Background

Documentación Woocommerce

Medidas de seguridad importantes a tomar en el uso de Wordpress

VOLVER

Seguridad: General

Para mantenernos seguros contra ataques, lo más importante de entender es que la seguridad primero pasa por nosotros, luego la plataforma web (como la administramos y gestionamos los recursos dentro) y finalmente el servidor (aquí el proveedor es quien toma protagonismo y relevancia). En Segurihost contamos con Antimalware y AntiSpam (este último puede ser configurado de forma independiente para cada usuario/cliente) a nivel de servidor, por lo que solo debemos preocuparnos de mantener nuestra web actualizada. Por suerte para los clientes que contratan planes en Segurishop y Segurihost, esa mantención y actualización la hace nuestra área de Soporte, por lo que el cliente también se desliga de esta preocupación.

Ya con todo lo anterior cubierto, debemos preocuparnos de no iniciar sesión en una red abierta, donde podrían ver las claves que utilizamos.

La configuración de nuestro correo siempre debe estar con SSL y no debemos compartir las claves o dispositivos con terceros.

Es muy importante no dejar las claves de nuestro administrador guardas en un archivo de texto o en el explorador si es que alguien más tiene acceso a éste.

Siempre será más seguro conectarse al correo vía Webmail, antes que un gestor de correos como Outlook.

Para quienes no tienen un plan de mantención con Segurihost, es importante que actualicen Wordpress, los plugins y theme utilizado. Así también es muy importante no instalar plugins o themes nulled bajo ninguna circunstancia. Estos themes o plugins nulled simulan ser legítimos y limpios, pero la verdad es que no existen las buenas intenciones detrás de los plugins o themes modificados para evitar pagar las licencias.

 

Seguridad: Uso de claves

Es importante que cambiemos nuestra clave al menos 2 veces al año (la recomendación general es cada 3 meses), lo cual puede resultar difícil, sobre todo si acostumbramos a usar una sola clave para distintos sitios web, lo cual siempre es la peor opción. Hay contraseñas que son críticas de proteger siempre: Nuestro banco y nuestro sitio web (eso incluye Wordpress, cPanel y correo electrónico corporativo). Si solemos utilizar la misma clave para todo, una buena opción sería pensar en utilizar un gestor de claves como LastPass.

Cuando vayamos a crear una clave, es importante que sea de un largo mayor a 8 caracteres, usemos mayúsculas, minúsculas, letras, números y símbolos.

Los ataques por fuerza bruta trabajan con diccionarios de clave o prueba de combinación, por ende, siempre es mala opción utilizar claves en secuencia como 12345678 o abcdefgh, así mismo a1b2c3d4 también es una muy mala práctica. Son claves comunes y que se encuentran en estos diccionarios. Una clave como por ejemplo r6_&hT0i%9r$0x difícilmente estará en un diccionario y probarla generando combinaciones tomaría demasiado tiempo.

La mayoría de los ataques a Wordpress se deben a que en el servidor no existe seguridad contra ataques DoS (Ataque de Denegación de Servicios) o DDoS (distribuido), Wordpress no se ha actualizado hace muchos meses, los plugins tampoco han tenido actualizaciones o porque el usuario utiliza claves débiles. Así también toma mucha importancia el uso que le da el usuario a su computador personal. Es muy probable que quienes tengan programas crackeados en su PC, sean más fáciles de recibir un ataque, ya que podrían tener software malicioso que capture sus contraseñas.