Vamos a decirlo claro desde el principio: si tienes un WordPress sin medidas de seguridad, no tienes un sitio web, tienes una trampa con buen diseño. Y no importa si tu web es un blog pequeño o una tienda online con miles de visitas. Los ciberataques no discriminan. Y no, tampoco es personal, es estadística. Y si hay algo que los bots o cibercriminales hacen mejor que tú, es insistir y explotar identidades.
Antes de nada, deja de asumir que tu proveedor de hosting, el servicio de alojamiento donde se guardan todos los datos de tu web, lo tiene todo controlado. Quizá no lo tenga. Puede tener un firewall, puede tener backups, puede tener hasta buena atención al cliente… pero quizá no pueda proteger tu WordPress desde tan dentro. Esta parte de seguridad es otra diferente, que puedes proteger con acciones como Hardening Wordpress, en pocas palabras, quitar lo que no utilizas para que no de problemas.
Así que hoy vamos a ponernos el sombrero de papel aluminio y pensar como alguien que no se fía ni de su sombra. Porque en ciberseguridad, a veces, ser desconfiado es una virtud.
Cómo proteger y mejorar la seguridad con Hardening Wordpress
Usuarios creados dentro de WordPress
Empecemos con casi lo más importante: los usuarios que tienen acceso a la cuenta de Wordpress de tu página web. ¿Cuántas cuentas tienes creadas? ¿Todas son necesarias? ¿Hay algún colaborador que dejó el proyecto hace dos años? ¿Cuántas tienen permisos de administrador? ¿Y cuántas de esas usan “admin” como nombre de usuario? Pregúntatelo antes de seguir leyendo.
Aquí es donde empieza el hardening en WordPress: limpieza, orden y un poco de criterio. Y no, no hace falta que todos sean administradores. Si tu diseñador, por ejemplo, solo sube imágenes y vídeos, dale permisos de editor, y listo. Con ese pequeño clic –que se puede extrapolar a todos los demás perfiles-, ya estás reduciendo el área de ciberataque.
Cuidado con instalar un plugin en WordPress
Los plugins. Todos amamos los plugins, pero también son, a veces, el caballo de Troya del siglo XXI. Cuando instalas un plugin en tu WordPress, estás permitiendo que código escrito por otra persona (el desarrollador del plugin) se ejecute dentro de tu servidor, dentro de tu sistema.
Es decir, es como dejar entrar a alguien a tu casa y confiar en que no toque nada que no deba. Si no lo usas, bórralo. Si lo usas poco, busca alternativas. Y si lleva un año sin actualizarse, desconfía. El código abandonado por un tiempo no es como el vino, este solo empeora.
Proteger el inicio de sesión en WordPress
Por último, cuando alguien intenta entrar en tu WordPress y falla, el sistema –por defecto- suele dar demasiada información. Por ejemplo, dice cosas como «Usuario incorrecto» o «Contraseña incorrecta». Parece útil, ¿no? En realidad, le estás dando pistas gratis a quien intenta entrar sin permiso.
Imagina que un atacante prueba con varios nombres de usuario. Si WordPress le dice “usuario incorrecto”, ya sabe que ese nombre no existe. Pero si de repente le dice “contraseña incorrecta”, ¡bingo! Acaba de descubrir que ese usuario sí existe, solo necesita encontrar la contraseña correcta.
La solución es simple: hay formas de ocultar esos mensajes tan específicos y sustituirlos por algo más vago como «Error en las credenciales». De esa forma, no sabrá si ha fallado el nombre de usuario, la contraseña o ambos.
