Una de las precauciones a tomar a la hora de proteger el acceso a nuestro panel de administración de WordPress es usar contraseñas fuertes.
Así es una contraseña fuerte para WordPress
Podríamos decir que una contraseña fuerte es una contraseña de al menos 24 caracteres que incluye mayúsculas, minúsculas, números y símbolos.
Y, si puede incluir la letra «Ñ» y alguna coma o punto y coma, mejor (eso dificulta la faena un poquito más a los ciberdelincuentes).
No uses palabras reales, nombres o fechas señaladas para tus contraseñas. Cuanto más random sean las contraseñas que uses, mayor seguridad.
Y no uses la misma contraseña en varios sitios. Acostúmbrate a usar siempre contraseñas únicas.
Seguramente, ahora mismo estás pensando en lo complicado que es crear una contraseña con estas características y encima tener que recordarla después, ¿verdad?
Pues no te preocupes por eso… 👇🏼
Cómo generar una contraseña fuerte para WordPress
El propio WordPress cuenta con un generador de contraseñas y también con un medidor de fuerza de contraseñas que te ayudará a crear contraseñas seguras.
Es más, existen unos programitas llamados «gestores de contraseñas» que hacen eso mismo y, además, recuerdan las contraseñas por ti.
Así que, como ves, no necesitas tener una mente especialmente creativa para generar contraseñas seguras ni tener una memoria de elefante para recordarlas después.
Un gestor de contraseñas seguro y de código abierto que puedo recomendarte es Bitwarden. Su versión gratuita es suficiente en la mayoría de casos.
Existen muchos programas de este tipo, pero asegúrate de usar alguno que sea confiable. Piensa que TODAS tus contraseñas van a estar ahí.
Si usas un gestor de contraseñas, solo tendrás que recordar una contraseña: la contraseña maestra de tu gestor de contraseñas (para poder acceder a todas las demás en cualquier momento, desde cualquier dispositivo y desde cualquier lugar).
Y si sigues sin confiar en tu memoria, siempre puedes escribir esa contraseña maestra en un papel, como en los viejos tiempos, y guardarla en un sitio físico (o guardarla en un espacio virtual seguro), al que solo puedas acceder tú, por si la olvidas.
Ya sabes lo que dice la sabiduría popular: más vale lápiz corto que memoria larga.
💡 Recomendación: obliga a cualquier usuario que pueda acceder a tu panel de WordPress (especialmente si tiene permisos de administrador) a usar una contraseña fuerte, ya que la contraseña insegura de un solo usuario puede poner en riesgo el sitio entero.
(Y eso incluye también a los clientes que crean una cuenta en tu web a la hora de comprar…)
Refuerzos de una contraseña fuerte para WordPress
Sí, el primer paso es elegir una contraseña fuerte, pero de nada sirve elegir una contraseña fuerte si luego no la cuidamos bien, ¿verdad?
Así que vamos a ver cómo se hace eso.
Habilita el 2FA
Para evitar problemas en el caso de que, por algún tipo de vulnerabilidad o error humano, nuestra contraseña se viera comprometida, es más que recomendable tener activado un doble factor de autenticación (2FA).
Así, incluso en el caso de que alguien pudiera acceder a tu contraseña, siempre tendría que poner un segundo código (que se recibiría en tu número de móvil, en tu correo electrónico o en alguna app de autenticación) para poder hacer efectivo el acceso al sitio.
Una buena herramienta para gestionar el 2FA es la app de Latch, ya que, incluso si tu móvil se estropea o se te extravía, siempre podrás seguir accediendo a tus códigos desde la web o desde otro dispositivo con tu cuenta de Latch (cosa que no es posible con la mayoría de apps de autenticación).
Otra opción, si no usas Latch u otra app que te permita acceder a tus códigos incluso si pierdes el acceso a tu dispositivo, es implementar el 2FA desde más de un dispositivo, por si las moscas.
Para habilitar el 2FA en WordPress, además de definir cómo y dónde recibir tu código, como acabamos de ver, necesitarás tener instalado un plugin en tu web.
