¿Estás pensando en crear un blog pero no sabes en qué plataforma hacerlo? Entonces WordPress será tu mejor elección. Y es que ni que decir tiene que WordPress es por excelencia a fecha de hoy uno de los gestores de contenidos dinámicos más utilizado a nivel mundial, llegando a tener una cuota del 35% en España y del 40% a nivel mundial. Crear un blog WordPress para tu proyecto web que sea seguro y rápido deberá ser tu objetivo para triunfar.
Hay millones de sitios web que trabajan con WordPress, posiblemente muchos están enfocados al mismo tipo de público y casi con los mismos temas recurrentes, por lo que además de crear tu blog también tienes que diferenciarte del resto construyendo un blog WordPress que crezca sano y fuerte y te permita alcanzar el éxito cada día conquistando nuevos lectores y fidelizando clientes. ¡Gracias a este gestor podrás personalizar tu blog a tu gusto!
Si diseccionamos una instalación de WordPress para determinar los elementos críticos, estos serian los puntos que tienes que tener en cuenta:
- Usa WordPress.org, el núcleo (core) que mueve el resto de elementos asociados.
- Instala plugins de respaldo de datos (copias de seguridad) a ser posible automatizadas.
- Instala plugins de seguridad adicionales para complementar las medidas del servidor.
- Escoge un buen Tema, que se adapte 100% a todos los dispositivos.
- Considera otros plugins fundamentales que deberán figurar en cualquier instalación.
- Realiza ajustes en .htaccess y wp-config.php
- Configura los parámetros de WordPress básicos.
- Mejora la carga y velocidad de la web.
- Crea y envía el sitemap a los buscadores.
- Configura Google Analytics.
- Verifica la carga desde PageSpeed Insights y Pingdom.
- Haz una revisión completa de la web con un análisis gratuito en WpDoctor.es
El CMS
WordPress es uno de los gestores más seguros que hay, ya que han sido muy pocas las ocasiones en las que se ha visto el núcleo de este CMS afectado por vulnerabilidades graves en este año. Eso sí, si los plugins están mal construidos o desactualizados, los Temas y el núcleo (core) de WordPress desactualizado, pueden llevar una instalación estable de WordPress a convertirse en un problema para su propia seguridad y en algunos casos la del servidor donde se aloje la cuenta de Hosting.
Por lo tanto, estadísticamente hablando se puede afirmar que el 1% de los problemas de seguridad proceden del core de WordPress y el 99% restante son fruto de la conjunción de circunstancias causadas por temas o plugins vulnerables o infectados por lo que se puede atribuir este 99% directamente al usuario y al abandono de tareas de mantenimiento, actualización y fortificación del sitio web.
Las copias de seguridad
Aunque no te lo creas son tu Ángel de la guarda, y sirven para que ante situaciones irreversibles puedas dar marcha atrás y restaurar una copia de seguridad disponible y así recuperar el estado de operatividad que tenias en WordPress antes del problema o incidente.
Hay muchos plugins que te permiten hacerlas de forma rápida y bastante sencilla, incluso desatendida, enviándolas a la nube de Drive, Dropbox, Amazon, etc., como por ejemplo:
- XCloner – Backup and Restore
- Dropbox Backup & Restore
- blogVault Real-time Backup
- UpdraftPlus Backup and Restoration
- BackWPup Free – WordPress Backup Plugin
- WordPress Backup to Dropbox
- BackWPup Free – WordPress Backup Plugin
Con esta breve lista de plugins bastante potentes para realizar backups, si eres de los que todavía no tienen un plan de copias de seguridad, ya sean manuales o mejor aún automatizadas de tu Blog WordPress es que ¡algo estás haciendo mal!
Vigila tus instalaciones
Si estas alojado en Fort Knox entonces puedes pasar al siguiente punto de la lista ya que posiblemente la seguridad no sea un factor que deba preocuparte, pero como seguramente no será así, tendrás que prestar atención de forma activa y pasiva a la seguridad de tus instalaciones de WordPress.
¿Por qué hay que hacer esto? pues muy sencillo, porque la seguridad absoluta no existe y siempre hay vectores que pueden ser el principio de una brecha de seguridad, hasta en los mejores servidores y tampoco es bueno descansar el 100% de la seguridad en manos de tu proveedor de alojamiento web.
Tu responsabilidad en este sentido pasa por observar estos puntos:
- Mantener el CMS WordPress siempre actualizado a versiones estables.
- Verificar que tus plugins y temas están actualizados.
- Hacer copias de seguridad, si es posible de forma automática y diaria.
- Evitar acceder a tu Hosting y CMS desde conexiones públicas o expuestas.
- Utilizar un llavero de seguridad para almacenar datos de acceso (Lastpass).
