Crea tú mism@ tu web de WordPress profesional y optimizada
Lección 3
Pasos para proteger tu instalación de WordPress de los pirata informáticos
Con WordPress instalado, con uno de los themes por defecto; en esta lección se trata de que aprendas a proteger tu instalación de WordPress contra los ataques de los piratas informáticos. La seguridad de tu web es lo más importante.
Módulos de esta lección
- Configurar actualizaciones automáticas. Es el primer paso tras la instalación de WordPress. Es una pequeña operación para garantizar que siempre tienes actualizado el software de WordPress (aplicación y plugins).
- Instalar Wordfence (borrar Loginizer). Con este plugin, que no requiere apenas configuración por tu parte, lograrás reforzar al máximo la seguridad de tu web.
- Configurar Firewall extendido. Wordfence tiene una función que no viene activada por defecto y que debes habilitar: el firewall extendido. Pero esto último no te llevará más de 1 minuto.
1. Configurar actualizaciones automáticas
Una vez instalado WordPress, es preciso realizar la configuración de actualizaciones automáticas de la aplicación. En SiteGround es muy fácil automatizarlo y en el vídeo siguiente se explica en detalle.
Si requieres conocer las diferencias con el nuevo área de cliente y Site Tools de SiteGround, consulta este artículo.
¿Cómo se hace en SiteTools?
En Site Tools de SiteGround, las actualizaciones automáticas de WordPress se configuran tal y como se indica en el siguiente vídeo.
2. Instalar Wordfence (borrar Loginizer)
La seguridad es uno de los principios de una web profesional de WordPress creada mediante el Método Blogpocket.
La instalación automática de WordPress en SiteGround, sobre cPanel, lleva consigo la intalación del plugin Loginizer. Sin embargo, en Site Tools es una instalación limpia, solo con el plugin SG Optimizer.
- SG Optimizer es un plugin de SiteGround cuya misión principal es la optimización de los recursos que usa tu web mediante el sistema de almacenamiento en caché propio denominado SuperCacher.
Loginizer es una primera contención, muy básica, en el panel de entrada al administrador de WordPress. Como primera medida, en la puesta en marcha de un sitio web, sirve pero enseguida debemos contemplar reforzar la seguridad con el plugin Wordfence, mucho más completo y con más posibilidades, desactivando y borrando previamente Loginizer.
Es de destacar, como ya hemos mencionado, la función de Firewall extendido, que se debe activar nada más activar Wordfence.
En el siguiente vídeo se explica en detalle todo lo relacionado con la seguridad en WordPress; Wordfence y su configuración, incluyendo la manera de activar el firewall extendido.
Para más información sobre la configuración de Wordfence, lee Cómo configurar Wordfence, el plugin de seguridad de WordPress.
¿Cómo se hace en Site Tools la activación del firewall extendido?
Activar la opción de firewall extendido supone actualizar el archivo php.ini del servidor. Afortunadamente, tanto en cPanel como en Site Tools existe la posibilidad de asignar valores a variables PHP muy fácilmente. En el vídeo anterior aprendiste a hacerlo con cPanel. Veamos, a continuación, cómo se hace en Site Tools.
¿Por qué se recomienda un plugin de backups, si tengo 30 copias de seguridad gratuitas en SiteGround?
Si hablamos de copias de seguridad es válido aquél axioma que «dos es uno y uno es ninguno».
Por lo tanto, siempre viene bien tener un plan B y esto lo logramos, en WordPress, con el plugin UpDraft Plus. Lee Cómo hacer bien un backup de WordPress: la guía definitiva.
Además, de poseer una copia de seguridad alternativa, UpDraft Plus viene muy bien a la hora de migrar o clonar el sitio web de servidor, tanto si vas a exportarlo como a importarlo. E, incluso, cambiarlo de directorio dentro del mismo servidor (por ejemplo, para llevar a cabo una prueba).
¿Existen otros plugins de seguridad, además de Wordfence?
Claro que sí: el plugin iThemes Security también es muy recomendable. Lee aquí cómo se configura: Cómo configurar el plugin de WordPress iThemes Security.
¿Qué es CloudFlare?
Cloudflare es un servicio gratuito que proporciona un firewall entre los usuarios y el servidor web que aloja tu blog (o sitio web).
Cloudflare te protege con una capa completa de defensa, incluyendo un firewall de aplicación web (WAF) integrado, para detener los ataques de todos los tipos y tamaños. Además, también incluye funciones para optimizar el rendimiento.
La conexión a Cloudflare se realiza con un clic desde cPanel en SiteGround. Y así mismo puedes administrarlo desde cPanel sin necesidad de iniciar una sesión en la aplicación de Cloudflare.
Es recomendable conectar tu blog (o sitio web) a Cloudflare, una vez que hayas completado todos los pasos del método Blogpocket para crear un blog.
Aprende más sobre Cloudflare en Velocidad y seguridad de tu blog: cómo mejorar con CloudFlare.
¿Qué es Sucuri?
Sucuri es un servicio de pago, alternativo a Cloudflare. Existe el plugin gratuito correspondiente que puede servir para detectar posibles infecciones de malware. Pero el plan de pago es mucho más completo, incluyendo un potentísimo firewall y una función de limpieza del sitio si este se ha infectado de malware.
