Debo confesar que siempre veía el tema del hackeo y spam muy lejano ya que nunca me había pasado, pero como todo luego que te quemas con fuego comienzas a prestar atención. Siempre pongo por delante la optimización de los sitios pero ahora se que la Seguridad de WordPress está un escalón más arriba ya que será importante que nuestra web sea segura para poder trabajar el tema de posicionamiento de una manera efectiva.
Porqué es importante la seguridad para Google?
El algoritmo de Google para mostrar resultados ante una búsqueda tiene muchísimas variables y una de ellas es la seguridad del sitio web. Google te mostrará el resultado que considere más relevante y útil para tí y seguramente no querrá mostrarte un resultado de un sitio al que considere peligroso! Google penaliza la inseguridad de las webs con advertencias como las pantallas rojas pero también quitándote de los resultados de búsqueda a los que tanto esfuerzo costó llegar…
Algunos avisos que te muestra Google indicando que tu web esta en problemas:
Me hackearon la web, que hago ahora?
Tenía un hosting seguro, había comprado un tema para mi WordPress en un sitio confiable, mantenía mi WordPress, plugins y tema actualizados! Y un día me aparece la terrorífica pantalla roja! Mi sitio había sido hackeado o lo que es lo mismo Google lo consideraba peligroso!
1. Lo primero es no enloquecer! y mantener la calma!
2. Supongamos que no puedes acceder a nada…
Entra al hosting y elimina la instalación de WordPress (eliminala, no le corras un backup x arriba)
3. Instalá de cero el WordPress y pone usuarios y claves diferentes y más seguras que las que tenías.
4. Levantá uno de los backups limpios que tenés. Seguramente al levantar el backup puedas tener problemas con la base de datos, en general pasa porque el archivo wp-config.php del backup tiene el nombre, usuario y password de la base anterior por lo que vas a tener que ver cuales son esos nuevos datos y modificarlos.
5. Sigue las recomendaciones que aparecen más abajo en el apartado «Seguridad en WordPress – Recomendaciones»
6. Corre un Scan con Wordfense y no te olvides de configurarlo para que te lleguen las alertas a tu correo.
7. Una vez que el sitio está funcionando correctamente hay que amigarnos con Google nuevamente y solicitar una reconsideración de nuestro sitio. La reconsideración se solicita a través de la herramienta Google Search Console.
En unas horas Google revisará tu sitio y si no encuentra indicios de malware, spam u otros problemas, te avisará a tu email que el sitio está limpio y ya no verás ni el cartel rojo que indica a los visitantes que tu web es peligrosa, ni el mensaje de sitio no seguro en los resultados de búsqueda. (en Google Search Console puede demorar unas horas más en desaparecer la advertencia)
Seguridad en WordPress – Recomendaciones
WordPress es muy bueno pero si no está bien configurado es un peligro! Aquí algunas consideraciones a tener en cuenta:
1. Partimos de la base de que estás pagando un hosting (tenés acceso completo)
2. Contraseñas seguras! con passwords que incluyan simbolos, números y letras minúsculas y mayúsculas. Trata de que sea un password con 12 caracteres por lo menos. Por favor nada de «1234»
3. En la instalación de WordPress no utilizar un usuario Admin, ponerle otro nombre!
4. Si alguien no es administrador del sitio NO necesita un usuario Administrador!
5. Mantener actualizados la versión de WordPress, el tema y los plugins en sus últimas versiones.
6. En lo posible trata de comprar un tema en un sitio confiable (ej. themeforest) o utiliza uno gratuito que bajes de WordPress (fijate que esté actualizado recientemente o que tenga varias versiones anteriores, para asegurarte que sus autores se preocupan por su actualización)
7. Eliminar los temas que no utilices! (por defecto WordPress instala 3 temas, si no los usas, BORRALOS!)
8. Todo plugin que no utilices, BORRALO!
9. Plugins recomendados para seguridad (los más importantes Wordfense, Are you a Robot?, Move Login, Security Plugin Scanner). Bajalos de WordPress! no los bajes de otras webs donde te prometan las versiones premium de los mismos de manera gratuita.
10. Si utilizas el plugin ContactForm7, agregale la integración con CAPTCHA
11. Proteger la carpeta wp-admin, el archivo wp-login.php y el archivo wp-config.php (para esto te recomiendo seguir las directivas que se explican en un muy buen webinar gratuito sobre Seguridad en WordPress de Webempresa. En los enlaces ves cada una de las explicaciones.)
12. Mantener oculta la versión de WordPress y no permitir el listado de directorios (para esto te recomiendo seguir las directivas que se explican en un muy buen webinar gratuito de Webempresa. En los enlaces ves cada una de las explicaciones.)
13. Crear archivo robots.txt, sitemap.xml e integrar en Google Search Console
14. Chequea la web en la página wpdoctor.es para corregir las vulnerabilidades
15. Consulta con tu hosting si tienen alguna opción superior que te ayude con el tema Seguridad. Ejemplo SiteLock (funciona a nivel de dominio y según sus diferentes versiones chequea periódicamente tu web en busca de malware, lo más importante con solo apretar un botón ellos se ocupan de eliminar el malware que pudo quedar o no pudiste eliminar!)
