No cabe duda de que WordPress es la plataforma preferida ya sea para un Blog, Website Informativo o Una tienda online (E-commerce).

Pero como en todo sistema de manejo de contenido, se requiere un cuidado de la plataforma, y con esto me refiero a mantenimiento y buenas prácticas que se deben implementar para mantener un website saludable (rápido y seguro).

A continuación se mencionan nuestras recomiendaciones para mantener tu Website seguro.

1- Updates de Plataforma WordPress

Es de suma importancia que mantengas la plataforma actualizada. Esto lo puedes lograr periódicamente entrando a tu website para aplicar las actualizaciones. Existen formas de automatizar este proceso y esto es ideal si estás seguro que todos los componentes en tu website no tendrían  problemas de compatibilidad con nuevas versiones. Nuestra recomendación es que siempre que actualices la plataforma, haz un “test drive”, verifica que las secciones de importancia continúen funcionando como de costumbre. Si tu proveedor utiliza Softaculous en el panel de control del hosting, es posible configurar dicho programa para que actualice automáticamente su website.

2- Updates de Plugins y Templates (themes)

Suele ser común que la mayoría de los websites hechos en WordPress que son comprometidos por fallas en seguridad es a causa de un plugin (o theme) desactualizado o que el autor de dicho plugin no implementó las mejores prácticas cuando hizo el desarrollo. El mejor consejo en cuanto a este tema, No instales todos los plugins (o theme) disponibles en el repositorio de WordPress (o externo) . Siempre verifica que:

• El plugin es popular y una gran parte de la población lo esta utilizando.
• Verifica el “rating” de dicho plugin. No instales plugins con mal rating.
• Verifica la reputación del autor.
• Si instalas un plugin y no lo utilizas, deshabilitalo y desintalalo / borralo de tu plataforma.
• En el caso de los templates (Themes) solo utiliza diseños que sean desarrollado por compañías o profesionales reconocidos (de pago) o si son gratis entonces que sean de alta reputación en la comunidad.

3- Versión de PHP

WordPress es desarrollado utilizando el lenguaje de programación PHP. Este es un lenguaje de interpretación (no compilado).  Es importante que tu proveedor de Hosting (en donde se aloja / almacena el website y desde donde ser sirve al público) mantenga buenas prácticas y actualice con frecuencia la versión de PHP. Es importante utilizar versiones de PHP que aún estén sorportadas por los desarrolladores de dicho lenguaje.

Ejemplo: Actuálmente (2 de mayo 2021) las versiones de PHP que se deben estar utilizando son: 7.4 y 8.0. La versión 7.3 la pudieras utilizar pero ya esta solo en etapa de actualizaciones solo de seguridad y esta vigente hasta el 6 de diciembre 2021. La versión 8.0 fue lanzada el 26 de noviembre 2020, lo cual es bastante reciente, hay posibilidad de que encuentres incompatibilidad con ciertos plugins que no cumplen con el nuevo estándar del lenguaje. En fin la versión recomendada para la fecha de hoy (2 de mayo 2021) es PHP 7.4 (para WordPress).

4- WordPress “Hardening”

Consiste de añadir un layer de seguridad a WordPress ya sea utilizando un WAF (Web Application Firewall), deshabilitando opciones que pueden ser innecesarias y prohibiendo ciertas acciones. Hay diferentes maneras de llevar esto acabo, menciono alguna de estas a continuación.

• • Instalar Wordfence Security – Firewall & Malware Scan  – La compañía detrás de este plugin provee este plugin (servicio) de forma gratuita y también provee una versión pagada superior. Aún así la versión gratis es bien poderosa y es áltamente recomendado por nosotros.  Una vez lo instales asegura de mirar todas las opciones que se proveen.
  • Opciones recomendadas:
    • Habilita el Firewall extendido.
    • Limita la detección de la versión de tu wordpress.
    • Deshabilita la ejecución de código en el directorio de upload.
    • Asegura que el WAF este activado
    • Deja prendido el anti-bruteforce. (viene activado por default)
    • Mantén las reglas activadas (vienen activadas por default)
    • En las opciones generales asegura prender las siguientes:
      • Verificación de los files de los templates (themes) contra su repositorio (fuente)
      • Verificación de los files de los plugins contra su repositorio (fuente)
      • Verificación de los core files contra su repositorio (fuente)
      • Escanear files externos a la instalación de WordPress.
      • ***Se asume que las demás opciones que vienen prendidas por default las dejó prendidas
    • No ignore las notificaciones que Worfence le enviará semanalmente acerca del status de su website.
    • Activa el Two-Factor Authentication para tu usuario.
  • Considera la utilización de Cloudflare al frente de tu website. Es decir, con esto añadimos otro layer más de seguridad. Cloudflare en su versión gratis incluye: Anti-DDoS (Distributed Denial of Service). Además tiene muchos otros beneficios como CDN (Content Delivery Network) y Web Cache .

5- Utiliza Passwords Fuertes y Únicos (que no se repiten o que no hayas utilizado en otras plataformas o sitios). Asegura que tu acceso como administrador contenga una contraseña que cumpla con los estándares. A continuación una guía de los estándares. https://auth0.com/blog/dont-pass-on-the-new-nist-password-guidelines/

Conclusión

La seguridad de una plataforma NUNCA es absoluta. Pero siguiendo las mejores prácticas en ese momento de implementación y luego seguir adaptando según éstas siguen evolucionando es parte crucial para mantener su website seguro. Esto pudiese ser muy complicado o abrumador para ciertos usuarios. Es aquí donde entran el servicio de WordPress Manejado.

En HRLZ Digital proveemos este servicio para que nuestros clientes puedan enfocarse en sus negocios y nosotros nos encargamos del mantenimiento de sus websites. Si usted es una persona muy ocupada y le resulta complicado añadir esta tarea a su rutina, le recomendamos este servicio ya sea con nosotros u otro proveedor.