Si usted ha optado por utilizar WordPress para la publicar su página le sugerimos revisar la siguiente lista de recomendaciones. El WordPress es una excelente herramienta para el manejo del contenido de su sitio. Éste puede ser muy seguro y confiable si es propiamente atendido y actualizado.
La seguridad en cualquier sistema de acceso no es absoluta, es una tarea de constante mantenimiento y atención. WordPress requiere de actualizaciones y parches de seguridad. Si estos parches y actualizaciones dejan de ser aplicados, tarde o temprano su página será comprometida con la posibilidad de que alguien robe su información, borre su página o cuando menos termine resultando en una situación embarazosa con sus clientes o visitas.
1. Tenga una persona responsable de su WordPress
La persona puede ser el dueño de la página, un programador o un diseñador. Las actualizaciones de WordPress normalmente son fáciles de instalar sin requerir de conocimiento técnico. Si usted trabajó con un diseñador que instaló su WordPress, mantenga contacto con el/ella y solicite un 'mantenimiento' de su WordPress cada 5 a 6 meses para asegurar tener la última versión y actualizaciones de sus plugins.
2. Utilice una contraseña compleja para su administrador y no deje cuentas desatendidas
Las contraseñas se recomiendan de contar con 10 o más caracteres alfanuméricos con combinación de mayúsculas, minúsculas y caracteres especiales. No genere ni deje mas cuentas habilitadas de las mínimas requeridas y no acostumbre compartir sus credenciales de acceso aunque sea de manera temporal. Asegúrese de eliminar cuentas de personal que ya no requiere el acceso o que no forma parte de su organización.
3. Desinstale plugins que no son requeridos y/o que ya no tienen soporte
La mayoría de vulnerabilidades de WordPress son a través de plugins instalados. Los estándares de seguridad de los creadores de plugins no son los mismos que el código base de WordPress. Cada plugin representa una oportunidad o vector de ataque para los hackers. La buena práctica es de no instalar plugins mas que los mínimos necesarios para la funcionalidad requerida. Un plugin no actualizado es un blanco preferido para los hackers o actores malignos.
4. Mantenga solo lo necesario en sus carpetas de publicación
A seguido los desarrolladores y programadores suelen trabajar en carpetas donde ya se encuentran otras aplicaciones instaladas. Una buena práctica de seguridad es mantener la información que se encuentra en carpetas públicas limpias de programas y archivos que ya no sean necesarios. Al dejar programas o scripts viejos sin un régimen de actualización, la superficie de ataque a aumenta y hace mas complicado el trabajo para cualquier persona tenga que dar seguimiento al mantenimiento y segurdad del sitio en el futuro.
5. Instale templates y plugins de fuentes seguras y confiables
Los templates descargados de sitios de piratería o ‘gratuitos’ comúnmente traen código y vulnerabilidades escondidas que serán aprovechadas en el momento que usted las publique en su sitio. Si un diseñador le consiguió un plugin o un template asegúrese de que la fuente de donde proviene es de confiar de lo contrario no lo utilice.
6. Agregue capa de autenticación básica adicional o limite el acceso a su página de login
Existen diversas maneras para limitar el acceso a la pagina de login de su WordPress. Platique con su diseñador/programador sobre la posibilidad de restringir el acceso a la pagina de login a solo la dirección IP de su casa u oficina si es posible. Existen otras opciones alternas para fortalecer el acceso su acceso de administrador como autenticación multi-factor o auteticación básica (Ver instrucciones de autenticación básica aquí).
7. Utilice CAPTCHAs para evitar el abuso de sus formas de registro, login y contacto
El abuso en las formas de registro, login y de contacto se ha convertido en un vector de ataque comúnmente utilizados por hackers. Los CAPTCHAs son efectivos para detener el abuso de llenado y ejecución de las formas y deben de ser contemplados como parte esencial para la publicación segura de una página en WordPress.
8. Mantenga un respaldo reciente de su sitio
Asegúrese de mantener un respaldo reciente de su página de la cual pueda restaurar en caso de algún incidente que comprometa la seguridad del sitio o en caso de pérdida de información. Una buena práctica es hacer un respaldo y descargarlo a su PC cada 2 o 3 meses o cada vez que haga un cambio significativo a su página. Su cPanel contiene herramientas sencillas y confiables para llevar acabo el respaldo de su información. No dude en contactarnos si requiere de más información.
Se incluyen las siguientes ligas como recomendaciones de mantenimiento para sistemas de contenido:
https://wordpress.org/support/article/hardening-wordpress/
https://blog.ipaxes.com/beneficios-de-autenticacion-multi-factor/