HTML Help Sheet 02

Protege tu WordPress
Evita que tu activo digital se vea inmerso en un problema de seguridad.

Título: Protege tu WordPress
V.11.docx
Edición: 11
Página: 0 of: 50
Actualizado: Agosto 2017
Protege WordPress Creado por: Paul Benítez
Para: AdministrandoWP.com
Contenidos
1 INTRODUCCIÓN .............................................................................................................................. 2
1.1 ¿QUÉ ES LO QUE QUIERES EVITAR A TODA COSTA? ................................................................................ 3
1.2 ¿POR QUÉ ES IMPORTANTE LA SEGURIDAD DE TU WORDPRESS? ............................................................ 5
2 PROTEGE TU ACTIVO DIGITAL, PROTEGE TU WORDPRESS.......................................................... 5
2.1 APLICA EL SENTIDO COMÚN................................................................................................................ 5
2.2 CONTRATA UN HOSTING PREOCUPADO POR LA SEGURIDAD ................................................................... 6
2.3 ¿QUÉ OTROS PROVEEDORES DE HOSTING TE PUEDO RECOMENDAR? ...................................................... 8
2.3.1 Webempresa ............................................................................................................................ 8
2.3.2 FastComet ................................................................................................................................. 9
2.4 REALIZA COPIAS DE SEGURIDAD Y AUTOMATÍZALAS ............................................................................... 9
2.4.1 ¿Tienes un plan de copias de seguridad? ............................................................................. 9
2.4.2 ¿De qué tengo que hacer copias de seguridad? .................................................................. 9
2.4.3 ¿Cómo las hago y automatizo?............................................................................................. 10
2.4.4 ¿Alternativas? .......................................................................................................................... 10
2.4.5 ¿Qué pasa si tengo un problema y tengo que emplear mi copia de seguridad? ¿Cómo
lo hago? ................................................................................................................................................ 10
3 FORTALECE TU WORDPRESS. MEDIDAS PRÁCTICAS PARA IMPLEMENTAR HOY MISMO ........ 11
3.1 CAMBIA EL USUARIO ADMIN COMO ADMINISTRADOR POR DEFECTO ..................................................... 11
3.1.1 ¿Cómo, cuándo y dónde se cambia? ................................................................................... 11
3.1.2 ¿Cuántos intentos de acceso se realizan en www.administrandowp.com con el
usuario admin? ................................................................................................................................... 12
3.2 EMPLEA CONTRASEÑAS ROBUSTAS .................................................................................................... 14
3.2.1 Vale y ¿qué es una contraseña robusta? ............................................................................ 14
3.3 MODIFICA EL PREFIJO DE LAS TABLAS DE WORDPRESS “WP_” ............................................................... 15
3.3.1 ¿Cómo y dónde cambio el prefijo? ...................................................................................... 17
3.4 ACTIVA LAS CLAVES SECRETAS DE WORDPRESS ................................................................................... 18
3.4.1 ¿Cómo activo las claves secretas?........................................................................................ 18
3.5 ACTUALIZA TU WORDPRESS ............................................................................................................. 20
3.6 ¿CUÁNDO ACTUALIZO? .................................................................................................................... 21
3.7 ACTUALIZA TUS PLUGINS Y TEMAS ..................................................................................................... 22
3.8 EMPLEA UN PLUGIN DE SEGURIDAD ................................................................................................... 23
3.8.1 iThemes Security .................................................................................................................... 24
3.8.2 Wordfence............................................................................................................................... 25
3.8.3 AIO WP Security & Firewall Plugin ....................................................................................... 26
3.8.4 NinjaFirewall ........................................................................................................................... 27
3.9 EVITA EL SPAM CON EL PLUGIN AKISMET .......................................................................................... 28
3.9.1 ¿Cómo configuro Akismet para que me ayude con el SPAM? ......................................... 28
Protege tu WordPress V.11.docx www.administrandowp.com pág. 0 de 50

Documento: Protege tu
Protege tu WordPress WordPress V.11.docx
Edición: 11
Página: 1 of: 50
3.9.2 Ejemplo del trabajo que hace Akismet ............................................................................... 30

4 HERRAMIENTAS AVANZADAS A TU ALCANCE ............................................................................. 31
4.1 EL ARCHIVO .HTACCESS .................................................................................................................... 31
4.1.1 Las reglas de .htaccess para proteger WordPress de Jeff Starr ...................................... 32
4.1.2 6G Blacklist 2017 .................................................................................................................... 32
4.1.3 ¿Cómo localizo el archivo htaccess y cómo lo edito? ........................................................ 33
4.2 HTTPS EN TU WORDPRESS................................................................................................................ 36
5 MI WEB ESTÁ INFECTADA, ¿QUÉ PUEDO HACER? ...................................................................... 38

