Si tienes una web o un blog en WordPress, ya sea con un fin profesional o puramente como Hobby, es muy importante que tengas en cuenta algunas medidas de seguridad en WordPress. ¡Mejor prevenir que curar!

Aquí te dejo un vídeo con consejos de seguridad para WordPress, con un resumen de lo más importante que debes considerar.

Igual te interesa leer…
Cómo crear una web en WordPress.
Lo que deberías saber antes de crear una web.
Aumenta las visitas a tu blog con estos trucos.


¿Crees que tu web está segura?

En un momento dado, empecé a notar un aumento de los ataques a una de mis webs.

Por suerte, tengo instalados plugins de seguridad para WordPress y medidas adicionales de seguridad. Por lo que no ha pasado nada…

Y decidí compartir algunos consejos para mantener tu web segura. Porque como entre un ataque y consigan acceder a tu cuenta… Puede ser un problema serio.

Aquí puedes ver por ejemplo los ataques que recibí en mi blog en una semana:

Como ves por suerte no han acertado con los nombres de usuario. E igualmente, el plugin de seguridad bloquea el acceso a las IP que realizan estos ataques.

Además del plugin, te interesa tener en cuenta algunas medidas de seguridad adicionales en tu web WordPress.

¿Qué hacer para añadir seguridad a WordPress?

(1) Protege tus datos de acceso a WordPress

Uno de los puntos importantes para la seguridad en WordPress es proteger tu cuenta de acceso de administración. Muchas de las pautas realmente puedes aplicarlas a casi cualquier tipo de cuenta.

Pautas de seguridad para tu nombre de usuario

  • NO uses el mismo nombre de usuario que nombre visible
  • No uses tu alias de la cuenta.
  • NO uses «admin» como nombre de usuario (Es el que suele venir por defecto).
  • NO uses tu nombre de dominio como nombre de usuario.

Datos de los usuarios en WordPress

Estos son los campos que tienes en tu perfil de usuario de WordPress, para que veas a lo que me refiero (Para entrar ve a tu foto arriba a la derecha cuando estás conectado, y pulsa en «Editar Perfil»):

Seguridad WordPress: Datos de acceso de un usuario.

¿Cómo cambiar el nombre de usuario de WordPress?

Si estabas usando un nombre de usuario inseguro… mejor crear un nuevo usuario y borrar el antiguo (también se podría editar desde base de datos, pero esto es más complejo). Cuando lo hagas, te preguntará para reasignar los elementos creados por el usuario a borrar a uno nuevo.

Es buena idea que realices una copia de seguridad antes de hacerlo.

(2) Usa una contraseña segura

A estas alturas, y con lo exigentes que se han ido volviendo los servicios a la hora de validar las contraseñas, creo que todos tenemos más o menos claro lo que es una contraseña segura. Por si acaso, te recuerdo las pautas para una contraseña segura y te doy algunas ideas para crear contraseñas fáciles de recordar.

Estas pautas sobre contraseñas serían aplicables tanto para WordPress como para cualquier otra web o aplicación.

¿Qué debe tener una contraseña para ser segura?

  • Al menos unos 8, y recomendable por lo menos 12 caracteres.
  • Que incluya letras mayúsculas y minúsculas.
  • Incluir números.
  • Y también símbolos especiales.
  • NUNCA incluyas datos personales.

Según la web o aplicación, puede haber limitaciones diferentes. En el registro de usuario de WordPress y al modificar el perfil tienes directamente un medidor de lo fuerte que es la contraseña. Siempre intenta que te diga que es una contraseña fuerte.

Ideas para crear una contraseña segura fácil de recordar

Algunas ideas para crear contraseñas seguras y fáciles de recordar pueden ser:

  • Elige una frase que te sea fácil de recordar y transformala. Por ejemplo quédate con la inicial de cada palabra. Por ejemplo: Me gustan las patatas fritas para cenar a las 9 de la noche -> «Mglpfpc21:)».
  • Toma una palabra, y cambia algunas vocales por números similares, y añade alguna mayúscula. Por ejemplo: «2 Murciélagos!» -> «2Murc13L4g0s!»
  • No olvides añadir números y símbolos siempre.

Comprueba cómo de segura es tu contraseña

En este servicio de Kaspersky puedes verificar cómo de seguras son tus contraseñas. Te indica cuánto tiempo se tardaría en descifrar una contraseña desde un ordenador estándar. (Y aunque es en teoría una web segura… te recomendaría NO probar tu contraseña directamente. Sino una con las mismas características como longitud y cambiando las letras y números por otros diferentes).

Por ejemplo…

  • La que ponía de ejemplo antes «Mglpfpc21:)» serían 33 años (diría que suficiente para que no sea un problema).
  • 2Murc13L4g0s! se tardaría 16 años en descifrarla.
  • Una contraseña del tipo: «afgcoD40C9uZbcS» se tardarían 3261 siglos en poderla descifrar por fuerza bruta.

(3) E-Mail de acceso a WordPress

Por precaución, mejor utilizar como datos de acceso a WordPress un e-mail que no distribuyas públicamente.

Recuerda eso sí ajustar la imagen en Gravatar para que aparezca cuando comentas en otros blogs.

(4) Instalar un plugin de seguridad

Es siempre buena idea tener un plugin de seguridad.

Algunos plugins gratuitos de seguridad para WordPress son:

  • Jetpack: (Aunque es un plugin pesado y puede afectar al tiempo de carga de la web). En la versión gratuita incluye protección contra ataques de fuerza bruta.
  • Wordfence: Muy completo, aunque relativamente complejo. Actúa como Firewall, protege contra ataques de fuerza bruta, e incluye un sistema de control de código malicioso en los ficheros.
  • Defender: Un plugin de seguridad bastante completo y sencillo. Protección frente a ataques, control de ficheros y con unos pocos clics puedes aplicar algunas medidas de seguridad adicionales.

(5) Copias de seguridad en WordPress

Es muy importante que tengas copias de seguridad de tu web. Y sobre todo, que se guarde en un almacenamiento externo. Aunque pienses que no tiene porqué pasar nada… puede ocurrir. Y mejor tener la copia por si acaso.

Para ello, existen plugins muy sencillos, como UpdraftPlus.

Encuentra aquí más información y un tutorial sobre cómo hacer copias de seguridad en WordPress.

(6) Mantén limpio y actualizado tu WordPress

Es muy importante mantener actualizado WordPress. Y también, hacer limpiezas periódicas, por ejemplo de temas o plugins que ya no uses o no necesites.

También de usuarios, si hubieses dado acceso a alguien a tu web. Tendrás que plantearte si necesitan mantener el acceso a la misma.

Siempre es buena idea eso sí dejar un tema básico de los que vienen por defecto con WordPress (twentynineteen por ejemplo).

Resumen sobre seguridad en WordPress

¿Cómo proteger tu web de ataques a tu contraseña?

  • No uses el mismo nombre de usuario que nombre visible.
  • Usa una dirección de email que no sea la que pones cara al público.
  • Utiliza contraseñas fuertes.
  • Instala un Plugin de seguridad. Como Defender o Fence (Gratuitos en su versión básica).

Seguridad adicional para tu web WordPress

Seguridad web para WordPress - Plugins recomendados