En nuestra meetup de noviembre de 2017 Samuel Cerezo (@samuelcerezo), profesional de Internet, compartió con nosotros sus conocimientos sobre un tema básico para todo usuario de WordPress: la seguridad.
Entorno seguro
Su ponencia fue muy concisa y práctica y empezó por explicar que la enorme popularidad de WordPress lo convierte en un blanco perfecto para los ataques.
Y como la seguridad al cien por cien no existe hay que actualizar constantemente nuestra política de seguridad para hacer frente a las nuevas amenazas y como parte de ello la actualización de software es fundamental.
Defensa y alertas
Samuel plantea dos objetivos de seguridad: defensa y alerta.
Y para conseguirlos propone:
- Alojamiento con garantías.
- Servidor web: instalar certificado SSL y aumentar la seguridad protegiendo los ficheros más sensibles.
- Instalación: usar contraseñas seguras, tomar medidas de seguridad en la base de datos y eliminar archivos innecesarios.
- Plugins: realizar la instalación desde el repositorio de WordPress y en caso de usar plugins de terceros comprobar que no afecten a nuestra instalación.
- Plugins de seguridad: usarlos para monitorizar la actividad y obtener alertas de amenazas. Destaca Wordfence.
- Captcha: recomendado.
- Verificación en dos pasos: recomendada.
- Comentarios: cuidado, son puerta de entrada de código malicioso y de spam.
- Usuarios: atención con el registro y la variable author.
- Copias de seguridad: hacerlas periódicamente.
¿Qué hacer si tu web ha sido atacada?
- Mantén la calma.
- Cambia las contraseñas.
- Evalúa los daños.
- Restaura la copia de seguridad.
- Revisa y actualiza la política de seguridad.
Aquí tienes la presentación de Samuel: Seguridad en WordPress