WordPress, como todo gestor de contenidos CMS, está constituido por dos partes principales. La parte o sección que visualiza el público que visita la página web y la parte a la que solo acceden los administradores.
A este sitio restringido de WordPress se denomina backend y es el centro neural del CMS. Como tal, los ciberataques se dirigen especialmente a esta área, incluso por medio de ataques automáticos.
Por esto, para proteger el backend de WordPress debes aplicar ciertas configuraciones imprescindibles en el directorio del administrador.
¿Qué es el backend? Y…¿el frontend?
Todo desarrollo web está constituido por el backend y el frontend. Los dos son importantes y deben complementarse, tanto para que sea amigable y agradable como para que se ejecuten correctamente todas sus funciones de la página de internet.
El backend es la parte del programa informático de una página web o de una aplicación que se encarga del proceso interno que debe ejecutarse para que dicha web funcione de forma correcta.
La diferencia entre backend y frontend es que el primero es la parte del software que se crea o modifica para ajustar las funcionalidades internas de una aplicación web y poder entregar una información correcta a la interfaz. Mientras que el frontend es la parte del software que se encarga del diseño visual de la página web.
Es decir, el frontend está constituido por los códigos que hacen funcionar correctamente todo lo que visualiza el usuario. Por ejemplo, el fondo, los colores, los efectos, la estructura y estilo.
Qué es el backend en WordPress
El backend en WordPress también se conoce con el nombre de área de administración o wp-admin. Aunque cuando ingresas al wp-admin, WordPress te redirige al archivo wp-login.php, y desde allí es que puedes acceder a los paneles de configuración.
Así que, el desarrollo del backend es la zona en la que se configura la página, se ejecutan las actualizaciones, se instalan plugins, se configura la estructura de la web y se inserta el contenido que se desea publicar.
Aunque la estructura del backend de WordPress depende de los temas y los plugins que se hayan instalado, generalmente está compuesto por las siguientes áreas de configuración:
- Escritorio. Esta sección muestra un resumen de los cambios y acciones realizadas recientemente. También permite hacer un borrador rápido para una nueva entrada.
- Panel para la configuración de:
- Las actualizaciones.
- Las entradas de contenido.
- Los medios de información multimedia.
- Las páginas de la web.
- La administración de los comentarios.
- La instalación de plugins.
- El cambio de apariencia, temas, widgets, etc.
- La administración de los usuarios con autorización a ingresar como administrador.
- Los ajustes básicos, como la hora, el idioma, la zona horaria, la fecha, la dirección web.
- Las herramientas para la importación o exportación de contenido en caso de migración.
Como ves, el área de administración de WordPress es un punto clave que debe ser protegido. El que acceda a la administración puede modificar, eliminar o añadir cualquier contenido o estructura que desee.
Cuando un ciberdelincuente ingresa al wp-admin puede insertar códigos ocultos para fines que pueden afectar la integridad de tu página, la de tu persona o empresa. Por ejemplo, enviar correos a través de tu web, redirigir tu web hacia otra página, etc.
Cómo proteger el backend de tu WordPress
Por suerte puedes aplicar algunas tácticas para que el acceso al área de administración de tu WordPress se le dificulte a los no autorizados:
Emplea contraseñas seguras
Puede parecer obvio, pero a veces se pasa por alto y empleamos contraseñas sencillas que son calculadas rápidamente por softwares robots.
Las claves o contraseñas seguras deben contener, como mínimo, 16 caracteres entre números, letras mayúsculas y minúsculas y algunos caracteres especiales como el guión (-), el punto (.) o el signo igual (=).
Modifica el usuario por defecto
Por defecto WordPress establece “admin” como nombre de usuario. Así que, además de emplear una contraseña segura, a la hora de instalar el CMS debes ingresar un usuario diferente.
Si has dejado el usuario como “admin” será imposible cambiarlo. Pero puedes crear un usuario nuevo con todos los atributos del administrador, realizar la transferencia de todos los contenidos y, finalmente, eliminar el “admin”.
Cambia la URL para iniciar sesión
Una de las prácticas principales para proteger el backend de WordPress es modificar la URL que da acceso al panel de configuración, es decir, cambiar la /wp-admin o la /wp-login.phppor una URL más personalizada y complicada.
Para efectuar este cambio es recomendable instalar el plugins WPS Hide Login. Te permitirá cambiar fácilmente la URL del inicio de sesión.
Limita el acceso a la administración
Puedes limitar el acceso a la administración de diversas formas:
- Permite el acceso a IPs específicas. Ingresa la IP que utilizas para conectar tu equipo y, en caso de existir, la IP que utiliza el otro u otros administradores.
- Limita el número de accesos a la administración de WordPress y establece el máximo de intentos fallidos/usuario, mediante la instalación de plugins como WP limit login.
- Revisa los permisos otorgados para iniciar sesión. Elimina los usuarios que ya no necesitan el acceso a la web y restringe el acceso a los usuarios que solo crean entradas, impidiéndoles acceder al área de administrador.
Elige un servicio de hosting seguro
Para la creación de tu página web siempre debes contratar el servicio de hosting. Cerciórate que dicho servicio cuente con medidas de seguridad para proteger el backend de WordPress.
Muchas de las medidas de protección que te ofrece el hosting te ahorrarán el trabajo de instalación de diversos plugins.
Nunca está demás realizar y mantener una copia de seguridad reciente de tu web de WordPress. Ante cualquier problema solo deberás restaurar la copia y te ahorrarás horas de complicaciones. También te sirve si deseas cambiar de alojamiento.
¿Necesitas asesoría para la protección de tu página web? ¿O necesitas un plugins de WordPress con nuevas funcionalidades? Contáctame y te ayudaré a crear la página web o tienda online que tienes en mente.