- No facilitar nunca los datos de acceso de tus instalaciones a terceros. (1)
- Probar actualizaciones de plugins y temas o del core siempre primero en una sandbox.
(1) Aplicaciones gratuitas de navegador y para dispositivos (de pago) como LastPass te permiten compartir accesos al dashboard de WordPress, FTP y otros servicios de tu Hosting sin que la contraseña sea visible y/o modificable.
Con estos sencillos consejos conseguirás mantener cualquier instalación de WordPress más segura y estable frente ante cualquier incidencia que pueda surgir y de paso dejarás que el servicio de Hosting haga su parte aplicando reglas de seguridad (mod_security), IDS, etc.
Elige bien tu Tema
Sin duda es la piel que tu WordPress vestirá y es como comprarse unos buenos pantalones, un vestido o aquella camisa que tanto te llama la atención cuando pasas por el escaparate de tu calle.
Una elección precipitada, sin análisis previo de necesidades, que cubra todos los puntos que vas a tratar en tu Blog o web comercial, pueden provocar que el resultado sea pobre, y posiblemente poco fluido, lo que afectará directamente a la experiencia del usuario cuando navegue por tu web.
Si le dedicas tiempo a la elección del tema para tu blog conseguirás más visitas y usuarios fieles. Puntos que debes tener en cuenta para que tu tema triunfe:
- Que sea 100% responsive, es decir, que se visualice siempre bien desde ordenadores y dispositivos móviles.
- Con o sin framework, pero que permita un alto grado de personalización sin tocar código.
- Si es posible que incluya un constructor tipo Visual Composer, Divi, o cualquier otro.
- Que esté respaldado por un desarrollador o empresa que te de soporte.
- Que tenga ciclos de actualizaciones constantes en el tiempo.
- Compatible siempre con la versión actual de WordPress. (Evita la obsolescencia).
- Y la más importante, ¡qué te guste y te haga sentir como en casa!
El tema que elijas, gratuito o comercial, debe representar la esencia del proyecto que lo va a integrar y hacerte sentir feliz de trabajar con él cada día, sin dar lugar a que se convierta en un devorador de tiempo con resultados pobres.
Algunos plugins que no deberán faltar en tu web
Seguro que ya habrás leído mucho al respecto, ya sean listas, consejos, recomendaciones de qué plugins deberás utilizar… A fin de cuentas son los que le dan un poco de alegría y variedad a cualquier WordPress que se precie.
Por otro lado, está el tema de no abusar del uso de plugins, algo que levanta polémica y mucha pasión allá donde se trate, pero que tiene mucho que ver con la optimización y el uso de plugins estables y bien programados más que con la cantidad, ya que es posible tener tanto una instalación con apenas 6 plugins funcionando, con pésimos tiempos de carga y muchos conflictos, como tener también una instalación con 60 plugins instalados y bien optimizados, con unos tiempos de carga excelentes.
Para hacer una correcta elección depende mucho de la función de tu web y , por supuesto, también del tiempo de carga. Algunos plugins que deberías tener en tu lista son:
- XCloner, UpdraftPlus o BackWPup. Cualquiera que te permita hacer copias de seguridad.
- Akismet para frenar el spam en los comentarios nativos de WordPress.
- Sandbox, las pruebas siempre mejor en una caja de arena primero.
- All In One SEO Pack o Yoast SEO, pero que no falte un control del SEO on-page en tu web.
- WP-Optimize. Optimizaciones de la base de datos, pingbacks, trackbacks y comentarios spam.
- Broken Link Checker para evitar enlaces rotos.
- Contact Form 7 para tus formularios de contactos y otros.
- Latch para salvaguardar el acceso del dahsboard y controlarlo desde tu móvil.
- WPML (comercial) o qTranslate X (gratuito) para gestionar sitios multiidiomas.
- Redirection para gestionar redirecciones 301 de forma correcta.
- Sossy – Social Profile for WordPress para mostrar tus redes sociales y seguidores.
- Vcgs Toolbox. Destaca elementos de tus post para socializarlos.
- WP Super Cache o W3 Total Cache no deberá faltar para acelerar la carga de WordPress.
Son apenas una pincelada para que te hagas una idea de que plugins deberás considerar en tus instalaciones de WordPress, teniendo en cuenta que no todos son necesarios pero algunos de ellos si son muy recomendados.
No obstante, ¡la decisión siempre es tuya! lee para estar al día y prueba en un entorno seguro cualquier plugin (sandbox) antes de ponerlo en la web real.
