5 cosas que decirles a sus clientes sobre la seguridad de WordPress

Publicado: 2021-02-05

Crear y asegurar un sitio web de WordPress es siempre un desafío. Los desarrolladores tienen mucho cuidado de escribir código sólido e implementar funciones como complementos de seguridad para mitigar los ataques inevitables.

Aun así, no estamos fuera de peligro. Parafraseando el viejo dicho: un sitio web es tan seguro como su eslabón más débil. Más allá de las posibles vulnerabilidades debidas al código, el eslabón más débil tiende a ser un usuario desinformado. Alguien que, sin culpa propia, hace una mala elección que deja vulnerable su sitio web.

Para usar otro cliché: la mejor defensa es un buen ataque. En este caso, significa ser proactivo cuando se trata de enseñar a los clientes las mejores prácticas de seguridad. Algunas cosas (como las contraseñas seguras) son universales, mientras que otras son más específicas de WordPress. Y ese es nuestro enfoque para hoy.

Dicho esto, repasemos cinco cosas que sus clientes deben saber sobre la seguridad de WordPress.

No instale un complemento de WordPress sin consultar a un profesional

Lo entendemos: la tentación de instalar complementos es real. Después de todo, están a solo unos clics de distancia.

Pero el riesgo también es real. Los complementos de WordPress varían mucho en términos de calidad y, por lo tanto, de seguridad. No es raro encontrar un complemento en el repositorio oficial que no se haya actualizado en un año o más. Tal vez sea inofensivo; tal vez no lo sea

Debido a esto, los diseñadores web deben alentar a los clientes a realizar una consulta rápida antes de instalar un complemento. Ofrezca echar un vistazo y revisar los detalles. Este único paso podría evitar un escenario de pesadilla con respecto a la seguridad y la estabilidad del sitio.

Hay varios beneficios. Primero, esto lo mantiene informado sobre lo que sucede con el sitio. Además, le permite orientar a los clientes en la dirección de complementos buenos y de buena reputación. Sin mencionar que esto entrena a los clientes a pensar antes de hacer clic. Eso beneficia a todos.

La pantalla de complementos de WordPress.

Cree nuevas cuentas de usuario, en lugar de compartir una sola

Muchas organizaciones tienen más de una persona que necesita acceso al panel de control de WordPress. Con demasiada frecuencia, esos usuarios comparten una sola cuenta.

En la superficie, esto puede parecer una simple cuestión de confianza. Y ciertamente hay un elemento de eso. Si un miembro del equipo deja la organización, existe la posibilidad de que siga teniendo acceso si no se ha cambiado la contraseña. Y una persona malintencionada podría causar algún daño.

La otra preocupación real aquí es sobre la seguridad del dispositivo. Si tiene, digamos, cinco personas que comparten una cuenta de administrador de WordPress, todo lo que se necesita es uno de sus dispositivos para ser explotado. Por ejemplo, un keylogger en la PC de un usuario podría comprometer la cuenta.

Por lo tanto, se recomienda que cada usuario tenga su propia cuenta. Esto es fácil de hacer dentro de WordPress, e incluso podemos crear roles de usuario personalizados que limitan lo que alguien puede y no puede hacer.

Un surtido de llaves.

Mantenga el núcleo, los complementos y los temas de WordPress actualizados

Idealmente, sus clientes contratarán con usted para manejar las actualizaciones de software. Pero si son ellos los que asumen la responsabilidad, es importante que traten el tema con mucha seriedad.

Como desarrollador, hay pocas cosas más irritantes que solucionar un sitio web comprometido, solo para iniciar sesión en WordPress y ver que hay varias versiones desactualizadas. Es como dejar la puerta principal de tu casa abierta las 24 horas del día, los 7 días de la semana. No debería sorprenderse demasiado cuando alguien entra y se lleva su elegante televisor nuevo.

No se puede subestimar la importancia de mantener actualizados el núcleo, los complementos y los temas de WordPress. Sabiendo que todavía puede estar más allá del nivel de comodidad de algunos clientes. Está bien. Pueden contratarlo para que se ocupe de ello o, al menos, habilitar las actualizaciones automáticas cuando sea posible.

Independientemente de cómo se implementen las actualizaciones, deben cuidarse. Si bien no garantizará la seguridad, es mucho mejor que la alternativa.

Una persona escribiendo en un teclado.

La autenticación de dos factores puede marcar una gran diferencia

Agregar autenticación de dos factores a WordPress es bastante simple. Pero solo vale la pena si las partes interesadas realmente lo usan.

Es cierto que no es muy conveniente. Tener que verificar un correo electrónico, un mensaje de texto o verificar una aplicación móvil para iniciar sesión puede ser una gran molestia. Pero este paso extra es vital. Pone una gran barrera entre un actor malicioso y el acceso al back-end de su sitio web.

Y la experiencia del usuario en realidad está mejorando. Algunas implementaciones ahora combinan el reconocimiento de dispositivos con 2FA. Esto significa que, siempre que se reconozca el dispositivo de un usuario, no será necesario verificar un inicio de sesión durante un período de tiempo específico.

Además, 2FA se ha convertido en estándar en muchos lugares. Algunas aplicaciones de banca en línea no le permitirán iniciar sesión sin ella. No hay ninguna razón por la que su sitio web no deba aprovechar esta tecnología también.

Lo que es seguro hoy puede no serlo mañana

Independientemente de la plataforma en la que se ejecute, un sitio web no es un asunto de una sola vez. Requiere atención frecuente (si no constante), con la seguridad jugando un papel importante.

La web está en constante evolución. La nueva tecnología envejece muy rápidamente. Y lo que alguna vez se pensó que era una mejor práctica de seguridad a veces puede demostrar lo contrario.

Por eso, la seguridad del sitio web es un desafío que realmente no tiene fin. Es una batalla diaria tanto para las organizaciones pequeñas como para las grandes.

El resultado es que los sitios web deben cambiar junto con los tiempos. Cuando se trata de WordPress, eso puede significar reemplazar complementos de seguridad más antiguos con algo mejor. O eliminar temas y complementos abandonados para mejorar las cosas. También podría requerir un cambio en los hosts o entornos de servidor.

Es importante comprender que el hecho de que haya invertido en seguridad hoy no significa que no tendrá que volver a hacerlo mañana.

Código en una pantalla de computadora.

Educar a los clientes hoy para un sitio web de WordPress más seguro

Nuestros clientes a menudo confían en nosotros para brindarles algunos conocimientos junto con un sitio web excelente. Y la seguridad puede ser el tema más importante sobre el que podemos educarlos.

Hacer un esfuerzo para hacerlo desde el principio puede generar dividendos a largo plazo. Es menos probable que un cliente que sabe cómo mantener seguro su sitio web de WordPress cometa uno de esos errores cruciales. Eso por sí solo puede ser la diferencia entre limpiar un sitio pirateado y navegar sin problemas.