Descobreix com millorar la seguretat de WordPress amb aquestes bones pràctiques per protegir la teva pàgina web contra pirateigs i codi maliciós (malware).
Com a plataforma de codi obert, WordPress és infinitament personalitzable: hi ha milers de temes, plugins i programadors disponibles per optimitzar el disseny al teu gust o segons les teves necessitats. Això precisament fa que l'eina sigui tan potent i popular.
El desavantatge és que un element mal configurat o una manca de manteniment poden causar problemes de seguretat que, a més de comportar temps, diners i energia, impacten en la reputació de cara als clients i als cercadors: cada setmana, Google posa a la seva llista negra uns 70 llocs web.
No és que les pàgines creades amb WordPress siguin poc segures en elles mateixes. La plataforma compta amb un bon planter d¿investigadors i enginyers de primer nivell que presenten actualitzacions periòdiques.
La qüestió és que resulten un objectiu molt rendible. Més del de tots els llocs web a Internet estan creats amb WordPress. Els hackers que volen infectar tantes webs com sigui possible se solen dedicar a buscar un forat en aquest programari.
Per ajudar-te a mitigar el risc de ciberatacs al teu WordPress, en aquest article analitzarem què pots fer per protegir millor el teu lloc web.
Continguts
1. Fes servir sempre l'última versió de WordPress
Gairebé la meitat de les pàgines creades amb WordPress usen una versió antiga del programa. No obstant això, les versions desfasades són un blanc habitual dels pirates informàtics, ja que coneixen els punts febles que té cadascuna.
Per protegir la teva web contra ciberatacs, és fonamental que sempre estigui actualitzada. Això inclou tant el nucli de WordPress com els seus temes, complements i qualsevol altra aplicació que facis servir.
Per defecte, WordPress instal·la automàticament les actualitzacions menors. Però, per a les versions principals, cal fer-ho a mà (sobretot per evitar errors de compatibilitat).
Per tant, assegura't de revisar aquest punt periòdicament i instal·la la darrera versió del programa tan aviat com surti. Per comprovar si esteu executant l'última, entra a l'àrea d'administració i vés a l'apartat d'actualitzacions del menú de l'esquerra.
El mateix passa amb el codi PHP, el qual els pirates informàtics exploten de múltiples maneres. Actualitza a la darrera versió com més aviat millor (si no tens accés al teu compte d'allotjament, posa't en contacte amb el teu programador web).
2. Estableix contrasenyes segures
Els intents de pirateig més habituals a WordPress es basen en contrasenyes robades o endevinades. Són els anomenats atacs de «força bruta», en què els ciberdelinqüents intenten iniciar sessió automàticament provant una contrasenya darrere l'altra.
Per posar-ho més difícil, el millor és triar una contrasenya forta (no només per a la zona d'administració de WordPress, sinó també per als comptes de FTP, la base de dades, el hosting i les adreces de correu electrònic amb el vostre nom de domini) i no utilitzar-la a cap altre lloc.
També podeu posar un límit a la quantitat de vegades consecutives que es permet intentar l'inici de sessió. Aquesta opció està disponible en alguns allotjaments i tallafocs, però també pots instal·lar un plugin per habilitar-la.
A més, és convenient no utilitzar admin com a nom d'usuari. Antigament, el nom d'administrador era aquest per a tothom. Això facilitava als pirates els atacs per força bruta, perquè coneixien per endavant la meitat de les credencials.
3. Habilita l'autenticació doble
Amb l'autenticació de dos factors, els usuaris que vulguin iniciar sessió a la teva web hauran de donar el nom d'usuari i la contrasenya. Aleshores rebran un codi de verificació al mòbil, el qual hauran d'introduir per poder entrar.
Per això, cal instal·lar i activar un plugin a WordPress, i descarregar-se una aplicació al mòbil. Hi ha diverses disponibles, però LastPass Authenticator és interessant, perquè fa una còpia de seguretat al núvol.
Fins i tot pots afegir un captcha a la teva web per validar que qui vol accedir-hi és realment una persona i no un bot. També hi ha plugins per a això, com a reCaptcha de BestWebSoft.
4. Trieu un tema de WordPress fiable
Igual que no instal·laries un plugin poc fiable, resisteix la temptació de fer servir qualsevol tema que tingui bona pinta.
Els anomenats nuls, per exemple, són reproduccions barates de temes de pagament. El problema és que solen tenir moltes bretxes de seguretat: o bé el tema no està actualitzat i no té cap tipus d'assistència, o bé els dissenyadors són pirates que han hackejat el tema original i li han inserit codi maliciós.