5.1 ¿QUÉ PASA SI TENGO MI WEB INFECTADA POR ALGÚN VIRUS, MALWARE O ME LA HAN HACKEADO? ......... 39
5.1.1 Cambia todas las contraseñas de inmediato ..................................................................... 39
5.1.2 ¿Es posible que tu ordenador tenga algún bichito? Verifícalo ......................................... 39
5.1.3 Tratar de determinar cuándo te han infectado la web .................................................... 39
5.1.4 A continuación, restaura una copia de seguridad de tu blog de tu blog anterior a la
infección .............................................................................................................................................. 39
5.1.5 Tras restaurar la copia, verifica que todo es correo ......................................................... 40
5.1.6 ¿Cómo puedes saber si la copia de seguridad está infectada? ....................................... 40
5.1.7 Lee y aplicar lo que explico en el tutorial ........................................................................... 40
5.1.8 Contratar un servicio especializado .................................................................................... 41
5.2 ¿QUÉ PROVEEDORES EXISTEN QUE TE AYUDAN A LIMPIAR TU BLOG O WEB? .......................................... 41
5.2.1 Sucuri.net ................................................................................................................................ 41
5.2.2 ¿Qué ofrece sucuri.net? ........................................................................................................ 42
5.2.3 HackRepair.com ..................................................................................................................... 43
5.2.4 Wordfence............................................................................................................................... 44
5.2.5 NinjaRecovery ......................................................................................................................... 45
6 LÍMITE DE RESPONSABILIDAD ..................................................................................................... 45
7 RECURSOS ..................................................................................................................................... 46
7.1 HOSTING ........................................................................................................................................ 46
7.2 LIBROS ........................................................................................................................................... 46
7.3 CURSOS .......................................................................................................................................... 46
7.3.1 Descuentos de los que te puedes beneficiar ..................................................................... 46
7.4 SERVICIOS ....................................................................................................................................... 47
8 CHECKLIST – PROTEGE TU WORDPRESS ..................................................................................... 48

Edición: 11
Página: 2 of: 50
1 Introducción
Este ebook está pensado para personas encargadas de administrar sitios web
hechos con WordPress como emprendedores digitales -normalmente
unipersonales-, dueños de un negocio online y diseñadores web.
Al descargarte este PDF interpreto que la seguridad de tu plataforma es una de

tus preocupaciones en este momento por lo que te voy a mostrar un conjunto
de medidas y herramientas que puedes poner en práctica hoy mismo.
Quiero que incrementes tu conocimiento y control de la herramienta para que te

sientas más confiado y seguro. Te adelanto que así dormirás más tranquilo.
Mi intención es proporcionarte unas pautas de actuación prácticas para que te

centres en lo importante y no te líes ni disperses. Tampoco quiero que te
paralices. Lo que busco es ante todo, que tomes acción e implementes lo que te
digo.
El beneficio de este ebook radica en ser un instrumento que te va a servir para

guiarte en la labor de proteger tu activo digital empleando un lenguaje coloquial
que confío puedas entender y poner en práctica.
Quiero que te animes a llevar a cabo lo que aquí se explica sin temores a meter
la pata, sintiéndote más confiado y más seguro con una herramienta que vas a
emplear durante mucho tiempo, WordPress.
Por favor, siéntete libre de contactar conmigo en cualquier momento para

consultarme cualquier duda, mejora o simplemente tu punto de vista sobre este
PDF. Estaré encantado de responderte.
Tu feedback me servirá para saber si realmente es un documento ameno, útil y

práctico.
¡Vamos allá!

Edición: 11
Página: 3 of: 50
1.1 ¿Qué es lo que quieres evitar a toda costa?

Para empezar, quiero que tengas claro algunas de las cosas que quiero que no
te pasen a ti.
1. Que te cuelen en tu sitio la web de un banco para hacer phising o, que te

