WordPress es seguro (parte 3/4)


Previamente hemos visto cómo es la seguridad de WordPress y cómo realizar tareas de actualización.

¿Podemos hacer WordPress más seguro?

Sí, siempre se puede.

Navegando de forma segura con HTTPS

Hasta hace un tiempo las páginas web comenzaban mayormente por HTTP://. Este es el protocolo por el que se pueden ver las páginas web de forma “normal”. Porque existe otro sistema, ahora muy habitual, que es el de HTTPS://. Este sistema con esa S extra; una S de seguro. Es lo mismo que antes, pero la información va cifrada.

La diferencia entre un sistema y otro es que la información que va desde tu navegador hasta el servidor web (donde se encuentra la web), y del servidor web a tu navegador, en el segundo caso va cifrado mediante un certificado TLS (anteriormente SSL). Esto hace que todos los contenidos que van y vienen no puedan ser interceptados con ataques de intermediario o eavesdropping.

Si tu sitio web no aparece por defecto con https://, te recomendamos que escribas a tu empresa de hosting para preguntarles cómo conseguir hacerlo, ya que con un certificado Let’s Encrypt se puede hacer de forma sencilla y gratuita.

Usando contraseñas seguras

Cuando creas o te crean un usuario en WordPress suele aparecerte una contraseña “rara”. Esta contraseña suele tener letras en mayúsculas, en minúsculas, con números y símbolos. Una contraseña así, de unos 12 caracteres se suele considerar segura.

De todas formas, hoy en día tenemos facilidades para almacenar contraseñas distintas para cada sitio, ya que nuestro navegador de Internet suele incorporar la función de recordar contraseña, además de tener herramientas y Apps que nos permiten actuar como gestor de contraseñas.

Aunque las contraseñas que incorpora WordPress son seguras, lo más recomendable es disponer de una contraseña alfanumérica (como mínimo) lo más larga posible, y en este caso hablaríamos de un mínimo de 18 caracteres. Sin duda, una contraseña muy larga pero menos compleja, es más segura que una contraseña corta y compleja.

Pero no hemos de olvidar que a veces no estamos trabajando nosotros solos en nuestro WordPress, sino que tenemos otros Usuarios, y, para bien o para mal, no podemos obligar a otros usuarios a que tengan contraseñas seguras.

Es por esto que siempre es muy recomendable incluir en los usuarios de nivel Administrador y Editor un sistema de doble validación (también conocido como Autenticación de múltiples factores). Desde el equipo de colaboradores de WordPress podemos recomendarte un plugin de la Comunidad WordPress llamado Two-Factor que permitiría la activación de este sistema (además, puedes colaborar en él si te interesa desde su ficha).

Protegiéndote de ataques externos

En algunos casos, tanto si tu sitio es muy conocido como si no lo es, puede que algunos usuarios maliciosos (o ciberdelincuentes) quieran atacar tu sitio de forma masiva. En estos casos te recomendamos el uso de un cortafuegos (firewall) como capa de seguridad.

Existen muchos tipos de cortafuegos a muchos niveles. Los más avanzados son máquinas (servidores) físicos que se ponen entre los usuarios y los servidores web. En otros casos, existen aplicaciones en el sistema operativo que actúan, en este caso a nivel de programa. Como un nivel más cercano a WordPress, podemos encontrar los WAF (Web Application Firewall) como cortafuegos de aplicación web. Para los casos de WordPress existen multitud de ellos en forma de plugin y que puedes encontrar entre los plugins etiquetados como firewall.

Deja una respuesta