El millor és triar un tema de WordPress del vostre repositori oficial. També podeu fer una ullada als dissenys de programadors de confiança en portals reconeguts. En qualsevol cas, pots comprovar si un tema s'ajusta a les normes de WordPress copiant la URL al validador de W3C.
5. Limita els permisos dels usuaris
Un altre atac habitual és obtenir accés utilitzant un compte d'usuari vàlid, però sense accés privilegiat. És a dir, el pirata entra amb un perfil veritable i aprofita algun error per obtenir un grau d'accés superior, amb més permisos.
Si sou molts a la plantilla o col·labores amb redactors externs, abans de crear-los un compte i donar-los accés al teu WordPress, presta molta atenció a les funcions que els concedeixes: WordPress té sis rols.
Limitant la quantitat de comptes, hi ha menys probabilitats que un pirata forci l'entrada. Assignant els rols amb compte, es limita el mal que pot fer un hacker si endevina les credencials dun dels usuaris.
6. Trieu bé el hosting web
La majoria dels plans d'allotjament low-cost emmagatzemen els llocs web a servidors compartits. Als proveïdors de bona reputació, aquests entorns no suposen un problema.
No obstant això, en empreses menys prestigioses, poden col·locar la teva web en un hosting compartit on una altra persona a la mateixa màquina pot arribar a aconseguir permisos que li donin accés de «lectura» o «lectura i escriptura» als teus arxius.
Un pirata informàtic pot utilitzar aquests permisos per accedir a la teva base de dades o per inserir codi maliciós a la teva web.
A l'hora de triar el hosting per a WordPress, busca un servei que aïlli els clients i que prengui el màxim de mesures per protegir la teva informació.
7. Instal·la un plugin de seguretat
És molt recomanable instal·lar un plugin d'auditoria i vigilància (o diversos) per supervisar automàticament la integritat dels fitxers, els intents d'inici de sessió, la cerca de codi maliciós, etc.
Hi ha molts complements d'aquest tipus, però un de molt útil és Wordfence. Es tracta d'un sistema de seguretat econòmic (hi ha versió gratuïta i llicències anuals de pagament que comencen a 99 dòlars) que monitoritza la pàgina en temps real per detectar possibles atacs.
Està dissenyat específicament per a llocs a WordPress i inclou tant firewall de punt final com escàner de malware. També compta amb un feed d'amenaces en temps real que actualitza les funcions del tallafocs amb les dades més recents sobre codi maliciós (malware).
Qualsevol alerta de seguretat t'arriba per email i també es ressalta al tauler de control, on hi ha una llista organitzada per gravetat on trobaràs instruccions sobre com solucionar cada atac.
8. Fes còpies de seguretat
Fins i tot els portals de l'Administració són piratejats. Per això, val la pena tenir còpies de seguretat del teu WordPress. Així podràs restaurar la teva pàgina com més aviat millor si passa alguna cosa.
El més important és desar les còpies de tot el lloc web almenys en un parell d'ubicacions que no siguin el vostre compte d'allotjament.
La freqüència depèn sobretot de cada quant actualitzeu la vostra web, però el millor és fer un backup un cop al dia o, idealment, en temps real.
9. Elimina les aplicacions antigues
Això inclou les còpies de seguretat velles i els usuaris inactius.
Si mantens la teva pàgina WordPress al dia de les actualitzacions, els pirates cercaran altres aplicacions sense manteniment que siguin vulnerables. Si aconsegueixen accedir a la teva web a través d'elles, podran infectar-la encara que hagis protegit el mateix WordPress.
Si suprimiu un connector o un tema des del tauler de control, no us oblideu d'esborrar totes les dades associades a la base de dades.
10. Instal·la un certificat SSL
El protocol SSL xifra les dades que s'intercanvien entre el vostre lloc web i el navegador dels usuaris, la qual cosa dificulta que els pirates robin la informació (a més d'ajudar a millorar el posicionament web).
La majoria de les empreses de hosting ja inclouen SSL als seus plans. Per exemple, Nominalia ofereix el servei gratuït Let's Encrypt, a més d'opcions premium més completes.
Després d'instal·lar el certificat SSL al compte d'allotjament, cal activar-lo al WordPress. Si necessiteu assistència per manejar els aspectes tècnics i l'activació de SSL, els nostres experts us poden assessorar.
No t'oblidis de la seguretat
Un dia sí i un altre també, els ciberdelinqüents busquen noves maneres d'explotar la presència digital de les empreses i els usuaris. Per això, protegir la teva pàgina web de WordPress no és una feina d'una sola vegada: és una tasca constant i en evolució.
Encara que el risc sempre hi serà, esperem que aquestes mesures de seguretat per a WordPress t'ajudin a mitigar-lo.