intenten engañar mediante técnicas de phising para que te instales un plugin
malicioso.
2. Que te eliminen el blog o la web. Menos probable hoy por hoy pero también
quieres evitarlo.
3. Que empleen tu blog para otros usos:
a) Ejecutar ataques DDOS (ataques de denegación de servicios).
b) Que hagan SPAM y/o muestren porno en tu web.
c) Que hagan redirecciones a sitios no deseados.
4. Que te cuelen un programa malicioso (virus, etc) que se instale en el
ordenador de tus visitas provocándole un perjuicio. El caso de Javier Elices.
5. Que te suceda lo que a David o a Javier.
6. Que te suceda lo que ha Catalina Echeverry (empleando blogger).
Todos estos ejemplos muestran como un tercero toma el control de tu web sin
tu consentimiento para aprovecharse y obtener algún tipo de beneficio,
normalmente económico.
Imagino que sabes que los que van con malas intenciones siempre tratan de
beneficiarse de aquellos que no ponen unas mínimas medidas de seguridad, es
más, incluso poniéndolas te puedes ver perjudicado, pero ten por seguro que en
mucha menor medida.
En ese sentido no te puedo dar garantías de que materializando todo lo que aquí
vas a leer y poner en práctica te va a proteger al 100% de cualquier problema de
seguridad que pueda afectar a tu web.
Garantizártelo sería temerario e imprudente por mi parte ya que no hay nada

que puedas hacer para garantizarte una seguridad del 100%. Si alguien te dice lo

Edición: 11
Página: 4 of: 50
contrario te estaría mintiendo. La seguridad en Internet un capítulo vivo y en

constante evolución.
Lo que si vas a hacer es aplicar unas medidas de protección que obedecen al

sentido común y a las buenas prácticas con el objetivo de evitar que tu sitio se
vea infectado por algo ajeno a tu control.
Creo que el coste de leer y aplicar lo que te indico en este ebook es muy inferior
al coste -no solo económico- que te puede suponer tener que lidiar con una
infección real.
Por último, me gustará recordarte que es importante dedicar tiempo, medios y

herramientas en beneficio de la seguridad, pero recuerda que no es el fin en sí
misma, así que, no te paralices y cuando termines de leer y aplicar lo que te digo
en este ebook, céntrate en abordar otros asuntos relevantes que giran alrededor
de un negocio online como:
• La mejora estética y/o profesionalización de tu sitio

• La creación de contenido estratégico para atraer lectores interesados en
tus productos o servicios
• La creación y estrategia de tu lista de correo para convertir suscriptores
en clientes
• Poner en marcha estrategias de monetización
• La creación de cursos online para futuros suscriptores
• La mejora del tiempo de carga si procede
• Todo aquello que tu consideres importante para tu negocio online en este
momento
• Etc
Como ves hay numerosos temas para abortar que requieren tiempo y
dedicación.

Edición: 11
Página: 5 of: 50
Creo que no te estoy descubriendo nada nuevo, pero, si te planteas ir más

rápido y te gusta viajar acompañado durante el camino, en ese caso, creo que si
te puedo aportar algo diferente.
Podemos ayudarte desde la Academia, un proyecto vivo en constante evolución

de mi compañero y amigo Omar de la Fuente con el que colaboro a diario. Te
invito a que lo tengas en consideración cuando estimes apropiado.
1.2 ¿Por qué es importante la seguridad de tu

WordPress?
Ya he hablado de ello de forma indirecta en el punto anterior pero ahora quiero
enumerarte razones concretas:
• Porque puedes perjudicar a tus lectores y clientes

• Porque afecta directamente a tu imagen
• Porque puedes perder SEO, esto es, desaparecer de los resultados de
búsqueda orgánicos
• Porque puedes perder el esfuerzo invertido durante mucho tiempo
• Porque puedes perder dinero
2 Protege tu activo digital, protege tu

WordPress
2.1 Aplica el sentido común
La primera línea de defensa para proteger tu WordPress es el sentido común.
Solo con ello estas incrementando la seguridad de tu negocio online
notablemente.

Edición: 11
Página: 6 of: 50
Algunas recomendaciones basadas en el sentido común:
• Apuesta por alojar tu sitio web en un hosting preocupado por la seguridad

• Mantén copias de seguridad periódicas de tus archivos y de la base de
datos
• Emplea contraseñas robustas para todo y a ser posible no las compartas
con nadie -o solo con personas de confianza-
• Mantén actualizado tu WordPress al igual que tus plugins y tema
• Emplea plugins y temas descargados de sitios de confianza
A lo largo de este ebook abordaré estas técnicas de sentido común y te mostraré

otras más a tu alcance.
2.2 Contrata un hosting preocupado por la seguridad

Lo primero que tienes que tener claro a la hora de minimizar los riesgos de
seguridad y proteger tu plataforma online es acertar con la decisión del hosting
que contratas.
Dicho de otro modo:
¿Qué empresa de hosting me ofrece seguridad y confianza para

alojar mi sitio web o blog y mantenerlo protegido?
Esta pregunta tiene infinidad de respuestas, tantas como empresas de hosting