Con la versión de pago de Sucuri no tendrás problemas a la hora de proteger tu blog (o sitio web) contra ataques de fuerza bruta e infecciones de malware.
Sucuri es compatible con Wordfence y con los sistemas de almacenamiento en caché más conocidos.
Copias de seguridad y plugin Updraft Plus
En el siguiente vídeo se explica cómo restaurar un sitio web, sobre cPanel en SiteGround, a partir de las copias de seguridad gratuitas que se realizan. Se muestra el funcionamiento del plugin Updraft Plus que sirve para realizar backups. Este plugin es muy útil así mismo a la hora de migrar y clonar un sitio web. También se revisa la configuración de Wordfence.
¿Cómo se hace en Site Tools?
Aprende con el vídeo siguiente a realizar y restaurar copias de seguridad en Site Tools de SiteGround.
Información relacionada
- HTTPS: Cómo convertir tu WordPress a HTTPS – La guía definitiva
- Backups: Cómo hacer bien un backup de WordPress: la guía definitiva
- Mantenimiento: Mantenimiento de WordPress: la guía definitiva para cuidar tu blog
- Seguridad en WordPress: Las 10 medidas de seguridad imprescindibles en WordPress
- CloudFlare: Velocidad y seguridad de tu blog: cómo mejorar con CloudFlare
- Migrar de Blogger a Wordfence: Cómo migrar un blog de Blogger a WordPress sin morir en el intento
3. Configurar Firewall extendido
El firewall extendido es una opción que viene desactivada por defecto en Wordfence. Activarla es muy sencillo pero hay que modificar el archivo php.ini añadiendo una instrucción para asignar un determinado valor a una variable PHP.
Wordfence te dice, al activar la opción, qué variable concreta y qué valor hay que asignar. Solo hay que ir a cPanel o Site Tools para, en el apartado correspondiente, realizar dicha asignación dentro del archivo php.ini. A partir de salvar la modificación, el firewall extendido queda activado automáticamente.
Ver el vídeo incluido en el paso nº 2 «Instalar Wordfence«.
Conclusiones
Tu web, hecha por ti mism@, sin ayuda de nadie, va tomando forma.
Lo que hemos hecho hasta ahora:
- Abrir una cuenta en SiteGround. La elección de un buen hosting es tan importante que representa el 90% del éxito de tu web.
- Redirección de DNS. Si tenías ya un nombre de dominio, lo que habrás hecho es redirigirlo a SiteGround mediante las DNS proporcionadas por éste. Entraste en el panel de administración del proveedor en el que registraste el dominio y cambiaste las DNS. Si no tenías nombre de dominio registrado, así lo especificaste al abrir la cuenta en SiteGround. En cualquier caso, ese nombre de dominio quedó asociado como dominio principal a tu cuenta de SiteGround.
- Instalación de WordPress. El sistema operativo de tu web es WordPress y eso te va a permitir tener una web flexible y escalable. Además, como es tan fácil de usar, esto es lo que te permite construir tu web por ti mism@. ¡Un clic y ya está! Previamente creaste un certificado SSL para tener protocolo HTTPS y aumentar la seguridad del sitio web. Si tu cuenta de SiteGround funciona con cPanel, el resultado será un WordPress con el theme por defecto (Twenty Twenty o el que proceda) y una protección básica mediante el plugin Loginizer (que no requiere configuración). Además, SiteGround su plugin SG Optimizer, un recurso para optimizar el rendimiento haciendo uso -sobre todo- de su sistema de almacenamiento en caché propio. Ver el BONUS al final de curso para más información sobre optimización del rendimiento de tu web. Pero si entras ahora en SG Optimizer y activas las opciones de optimización obtendrás, sin pestañear, una web inicial 100% optimizada.
- Creación de una cuenta de correo en SiteGround. Vas a necesitar una cuenta de correo personalizada, así que lo mejor es crearla ya del estilo info@tudominio.com y redireccionar todos los mensajes entrantes a tu cuenta de Gmail.
- Instalar Wordfence. WordPress es la mejor plataforma para crear tu web por ti mism@ pero es algo vulnerable, en cuanto a seguridad. ¡No te asustes! Solo es preciso instalar el plugin Wordfence que es casi plug&play. No olvides activar la función de firewall extendido y ¡échate a dormir!
¿Qué queda?
Poca cosa y lo veremos en las dos próximas lecciones y en lo dos BONUS:
- Aplicar un diseño a tu gusto. Usaremos un «juguete» que hemos desarrollado especialmente para ti en la lección 4. Aprenderás a cambiar el theme y a diseñar tu web a tu gusto, según tus necesidades o las de tu negocio.
- Optimización. Como guinda del pastel, aprenderás a preparar tu web para el SEO, optimizarla en rendimiento (rapidez y optimización para móviles), adaptarla legalmente y aplicar una estrategia de email marketing (cómo añadir formularios de contacto y una newsletter).
- BONUS 1. Un repaso general del Método Blogpocket de creación de una web profesional de WordPress, paso a paso y desde cero. El objetivo es que afiances todo el proceso con el que conseguirás un sitio web rápido y optimizado para móviles, seguro y preparado para el SEO; con un theme bien codificado y personalizado para tu negocio.
- BONUS 2. El segundo bonus consiste en una checklist compuesta de una serie de vídeo en el que se muestran todos los pasos actualizados del Método Blogpocket.