A la hora de proteger una instalación de WordPress contra ataques, intrusiones, intentos de hacking, inicios de sesión maliciosos o inadecuados, así como contra los comentarios basura (el denominado spam), es necesario tener en cuenta las siguientes normas de seguridad:
1. Gestionar adecuadamente los usuarios y sus contraseñas
- No se deben utilizar los nombres habituales para los usuarios administradores, tales como «admin», «administrador» o «administración», o sus equivalentes en euskera. En caso de que existan esos nombres de usuario, deben cambiarse lo más rápidamente posible. No obstante, y dado que los sitios elaborados con WordPress están gestionados de forma centralizada, no se debe cambiar el nombre de usuario del primer administrador o superadministrador del sitio sin consultar antes con el PNTE.
- Utilizar contraseñas suficientemente seguras. Se puede comprobar la fortaleza de una contraseña mediante el indicador de WordPress. En caso de que existan contraseñas débiles, deben cambiarse lo más rápidamente posible. No obstante, y dado que los sitios elaborados con WordPress están gestionados de forma centralizada, no se debe cambiar la contraseña del primer administrador o superadministrador del sitio sin consultar antes con el PNTE..
- Gestionar correctamente los usuarios y sus roles. Para ello, una normal elemental de precaución es que se debe ser lo más restrictivo posible con los roles de superadministrador y administrador. En instalaciones con muchos usuarios, o con altas y bajas frecuentes, también se deben eliminar regularmente aquellos que, por distintas razones, ya no deban tener acceso al sitio web.
2. Mantener la aplicación actualizada
- Mantener siempre WordPress actualizado. En la inmensa mayoría de los casos, el PNTE se encarga de esta tarea.
- Utilizar temas y plugins seguros, y mantenerlos actualizados. En la inmensa mayoría de los casos, el PNTE se encarga de esta tarea, Por tanto, los centros solo deben preocuparse por la actualización de temas y plugins en caso de que hayan instalado elementos que no disponen de actualizaciones automáticas en los servidores de WordPress (por ejemplo, temas y plugins que hayan adquirido por su cuenta).
- Supervisar los posibles plugins y temas obsoletos. Si existen, y siempre que ello sea posible, deben ser eliminados y sustituidos por otros que proporcionen una funcionalidad parecida.
3. Realizar regularmente copias de seguridad
- Se deben realizar copias de seguridad a intervalos regulares, tanto de los ficheros de la aplicación como de la base de datos. Estas copias de seguridad deben almacenarse fuera del servidor que aloja la instalación. En principio, y salvo que concurran circunstancias muy especiales, no es necesario que los centros se preocupen de esta tarea, ya que el PNTE dispone de sistemas automatizados de copia de seguridad a nivel de servidor.
4. Gestionar correctamente los comentarios
- Para evitar comentarios inadecuados, publicidad indeseada, spam, etc., se deben filtrar adecuadamente los comentarios basura o spam. Lo más fácil es hacerlo mediante mediante plugins específicamente dedicados a esta función, como Akismet o Antispam Bee.
- También deben revisarse regularmente los comentarios, para verificar posibles comentarios basura que hayan podido superar esos filtros. En caso de que existan, esos comentarios deben ser eliminados.
- Si por cualquier motivo no se necesita activar en un sitio web la funcionalidad de los comentarios, no mejor es desactivarla completamente.
5. Poner en práctica medidas adicionales de seguridad
- Utilizar algún plugin para incrementar la seguridad de la aplicación, como por ejemplo, iThemes Security o Wordfence Security. Aunque ambos plugins son excelentes, el PNTE no recomienda su uso, ya que son muy complicados de configurar; además, una configuración incorrecta puede hacer inaccesible o inoperativo el sitio web.
- Verificar regularmente la seguridad del sitio, mediante servicios como Sucuri Site Check.
Deja una respuesta