿La tienda online está ya operativa? Si solo la has usado como pruebas, yo la borraría y la volvería a hacer. Si está en funcionamiento, yo cambiaría a una plantilla gratuita (https://arturogarcia.com/como-cambiar-tema-wordpress), desinstalaría la pirata, pasaría mi URL por la web de Sucuri, instalaría los plugins que recomiendo en el artículo e instalaría la plantilla original con su licencia.
Puede ser un proceso largo, pero es lo más seguro. Para la próxima ya sabes, nada de temas sin licencia 🙂
Arturo. Un gusto estar en tu blog, Te he visto en varias webs y he venido a saludar.
Antes que nada, gran artículo. La seguridad es un tema importante en una web, en espceial si estamos trabajando con algun cliente, por eso, este artículo es bastante útil. Muchas cosas no las sabía, por ejemplo, limitar el acceso desde otros páises, así que me iré corriendo a aplicar todo esto en mi web.
Un gran saludo desde Colombia (:
Hola, Yeferson.
Me alegro de que te haya resltado interesante y práctico. Siempre es positivo aprender cosas nuevas.
Un cordial saludo desde España 🙂
Estupendo artículo que me ha venido de perlas Pablo, como todo el contenido de Arturo. Te diré que me ha dado un problema el bloqueador de países, no ha sido probado con la última versión de wordpress, y tengo el wordpress pelado de plugins así que no creo que sea incompatibilidad. Me ha fastidiado un poco que la versión updraftplus no automatice los backups pero… wp-optimize sí lo hace semanalmente y hace copia de seguridad antes, no? Ya lo veré la semana que viene, así que si lo hace solucionado. Estoy pensando en montar todos los plugins que recomiendas Arturo en tu manual y hacerme un fichero de updraft y guardarlo como un tesoro para montar otra web que quiero hacer paralela a ésta. Que sepas Arturo que siempre hago referencia a tu web por la calidad y por lo generoso que eres repartiendo conocimiento. Pablo enhorabuena por este post porque no hay otro igual. Gracias y a seguir así.
Muy buenas, David.
Gracias por tu valoración. Era un artículo que hacía falta. Hay muchos sobre seguridad en WordPress pero se limitan a hablar de plugins sin explicar su funcionamiento o recomiendan instalar una gran suite de seguridad y listo.
Las incompatibilidades pueden darse prácticamente con cualquier plugin. Lo importante es que se pueda solucionar. Si no es así, prueba con otro plugin de similares características. UpdraftPlus sí hace backups automáticamente, lo explico en el vídeo. Ahora bien, la versión Pro te permite mayor control sobre estas, como es normal.
WP-Optimize hace copias de seguridad antes de ejecutarlos siempre que tengas instalado el UpdraftPlus y marques la casilla “Take a backup with UpdraftPlus before optimizing”.
Personalmente no te recomiendo instalar todos los plugins de la guía, ya que son un montón de plugins pensados para diferentes tipos de webs, cada una con sus necesidades. Instala solo los que te hagan falta.
Los contenidos de Arturo son de mucha calidad, así que tuve que currarme este post 🙂
Parece que WP Spamshield ya no está disponible 🙁
Acabo de darme cuenta hoy
Hola, Jorge.
Tienes razón. Desconozco a qué se debe. Es bastante raro. Dice que no está disponible para su descarga, sin embargo, lo tengo instalado en webs de clientes y funciona. Habrá que ver si lo actualizan o no. Si no es así, lo desinstalaré y pondré el plugin Anti-spam que funciona a las mil maravillas.
Un saludo.
Al parecer hubo una historia entre el autor de este plugin con otro, código que desactiva uno y viceversa, no recuerdo del todo bien, el equipo de revisión de plugins lo vio como una posible violación de las pautas, y al no querer rectificar fue eliminado.
Un saludo.
Gracias por los consejos voy a implementarlos en mi web apenas lo estoy aprendiendo a usar jejeje
Gran idea. Te evitará muchos problemas.
Si quieres darle un toque más atractivo a tu web, te recomiendo que instales Elementor: https://arturogarcia.com/elementor-page-builder
Saludos.
Tomo nota!
Nosotros hemos ído implementando algunos de los típs que comentas a lo largo de tiempo, aunque hay algunos que no conocía.
Cada vez que descubrimos alguna nueva mejora y sobre todo en seguridad, ademas es de muchísima utilidad para ofrecer más valor al cliente cuando por ejemplo, llevas un mantenimiento web.
Gracias Pablo!
Hola, Esther.
Es imprescindible tomar medidas de seguridad en WordPress, de esta forma nos evitamos problemas de infecciones o que nos hackeen nuestra cuenta de usuario. Mejor prevenir que curar.
Muy pocas agencias y diseñadores web tienen en cuenta la seguridad. Queda mucho por mejorar en este aspecto.
Suerte con vuestro proyecto 😉
Gracias por estas excelentes recomendaciones y consejos. Así lo haremos. Ya te diremos cómo nos va.
Un saludo
Espero que te sirvan. Saludos 🙂
Otro item que yo casi siempre lo hago es uan vez instalado es la de eliminar los archvios de la licencia y la version de wordpress, para poder dar pistas sobre la version que ejecuta el wordpress en el servidor.
Bien visto. Cuanta menos información tengas los hackers malintencionados, mejor. Saludos.
muchas gracias por la información,. realmente me ha servido de mucho, un gran saludo
Gracias a ti por el comentario, Mario.
Me alegro de que te haya servido 🙂
Saludos.
Hola Arturo, ¡excelente colaboración has compartido!
Y a ti Pablo, gracias por tu explicación al alcance de todos.
Saludos y muchos éxitos en su trabajo en equipo.
Hola, Eliana.
Siempre intento que se entiendan todos los procesos. A veces la gente utiliza términos demasiado técnicos.
Muchas gracias y muchos éxitos para ti también 😉
Excelente post, Pablo! muchas gracias. Algunas acciones que nombraste ya las había puesto en práctica, pero no conocía algunos plugins. Ya mismo los instalo.
Un abrazo!
Bien explicado todo, de antemano muchas gracias !
Hola, Pablo,
Excelente artículo… pero además, darme cuenta que aplico —casi— cabalmente todas las recomendaciones, más bueno aun me lo parece. Lo cierto es que el tema de la seguridad en WordPress no hay que tomársela a la ligera y ninguna medida está de sobra. Saludos y gracias por el post.
Mira que sigo el blog de Arturo desde hace un tiempito, pero cada vez que entro son todo articulos muy utiles. Que equipazo teneis alli, gracias por vuestra dedicacion y tiempo.
Amigos, buenos días. Acabo de instalar WordPress en midominio.com/sitio.
Lo hice así porque alguna vez había implementado esa redirección supuestamente por razones de seguridad. Si se mejora la seguridad del sitio? Es mejor instalar WordPress en alguna carpeta que en la raíz del sitio?
Habiendo hecho esa instalación y al crear en CPanel la redirección de midominio.com a midominio.com/sitio, la página queda fuera de operación. Cómo puedo implementar entonces la redirección para que el sitio quede operativo? O será mejor reubicar la instalación de WordPress a la raiz y no usar ninguna redirección?
Cordial saludo.