Los plugins de seguridad más grandes y conocidos (tipo iThemes Security) ya incluyen esta opción, pero también puedes implementarla de forma más específica y ligera con otro tipo de plugins como, por ejemplo, Two Factor Authentication .
No guardes las contraseñas en navegadores
La mayoría de las veces, los navegadores te dan la opción de guardar tus credenciales para no tener que recordarlas la próxima vez que intentes acceder a un sitio, pero no siempre las guardan encriptadas.
Muchas veces, esas credenciales son guardadas en texto plano y es muy fácil que cualquier persona que no seas tú pueda acceder a ellas.
⚠️ Y más cuidado todavía con guardar tus credenciales de acceso, por error, en el navegador de cualquier dispositivo que no sea tuyo. Es un error bastante habitual y que se puede pagar muy caro.
Evita iniciar sesión en dispositivos ajenos
Iniciar sesión desde un dispositivo ajeno es peligroso, porque no sabes cómo está configurado su sistema ni si está realmente limpio (puede incluir malware o tener algún tipo de seguimiento activado).
Si alguna vez, te ves en la obligación de hacerlo, utiliza siempre una sesión privada o en modo incógnito, para que no queden guardadas las credenciales, ni las cookies ni el historial de navegación.
Y no olvides cerrar la sesión antes irte.
Evita iniciar sesión desde redes públicas
Iniciar sesión usando la conexión a Internet de una red pública o de una red que tú no controlas (hoteles, aeropuertos, cafeterías, etc.), pone en riesgo muy alto la seguridad de tus credenciales.
No sabes cómo está configurada la seguridad de este tipo de redes, ni con quién compartes conexión (e información) al conectarte a ellas.
Evita hacerlo y, si alguna vez te ves en la obligación de hacerlo, utiliza siempre una VPN (o Red Privada Virtual) y no olvides cerrar sesión al acabar.
Nord VPN es una muy buena opción (si te das de alta desde el enlace, te regalarán de 1 a 3 meses, dependiendo del plan que elijas, por ir de mi parte, y a mí también).
Llevo años usando este servicio y es el que mejor relación calidad/precio me ha ofrecido hasta la fecha. El soporte responde y no hace que tu conexión a internet vaya a pedales como sí hacen otros servicios de este tipo.
(También te da la opción de contratar un mes solo, y ofrece garantía de devolución de 30 días, lo cual te puede hacer el apaño si sólo necesitas usarla en un viaje o algo así.)
Otra opción para un uso esporádico, podría ser la versión gratuita de Proton VPN (aunque va bastante más lenta…).
¡Ah! Y no olvides que también tienes siempre la opción de conectar tu ordenador a la conexión de datos de tu dispositivo móvil.
Cambia frecuentemente la contraseña
Cambiar la contraseña cada cierto tiempo (al menos una vez cada 3 meses), reducirá el riesgo de vulnerabilidad de una contraseña que puede haberse visto comprometida.
Cumplir esto es especialmente importante si has usado tu contraseña en algún dispositivo ajeno o en alguna red pública.
Si lo has hecho, cámbiala ya mismo.
¿Quieres tener una web WordPress más segura?
⬇️
📩 Suscríbete a la news de Guardianes WP
🛡️ Reduce las posibilidades de éxito de los ciberdelincuentes. ⚔️
Recibirás un correo, cada día de lunes a viernes y que leerás en menos de un minuto, con consejos, análisis de herramientas y casos prácticos que te ayudarán a mejorar la seguridad de tu web.
(*) Información sobre protección de datos
Responsable: Teresa Sáez Cuenca. Finalidad: Unirte a la lista de correo de Guardianes WP. Legitimación: Consentimiento informado del interesado. Destinatario: Tus datos se guardan en mi web, alojada en Raiola Networks (España) y en Active Campaign, mi servicio de email marketing. Derechos: En cualquier momento puedes ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos, así como el derecho a presentar una reclamación ante una autoridad de control.