Muchas de las maneras que tiene la gente de piratear los sitios web de WordPress son a través de los nombres de usuario. Mantener el control de los diferentes nombres de usuario y de los roles de los usuarios es vital para proteger tu sitio web contra las amenazas externas e internas. Aunque las personas a las que has concedido acceso puede que no le hagan algo horrible a tu sitio web de manera intencionada, podrían cambiar los ajustes accidentalmente o borrar cosas si tienen demasiado acceso a zonas a las que no necesitan acceder. He aquí algunos consejos para mantener seguro WordPress a través de los nombres de usuario y los roles.
Asegúrate de que todos los usuarios usen contraseñas robustas
Esto debería ser inculcado a cualquiera que use un ordenador para algo – es necesario que todo el mundo use una contraseña robusta. Sus contraseñas tienen que ser como mínimo de ocho caracteres de longitud y deberían incluir una letra mayúscula, una letra minúscula y un número. También puedes requerir que los usuarios incluyan un carácter especial, aunque algunas personas sienten que eso es ir demasiado lejos. Todo depende de lo que incluya tu sitio web de WordPress y de cómo de seguro necesitas que sea.
Cambiar tu nombre de usuario de Administrador de WordPress
Cuando instalas WordPress, el nombre de usuario predeterminado es admin. Como es el predeterminado, todo el mundo lo conoce. De hecho, existen ciertos virus y otros hacks que tienen como objetivo al nombre de usuario de administrador, así que es una muy buena idea cambiarlo lo antes posible. Incluso añadir un número al final del mismo ayudará a mantener tu sitio web relativamente seguro.
Controla el acceso a tu sitio web
Crea roles de usuario y limita su alcance. No todo el mundo necesita poder acceder a todo el sitio web de WordPress. Por ejemplo, las personas que sólo contribuyen al blog del sitio web, únicamente deberían ser capaces de agregar o modificar sus propias entradas. No deberían ser capaces de cambiar los blogs del resto de usuarios, cambiar el tema del sitio web, o agregar/eliminar los widgets. Nadie, a parte del administrador del sitio web, debería tener privilegios administrativos completos. Recuerda también que no hay necesidad de conceder a todo el mundo acceso al sitio web, así que si alguien no necesita tener una cuenta, no hay razón para dársela.
Elimina las cuentas antiguas
Cuando alguien abandone tu empresa o ya no necesite tener acceso a tu sitio web de WordPress, elimina su cuenta tan pronto como puedas. Esto ayudará a mantener tu lista de cuentas bajo control y evitará que, alguien que ya no está asociado con el sitio web, obtenga acceso y realice cambios.
Protege tu sitio web con .htaccess
Utilizar el archivo .htaccess te ayudará a proteger tu sitio web contra los intentos de inicio de sesión no autorizados. En realidad es posible que tu sitio web deje de estar disponible debido a un número de intentos de inicio de sesión no autorizados que han sido intentandos uno tras otro. Usar un archivo .htaccess puede ayudar a bloquear algunos de estos intentos de acceso no autorizados. Por ejemplo, puedes especificar que sólo lo usuarios de una dirección IP específica puedan iniciar sesión en el servidor. También puedes crear cuentas referidas de confianza (aquellas que vienen de tu dominio). El método que funcione mejor para tu sitio web dependerá de varios factores, incluyendo el hecho de tener una dirección IP estática o una dinámica.
