WordPress es, de por sí, muy seguro, pero podemos volverlo inseguro si no tomamos unas simples precauciones. Veremos una configuración básica de 7 pasos y después veremos que complemento puede elegir para que mantenga seguro su WordPress. Con una extensión de seguridad podrá hacer esos 7 pasos y más.
Mantenga seguro su WordPress
1 Cambie el nombre del usuario administrador
El hacker necesita solo dos cosas para acceder a su sitio: nombre de usuario y contraseña. Si usted utiliza un nombre obvio, como su propio nombre o peor aún admin les está ahorrando la mitad del trabajo, no se la hagamos tan fácil.
Si Usted es administrador del sitio puede hacerlo en estos simples pasos:
- haga una copia de seguridad de su sitio, en caso de que cometa un error
- en «usuarios» haga clic en «añadir nuevo»
- cree un usuario nuevo y asígnele el rol de administrador
- cierre la sesión y vuelva a iniciarla con el usuario nuevo
- vuelva a «usuarios» y elimine al administrador anterior. Asegúrese de seleccionar «atribuir contenido a» y selecciona tu nueva cuenta de administrador para no perder el contenido.
2 Utilice contraseñas seguras
Una contraseña corta nunca es segura, una contraseña larga con palabras reales, tampoco. Lo mejor son las cadenas largas de letras y signos aleatorios. Guárdelas en un lugar seguro (tema para otro artículo).
Si quiere aún más seguridad puede solicitar la autenticación de dos factores.
3 Utilice HTTPS
La gran diferencia entre HTTP y HTTPS es que HTTPS mantiene si trafico encriptado.
4 Mantenga todo actualizado
Y cuando decimos todo, nos referimos a todo. WordPress, todos sus complementos y tema. Asegúrese que los plug-ins y su tema estén en desarrollo activo. Si no lo están, obviamente, no le pedirán que los actualice. Vigile especialmente los plug-ins gratuitos.

5 Limite el número de intentos de acceso
Por defecto, WordPress es muy generoso, ya que permite a sus usuarios realizar un número ilimitado de intentos de inicio de sesión en el sitio. Sin embargo, esto es una oportunidad perfecta para que los hackers intenten ataques de fuerza bruta: es decir, prueben infinidad de combinaciones.
Le sugerimos que mantenga seguro su WordPress y limitar el número de intentos de acceso es algo que no cuesta nada hacerlo.
Loginizer
La versión prémium ofrece funciones de seguridad de inicio de sesión como la autenticación de dos factores, reCAPTCHA y preguntas con desafío para el inicio de sesión. Pero lo que nos brinda la versión gratuita es más que suficiente.
Limit Login Attempts Reloaded
Configura el número de intentos fallidos para direcciones IP específicas, añade usuarios a la lista blanca o los bloquea por completo, e informa a los usuarios sobre el tiempo de bloqueo restante.
De ser necesario, el administrador puede desbloquear las cuentas.
6 Cambie la URL de la página de registro
Es una forma de «esconderla», también para evitar ataques de fuerza bruta. Eso si, mejor tener la nueva URL en marcadores y anotada en un lugar seguro: no podemos perderla. Es trivial hacerlo con WPS Hide Login.
7 Desactive XML-RPC
Es más difícil explicar que es esto y cuál es el problema que solucionarlo.
Para cerrar esa puerta puede probar con este complemento.
Mantenga seguro su WordPress con un plug-in
Si en vez de seguir estos pasos necesita una protección mejor y una solución todo en uno, puede simplemente instalar un plugin de seguridad. Vamos a nombrar los más conocidos y vamos a explicarle como configurar el plugin que recomendamos.
Es de esperar que su servidor tenga un WAF, estos plug-ins —entre otras cosas— instalan un WAF a nivel del sitio.
Existen innumerables complementos de seguridad, dos de los más reconocidos y potentes son iThemes Security y WordFence, estos plug-ins son ideales para sitios grandes y complejos, pero necesitan ser manejados por expertos. Caso contrario pueden ser demasiado restrictivos. Los vínculos llevan a los sitios oficiales, pero en el repositorio de WordPress están sus versiones gratuitas.
Conclusión
Los ataques suceden, es solo cuestión de tiempo, por eso es importante que mantenga seguro su WordPress. No es difícil, pero recuerde, que además de estas medidas hay que seguir ciertas prácticas desde el principio, como enumeramos en este otro artículo. Si no aplica esas medidas estas adicionales de poco le valdrán.
Sin embargo, tanto estás como aquellas son simples de implementar, solo se requiere un poco de atención y cierta disciplina con las contraseñas.
Great information. Lucky me I came across your blog by accident (stumbleupon).
I’ve saved it for later!