hay en el mercado. Te digo esto porque todas las empresas de hosting
implementan medidas de seguridad.
Luego aquí no voy a entrar en el debate sobre cuál es más o menos segura, cuál
es mejor o peor porque esto se puede poner calentito y no es mi propósito en
absoluto.
Lo que voy a hacer directamente es recomendarte el proveedor de confianza

que yo mismo empleo en mi blog -SiteGround- y explicarte dos de las razones

Edición: 11
Página: 7 of: 50
por la que me ha convencido frente a otros en lo que se refiere a esta faceta de

la seguridad.
1. El aislamiento de cuentas en los planes de hostings compartidos. ¿Esto qué

significa? Significa que si un vecino de hosting tiene el blog infectado es
improbable que esa infección te afecte a ti. En otros hostings esto es más
probable que pueda suceder.
Esto te lo cuento porque yo mismo tengo mi sitio alojado en un plan de

hosting compartido de SiteGround, el plan GrowBig.
2. La preocupación por la seguridad va más allá de los meros mensajes de

marketing tomando medias proactivas en beneficio de sus clientes cuando
la ocasión lo requiere.
b. Aquí tienes un algún ejemplo de a lo que me refiero:

(1) Protected Against a Vulnerability in WordPress SEO by Yoast Plugin
(2) WP eCommerce Plugin Vulnerability Fixed
(3) Venom Vulnerability and SiteGround Cloud and VPS Accounts
Si ojeas los enlaces que te he mostrado arriba de casos reales es probable que
llegues a la misma conclusión que llegué yo.
En SiteGround si detectan un peligro de seguridad para sus clientes toman la

iniciativa e inmediatamente ponen remedio hasta que se publica el parche de
seguridad correspondiente.
Este último punto me dió un extra de confianza para decantarme por ellos frente
a otros. Sinceramente sabiendo esto, yo duermo más tranquilo.
Es probable que otros proveedores hagan lo mismo, pero no he visto que lo

hayan publicado en sus respectivos blogs y es más, esa transparencia también
me da otro extra de confianza. No se tu como lo ves, pero yo tengo claro que me
quedo con SiteGround.

Edición: 11
Página: 8 of: 50
Nota. Puedes leer un completo artículo sobre SiteGround para que conozcas el
resto de razones por las que estoy alojado en este hosting.
2.3 ¿Qué otros proveedores de hosting te puedo

recomendar?
2.3.1 Webempresa
Aunque pueda parecer raro, tengo que decirte en primer lugar que Webempresa
me gusta menos que SiteGround, a pesar de que soy buen conocedor de su
servicio y sé que están muy comprometidos con la seguridad de sus clientes.
Verás, Omar de la Fuente compañero y amigo claramente recomienda

Webempresa como primera opción para sus clientes y honestamente las
numerosas colaboraciones que he tenido con él me han brindado la
oportunidad de primera mano de probar ampliamente el hosting de
Webempresa y tengo que decirte que es un hosting altamente recomendable en
todos los sentidos.
En este artículo mi compañero Omar facilita más detalles.
El caso es que, a pesar de todo lo bueno que tiene, a mí me puede por encima
de todo una cosa, el poco espacio en disco que ofrecen en sus planes de hosting
compartidos y esa razón es crítica para mí, por lo que siempre optaré por
SiteGround si esto no cambia.
Quédate con la idea de que estos dos proveedores son una excelente opción si
estás valorando alojar tu sitio web en un hosting comprometido con la seguridad
de tu negocio online.
Si lo que te acabo de comentar hace que te platees migrar de hosting te dejo un

tutorial ampliado y práctico donde puedes ver paso a paso cómo realizar una
migración.

Edición: 11
Página: 9 of: 50
Si no te quieres calentar la cabeza con estos menesteres, te recomiendo que te

aproveches del servicio de migración gratuito que tienen ambas empresas al
contratar el hosting con ellos.
2.3.2 FastComet
Otro proveedor que me causa muy buenas sensaciones y que estoy estudiando
es FastComet por tener muchas similitudes con SiteGround pero a la mitad de
precio de éste.
Y cuando tienes un negocio online en ciertas ocasiones ajustar el precio puede

ser un factor para tener en cuenta.
No tengo aún nada escrito con más detalles sobre FastComet por lo que dejo a
tu criterio que optes por esta empresa de hosting eso sí, me gustará que me
mantengas al corriente y si necesitarás ayuda con alguna cuestión técnica te
invito a contactar conmigo para tratar de orientarte. Será un placer.
2.4 Realiza copias de seguridad y automatízalas

Si tienes un negocio online corriendo con WordPress y le das valor tu trabajo, a
tu tiempo y a tu dinero, recibas o no cientos o miles de visitas, tengas o no
comentarios a diario y además comercialices o no tus productos y/o servicios, en
cualquiera de los casos, por favor, define y materializa un plan de copias de
seguridad en piloto automático.
2.4.1 ¿Tienes un plan de copias de seguridad?
Si tu respuesta es no ya estás tardando en organizarte la agenda para ponerle

solución. En caso contrario pasa al siguiente punto.
2.4.2 ¿De qué tengo que hacer copias de seguridad?
1. De la base de datos de WordPress.

