No tengas miedo: actualiza, actualiza y… ¡¡¡ACTUALIZA!!!

El pasado 12 de mayo, participamos en  en la WordPress Meetup que se celebró en Palmaactiva con motivo de la Semana de Internet. Escogimos este tema «Consejos para mantener WordPress actualizado y seguro» porque a menudo encontramos webs sin mantenimiento, que son vulnerables ante posibles ataques debido a que contienen agujeros de seguridad en plugins, temas y el propio núcleo de WordPress, que se han corregido en versiones posteriores y son públicas.

Nos encanta WordPress, lo escogimos como una herramienta clave para nuestra línea de negocio que orientamos a pequeñas y medianas empresas con las que hemos desarrollado páginas web, comercios electrónicos y aplicaciones web a medida. WordPress es fácil de usar, de código abierto, flexible, tiene una gran comunidad detrás que te ofrece una infinidad de módulos a la que también aportamos nuestro granito de arena. Es el gestor de contenido y el sistema de blogs más utilizado.

Pero… hablemos de seguridad.  Wordpress es muy «apetecible» de atacar por el número de instalaciones que tiene y, a favor, que hay muchos «hackers éticos» en la comunidad que detectan rápidamente esos agujeros de seguridad y aportan soluciones; y está en nuestra mano mantener nuestro sitio WordPress actualizado, así como sus temas y plugins; así como controlar el resto de variables que hacen que podamos dormir tranquilos mientras nuestro sitio web está a salvo.

Aquí compartimos algunos de los consejos que seguimos para que de una manera ordenada puedas mantener seguro tu sitio WordPress:

1 CONSEJOS para mantener segura la instalación de WordPress

  1. Mantén actualizados WordPress, tema y plugins.
  2. Actualiza las claves de wp-config.
  3. Cambia el prefijo de la tabla de WordPress.
  4. No uses el nombre de administrador admin y usa contraseñas fuertes para los administradores o usa autenticación de dos factores.
  5. Protege el archivo wp-config.php y el archivo .htaccess.
  6. Limita el número de intentos de login fallidos.
  7. Oculta tu versión de WordPress.
  8. Desinstala los plugins y temas que no utilices.
  9. Asegúrate de que tus backups se ejecutan correctamente (ningún sistema es infalible).
  10. Si no quieres hacer todo lo anterior manualmente, utiliza plugins de seguridad y servicios como:
    • Wordfence
    • Sucuri
    • Better WP Security
    • WP-Security scan
  11. Si no quieres hacer todo lo anterior, contrata un proveedor de confianza (somos muchos sólo en Mallorca).
  12. Si decides hacerlo tú mismo:
    • Ponte al día
    • Ponte al día
    • Ponte al día

2 CONSEJOS para personalizar WordPress y no volverte loco al actualizar

  1. Si decides desarrollar un plugin o un tema. NO empieces sin conocer la API de WordPress.
    SABER PROGRAMAR EN PHP NO IMPLICA SABER PROGRAMAR SOBRE WORDPRESS
    Puedes hacer alguno de los muchos tutoriales para conocer el API de WordPress o puedes visitar directamente la web de WordPress dedicada a explicarla: Codex WordPress
  2. No modifiques el código de WordPress, plugins o temas. Utiliza los Hooks (filtros y acciones) o los temas hijos.
  3. Utiliza las funciones que te da WordPress. Por ejemplo:
    – No hagas consultas directamente a la base de datos sin usar la clase WP_Query o la wpdb.
    – Si personalizas Worpress, utiliza las funciones de “escapado” de WordPress para validar los formularios antes de procesarlos o guardarlos en base de datos (https://codex.wordpress.org/Validating_Sanitizing_and_Escaping_User_Data).
  4. Sigue las buenas prácticas de desarrollo de Worpdress. Sé limpio y ordenado. Como dicen desde el equipo de WordPress: «El código es poesía».
  5. Si usas AJAX, utiliza nonces para verificar lo que llega al servidor.
  6. Tómate en serio la seguridad.
  7. Revisa todo el código que has personalizado cuando actualices.
    Tu código puede tener los mismos fallos de seguridad que WordPress, aquellos plugins o temas que has actualizado.

Actualizar WordPress en 5 minutos y comprobar que funciona

 

  1. Haz un backup antes de empezar!!!!
  2. Planifica la actualización: Revisa las plantillas, widgets, plugins que has modificado y ponlos al día.
  3. Actualiza sin miedo en este orden:
    1. Plugins
    2. Temas
    3. WordPress
    4. Actualiza tus personalizaciones.

Esperamos que este artículo te haya sido de utilidad.  Si necesitas hacernos alguna consulta al respecto o quieres que te ayudemos a mantener la seguridad de tu sitio Web, ponte en contacto con nosotros.