1. Pon una password difícil de averiguar.
Entre las medidas de seguridad imprescindibles en WordPress, la primera medida a adoptar es utilizar una password que no sea fácil de averiguar. Por ejemplo, la peor de todas es «1234» porque, aunque es muy fácil de recordar, será la primera que pruebe cualquier intruso. Se denomina contraseña «fuerte» a aquella que posee un número alto de caracteres (más de 8) con letras, números y signos de puntuación. El escritorio de WordPress te indica si la password elegida es fuerte o no, pero existen también plugins que te obligan a configurar una contraseña fuerte.
2. No utilices el nombre de usuario Admin.
Otra de las medidas de seguridad imprescindibles en WordPress obligaoria es eliminar el usuario «Admin» que es el que asigna WordPress por defecto. Ten en cuenta que para lograr un acceso no autorizado, el intruso (quizás un programa informático) lo primero que pruebe es el usuario «Admin». Esto se puede llevar a cabo creando un nuevo usuario haciendo uso del panel de administración de WordPress y borrando el «Admin». Al nuevo usuario no se le debe denominar con el nombre del dominio del blog porque eso será lo segundo que pruebe un hacker.
3. Limita los intentos de login fallidos.
La tercera medida imprescindible que debes adoptar es evitar que los intentos fallidos de acceso a tu cuenta sean más de tres. Debes dejar uno o dos intentos por si tú mismo te equivocas al intentar entrar al panel de administración de WordPress pero no más. Cualquier hacker que emplee la fuerza bruta para acceder a tu cuenta debe ser bloqueado si prueba más de dos o tres combinaciones de usuario y contraseña erróneas. Existen plugins para controlarlo.
4. Controla el spam.
En un blog, el sistema de comentarios es una fuente continua de mensajes spam y ahí puedes tener una puerta abierta a troyanos, virus y demás programas fraudulentos. En WordPress existe el plugin Akismet que mantiene a raya el spam pero quizás debas plantearte estrategias más drásticas como emplear un sistema de comentarios exerno que se encargará por ti de eliminar el spam: Disqus o Google+.
Considera eliminar el sistema de comentarios nativo de WordPress e instalar uno alternativo.
Si permites el registro de usuarios en tu blog de WordPress, entonces tienes que instalar uno de los plugins que controlan los registros spam.
5. No instales muchos plugins.
Seguimos con las medidas de seguridad imprescindibles en WordPress. Cada plugin que instalas en WordPress es un paso más hacia la posibilidad de que tengas un problema en tu instalación. Antes de instalar un plugin debes probarlo en un entorno distinto al de producción. Esto es debido a que no todos los desarrolladores emplean código seguro.
6. Busca código malicioso en los archivos de tu theme.
Una buena forma de averiguar si el daño ya está hecho es escanear los archivos de tu theme con el fin de encontrar agujeros de seguridad. Lee este artículo para conocer plugins que realizan esa labor. Pero los cambios fraudulentos no tienen por qué haberse hecho solo en el theme. También puedes rastrear cualquier archivo de tu instalación con estos plugins.
Si instalas plugins de seguridad de amplio espectro, tales como iThemes Security o WordFence, obtendrás esta y otras funciones particulares integradas. En el caso de iThemes Security puedes escanear malware gracias a la integración con el plugin de Sucuri.
7. Añade un Firewall o un proxy inverso.
Otra de las medidas de seguridad imprescindibles en WordPress que añade un nivel de dificultad más a los intrusos es el Firewall. Eso se puede hacer también con plugins. Mira los que se recomiendan en este artículo. Una alternativa al Firewall es implementar un sistema de proxy inverso. El proxy inverso te garantiza no solo funciones de protección sino también de caché con lo que se mejoran mucho los tiempos de carga de las páginas y el consumo de recursos.
8. Haz un backup de tu instalación periódicamente.
Entre las medidas de seguridad imprescindibles en WordPress la reina es la copia de respaldo. Nadie está libre de sufrir un desastre en su blog. Así que, indudablemente, una medida de seguridad que puede evitar que te quedes sin tu blog es el backup. Existen muchas herramientas pero yo aconsejo simplemente realizar un backup regularmente con el plugin Updraft Plus y, por supuesto, una copia de los archivos modificados de la instalación, tales como los del theme, wp-config.php, la carpeta wp-content, etc. Un backup completo de tu blog (base de datos y archivos de la instalación) te permitirá restaurarlo todo tanto en el mismo servidor como en otro nuevo. Es aconsejable llevar tus copias de seguridad a la nube, lo que se puede hacer muy fácilmente con UpDraftPlus.
9. Mantén actualizados themes, plugins y software de WordPress.
Una forma de evitar problemas es actualizar a la última versión tanto los plugins como los themes y, claro está, el software de la aplicación. Los desarrolladores de WordPress se esfuerzan en corregir cualquier problema de seguridad por pequeño que sea, así que ésta es una práctica necesaria, aunque a veces pueda resultar tediosa. Actualiza siempre que veas el indicativo en tu escritorio de WordPress.
10. Usa un plugin como iThemes Security.
Por último, el uso de un plugin específico de seguridad integral como puede ser iThemes Securiy. Con este tipo de plugins te ahorrarás dolores de cabeza, ya que de una forma sencilla y eficaz cubre, de una sola vez, muchos aspectos de los que hemos enumerado anteriormente.
Aprende a configurarlo en: Cómo configurar el plugin de WordPress iThemes Security.
WordFence es otra posibilidad muy interesante porque, además de su facilidad de configuración, ofrece un sistema de caching potente. Te puedes ahorrar así, la instalación de otro plugin de caching o la conexión a CloudFlare. O ambas.