Ajusta .htaccess y wp-config.php
Un archivo .htaccess correcto es garantía de funcionamiento y además te va a permitir añadir determinados códigos de optimización del sitio WordPress, como son las cabeceras para minimizar riesgos de ataques al sitio, o definir la codificación UTF-8 para la mayoría de sitios web, sin olvidar que en este archivo y, siempre al principio del mismo, es donde añadiremos cualquier código 301 que necesitemos para reconducir dominios y urls.
Un ejemplo de como deberá ser el archivo .htaccess básico de cualquier instalación es:
# BEGIN WordPress RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] # END WordPress
A partir de este ejemplo podemos llegar a generar un .htaccess más completo y complejo en función de las necesidades de la instalación:
RewriteEngine On RewriteCond %{HTTP_HOST} ^dominio\.net$ [OR] RewriteCond %{HTTP_HOST} ^www\.dominio\.net$ RewriteRule ^(.*)$ "http\:\/\/dominio\.com\/$1" [R=301,L] RewriteCond %{HTTP_HOST} ^www\.dominio\.com$ RewriteRule ^(.*)$ "http\:\/\/dominio\.com\/$1" [R=301,L] ## Cabecera X-Frame-Options para mejorar la seguridad Header always append X-Frame-Options SAMEORIGIN # Indicamos al navegador que intente cargar la versión HTTPS primero Header add Strict-Transport-Security "max-age=157680000" ## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome Header set X-XSS-Protection "1; mode=block" ## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos Header set X-Content-Type-Options "nosniff" # Desactivar la firma del servidor Header set ServerSignature "Off" Header set ServerTokens "Prod" # Políticas de control de dominios cruzados Header set X-Permitted-Cross-Domain-Policies "master-only" # Cabecera Content-Security-Policy Header set X-Content-Security-Policy "allow 'self';" ## Caracteres UTF-8 Header set Content-Type "text/html; charset=UTF-8" ## Expirar cache navegador <filesmatch "\.(jpg|JPG|gif|GIF|png|PNG|css|js)$"> ExpiresActive on ExpiresDefault "access plus 30 day" ## Habilitar compresion para WordPress AddOutputFilterByType DEFLATE text/plain AddOutputFilterByType DEFLATE text/html AddOutputFilterByType DEFLATE text/xml AddOutputFilterByType DEFLATE text/css AddOutputFilterByType DEFLATE text/javascript AddOutputFilterByType DEFLATE application/xml AddOutputFilterByType DEFLATE application/xhtml+xml AddOutputFilterByType DEFLATE application/rss+xml AddOutputFilterByType DEFLATE application/atom_xml AddOutputFilterByType DEFLATE application/javascript AddOutputFilterByType DEFLATE application/x-javascript AddOutputFilterByType DEFLATE application/x-shockwave-flash AddOutputFilterByType DEFLATE image/svg+xml .svg .svgz <filesmatch "\\.(ico|jpe?g|png|gif|swf)$"> Header set Cache-Control "max-age=2592000, public" <filesmatch "\\.(css)$"> Header set Cache-Control "max-age=604800, public" <filesmatch "\\.(js)$"> Header set Cache-Control "max-age=216000, private" <filesmatch "\\.(x?html?|php)$"> Header set Cache-Control "max-age=600, private, must-revalidate" ## Bloqueamos el acceso al archivo .htaccess order allow,deny deny from all ## Bloqueamos el acceso al archivo wp-config.php order allow,deny deny from all Options +FollowSymlinks # BEGIN WordPress RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] # END WordPress ## Protección de /wp-admin con un formulario de login adicional. ErrorDocument 401 default AuthUserFile /home/cuenta/.htpasswds/.htpasswd_cuenta AuthName "Acceso restringido" AuthType Basic Require valid-user
Al final se trata de evitar posibles fugas de información que pasivamente se puedan producir desde archivos como .htaccess o wp-config.php ,pues si bien no contienen directamente información que comprometa el sitio web, pueden ayudar en parte a obtener datos que podrán utilizarse dentro de ataques a la base de datos u otros servicios.
Configuraciones básicas en WordPress
Una vez que has instalado WordPress, mientras aún estás en fase de desarrollo de tu proyecto web, que es justamente cuando tu lista de tareas es más extensa, tienes que buscar unos minutos para realizar los ajustes necesarios y correctos en WordPress de forma que luego no arrastres errores.
Algunos de estos ajustes deberán ser:
- Comprueba que tu archivo .htaccess tiene el código mínimo recomendado y que no está vacío.
- Verifica que existe el archivo robots.txt y que permites a Googlebot y otros bots como Yandex, etc., el rastreo.
- Gestiona tus sitemaps y envíalos a los motores de búsqueda.
- Crea un favicon para que se muestre en los navegadores.
- Evita el contenido duplicado, redirecciona tu dominio.com a www.dominio.com (o a la inversa).