16. El punto más importante!! Backup!!!, create backups de tu web limpia!! creeme que lo vas a agradecer!!! En general los hosting realizan backups periódicos pero vos tené la constancia de crearlos también.
17. El plugin de Security Scanner te estará enviando a tu correo vulnerabilidades que encuentre con ciertos plugins, solo te avisa, no las soluciona.
Si quieres un sitio web que funcione y crezca, debes invertir en él: tiempo y dinero por mínimo que sea. El que tu sitio esté limpio y sea considerado seguro por Google te va a permitir posicionar mejor en las búsquedas, evitar penalizaciones que te pueden terminar sacando de los resultados de búsqueda y espantar a usuarios que pudieran entrar a tu sitio y al ver el cartel de «Este sitio no es seguro» decidan no entrar y seguramente no volver a buscarte nuevamente. EL tema de la seguridad es aún más importante en sitios de comercio electrónico donde realizas una compra.
[bctt tweet=»Un sitio limpio será considerado seguro por Google y te va a permitir posicionar mejor en las búsquedas» username=»mariavirginia»]
Más información:
Herramienta WPdoctor
Ayuda de Google para sitios hackeados
Blog de de Webempresa Seguridad para WordPress
Seguridad en WordPress – Recomendaciones
WordPress es muy bueno pero si no está bien configurado es un peligro! Aquí algunas consideraciones a tener en cuenta:
1. Partimos de la base de que estás pagando un hosting (tenés acceso completo)
2. Contraseñas seguras! con passwords que incluyan simbolos, números y letras minúsculas y mayúsculas. Trata de que sea un password con 12 caracteres por lo menos. Por favor nada de «1234»
3. En la instalación de WordPress no utilizar un usuario Admin, ponerle otro nombre!
4. Si alguien no es administrador del sitio NO necesita un usuario Administrador!
5. Mantener actualizados la versión de WordPress, el tema y los plugins en sus últimas versiones.
6. En lo posible trata de comprar un tema en un sitio confiable (ej. themeforest) o utiliza uno gratuito que bajes de WordPress (fijate que esté actualizado recientemente o que tenga varias versiones anteriores, para asegurarte que sus autores se preocupan por su actualización)
7. Eliminar los temas que no utilices! (por defecto WordPress instala 3 temas, si no los usas, BORRALOS!)
8. Todo plugin que no utilices, BORRALO!
9. Plugins recomendados para seguridad (los más importantes Wordfense, Are you a Robot?, Move Login, Security Plugin Scanner). Bajalos de WordPress! no los bajes de otras webs donde te prometan las versiones premium de los mismos de manera gratuita.
10. Si utilizas el plugin ContactForm7, agregale la integración con CAPTCHA
11. Proteger la carpeta wp-admin, el archivo wp-login.php y el archivo wp-config.php (para esto te recomiendo seguir las directivas que se explican en un muy buen webinar gratuito sobre Seguridad en WordPress de Webempresa. En los enlaces ves cada una de las explicaciones.)
12. Mantener oculta la versión de WordPress y no permitir el listado de directorios (para esto te recomiendo seguir las directivas que se explican en un muy buen webinar gratuito de Webempresa. En los enlaces ves cada una de las explicaciones.)
13. Crear archivo robots.txt, sitemap.xml e integrar en Google Search Console
14. Chequea la web en la página wpdoctor.es para corregir las vulnerabilidades
15. Consulta con tu hosting si tienen alguna opción superior que te ayude con el tema Seguridad. Ejemplo SiteLock (funciona a nivel de dominio y según sus diferentes versiones chequea periódicamente tu web en busca de malware, lo más importante con solo apretar un botón ellos se ocupan de eliminar el malware que pudo quedar o no pudiste eliminar!)
16. El punto más importante!! Backup!!!, create backups de tu web limpia!! creeme que lo vas a agradecer!!! En general los hosting realizan backups periódicos pero vos tené la constancia de crearlos también.
17. El plugin de Security Scanner te estará enviando a tu correo vulnerabilidades que encuentre con ciertos plugins, solo te avisa, no las soluciona.
Conclusión
[bctt tweet=»Si quieres un sitio web que funcione y crezca, debes invertir en él: tiempo y dinero » username=»mariavirginia»]
Si quieres un sitio web que funcione y crezca, debes invertir en él: tiempo y dinero por mínimo que sea. El que tu sitio esté limpio y sea considerado seguro por Google te va a permitir posicionar mejor en las búsquedas, evitar penalizaciones que te pueden terminar sacando de los resultados de búsqueda y espantar a usuarios que pudieran entrar a tu sitio y al ver el cartel de «Este sitio no es seguro» decidan no entrar y seguramente no volver a buscarte nuevamente. EL tema de la seguridad es aún más importante en sitios de comercio electrónico donde realizas una compra.
[bctt tweet=»Un sitio limpio será considerado seguro por Google y te va a permitir posicionar mejor en las búsquedas» username=»mariavirginia»]
Más información:
Herramienta WPdoctor
Ayuda de Google para sitios hackeados
Blog de de Webempresa Seguridad para WordPress