- Configura bien tu perfil de usuario, activa tus redes sociales.
- Cambia el usuario ‘admin’ por algo menos previsible.
- Configura la zona horaria de tu Blog para que no te fallen los post programados.
- Protégete contra el Spam desde el minuto cero, usa Akismet.
- Utiliza NO CAPTCHA reCAPTCHA en todos tus formularios.
- Activa Google Analytics y empieza a contabilizar.
- Si vives en la UE o USA, activa la Política de Cookies.
- El SEO on-page es la esencia de lo que publicas para los bots ¡hazlo bien!
- Programa un plugin de copias de seguridad automáticas.
- Hola Mundo es un bonito saludo, pero nada más. Debes eliminarlo.
- Deshazte de todos los datos de ejemplo que no necesites antes de pasar tu blog a producción.
- Programa el vaciado de la papelera con define( ‘EMPTY_TRASH_DAYS’, 30 ); en wp-config.php
- Lleva un buen control de los archivos estáticos de tu blog cacheandolos.
- Organiza bien desde el principio tus Menús y Categorías.
- Establece Nombre de entrada en tus Enlaces permanentes.
La lista podrá ser mucho más extensa pero considero que los puntos recogidos son los que más por alto suelen pasar muchos usuarios, principalmente quienes se inician en WordPress y no está de más que sirva de recordatorio para los usuarios avanzados y como check-list para quienes comienzan sus proyectos con WordPress.
Acelera la carga de WordPress
Este es uno de los puntos que más debes considerar para que tu web consiga puntuar bien en PageSpeed Insights (Google) o en Pingdom y los tiempos de carga sean mínimos.
Piensa que cada vez más y más usuarios se conectan a Internet desde sus dispositivos móviles y casi siempre con planes de datos limitados, lo que les lleva a valorar y mucho el tiempo que tu web tarde en cargar en sus navegadores móviles.
Si el Hosting que aloja tu WordPress usa Discos SSD en sus servidores, ya tienes un punto ganado para mejorar la velocidad de carga.
Hay dos plugins principales que ya se han nombrado antes, y que uno de ellos (no ambos) tendrá que ser el que adoptes para que sea el responsable de acelerar la carga de tu blog o tienda con WooCommerce en WordPress:
Un tercero que también podrás evaluar es ZenCache, que bien recomienda Victor Campuzano y que también utiliza en su sitio web vcgs.net con muy buenos resultados a juzgar por los tiempos que Pingdom devuelve.
Configurar un plugin para acelerar la carga de tu blog WordPress es una tarea que debes realizar sin miedo, siempre y cuando tomes las debidas precauciones, como hacer una copia de seguridad antes.
Otros aspectos como activar y configurar Google Analytics y generar un sitemap de tu web, tanto versión escritorio como versión móvil, forman parte de la estrategia de desarrollo de tu proyecto web con WordPress para que luego solo tengas que preocuparte de recibir visitas, gestionar comentarios, seguir publicando buenos contenidos y cómo no, ¡qué enamoren a tu audiencia!
Visitas regulares al Doctor
Hemos dejado este punto para el final para que no lo olvides fácilmente. Seguro que esta frase ya la habrás escuchado muchas veces, ya sea de tu madre, tu esposa, tu hija o incluso de tu jefe, que cuida de los intereses mutuos en la empresa «no dejes de visitar al doctor de forma regular, tu salud lo agradecerá» y, ¡qué razón tienen!
Es una tarea muy sencilla, ya que tan solo tienes que ir a wpDoctor.es desde tu navegador y poner la url de tu Blog o sitio web WordPress y de forma gratuita recibirás en pantalla un informe detallado del estado de salud de tu instalación.
wpDoctor.es analizará la Seguridad de tu web, información básica de WordPress, plugins instalados, SEO y velocidad de carga.
Es importante que le prestes atención a todos los apartados del análisis, puesto que el objetivo es que los puedas corregir siguiendo las indicaciones de las ayudas contextuales que cada punto analizado te ofrece.
De lo que se trata es de que dispongas de una herramienta de fácil acceso y uso, gratuita, que te sirva para tomarle el pulso a tu instalación y para conocer con detalle los puntos débiles con el fin de ponerles solución y con ello fortalezcas la salud de tu instalación.
Son muchos los aspectos que intervienen en la puesta en marcha de una web con el CMS más utilizado a nivel mundial, algunos de ellos los hemos revelado en este post, en cambio, otros aspectos los tendrás que ir descubriendo a medida que avances con tu web y la hagas crecer de forma segura y estable.
Y para ti, ¿cuáles son los aspectos más importantes para hacer de tu web WordPress un espacio de trabajo seguro, rápido y resistente?