2. De los archivos que componen tu sitio web.

Edición: 11
Página: 10 of: 50
2.4.3 ¿Cómo las hago y automatizo?
Te comento dos herramientas muy apropiadas para hacer copias de seguridad

de tu sitio web, como son BackWPup o UpDraftPlus.
Tienes un tutorial sobre BackWPup en este enlace. Aquí tienes otro donde
puedes ver como hacerlas y además guardarlas en DropBox.
En el caso de que te intereses por UpdraftPlus tienes este.
Te dejo un video de configuración de updraftplus.
2.4.4 ¿Alternativas?
Es más importante hacer copias de seguridad de tu sitio y no tanto la

herramienta que emplees. En este sentido, pregúntale a tu proveedor de hosting
si hace copias de seguridad por su lado.
En caso de que tengas un problema y no tengas tus propias copias, las copias del
proveedor te pueden salvar el culo. Te acordarás de mí y de esto que te digo.
En el plan GrowBig de SiteGround se realizan por norma copias de seguridad de

tu sitio y siempre mantienen activas las últimas 30 copias. El resto se borran.
Es muy bueno tener la certeza de que cuentas con esta alternativa, a pesar de
ello, soy de la opinión de que es una mejor práctica hacer también copias de
seguridad por tu cuenta.
Aprovéchate de los enlaces a los tutoriales que te he dejado y no lo dejes estar.
2.4.5 ¿Qué pasa si tengo un problema y tengo que emplear mi

copia de seguridad? ¿Cómo lo hago?
Si es tu caso, puedes leer este tutorial que te puede servir de orientación.
¡Ojo! El tutorial está pensado si estás empleando el plugin BackWPup.

Edición: 11
Página: 11 of: 50
Si usas otro plugin tendrás que conocerlo o pedir ayuda.
3 Fortalece tu WordPress. Medidas prácticas

para implementar hoy mismo
3.1 Cambia el usuario admin como administrador por
defecto
Cuando instalas WordPress el usuario por defecto que se establece como
usuario administrador de tu sitio normalmente es un usuario llamado “admin”, a
menos que decidas lo contrario.
Una de las cosas más sensatas que puedes hacer desde un punto de vista de la
seguridad es cambiarlo.
3.1.1 ¿Cómo, cuándo y dónde se cambia?
3.1.1.1 En el momento de la instalación
Durante uno de los pasos de la instalación de WordPress tienes que decidir el

nombre del usuario que vas a emplear. Por defecto te propondrá admin.
Cámbialo por otro.
3.1.1.2 Si ya tienes instalado WordPress
1. Crea un nuevo usuario con el perfil de administrador y

2. A continuación elimina el usuario admin

Edición: 11
Página: 12 of: 50
3.1.2 ¿Cuántos intentos de acceso se realizan en

www.administrandowp.com con el usuario admin?
Es importante cambiar el usuario “admin” de toda instalación de WordPress
porque básicamente es el usuario que emplean como primera opción los que
intentan colarse en tu sitio web.
En la captura de pantalla que te muestro a continuación puedes hacerte una

idea aproximada de la cantidad de veces que han intentado acceder a mi blog
www.administrandowp.com empleando el usuario “admin”.
Esto también te pasará a ti.

Edición: 11
Página: 13 of: 50
En la imagen superior ves un registro de la hora, el nombre de usuario y la

cantidad de intentos (338).
Si bien no se ven todos, te adelanto que en el 95% aproximadamente de los

intentos de acceso el usuario con el que se intenta acceder es el usuario admin.
Se trata de datos reales obtenidos con el plugin de seguridad iThemes Security.
En estos momentos mi web es una web con pocas visitas, no llega a las 4000
visitas al mes y por los registros que tengo al menos 10 veces al día intentan
acceder empleando dicho usuario.
De todos modos, la cantidad de visitas que tenga tu web poco importa. Los
intentos de acceso (ataques en sí mismos) los vas a recibir igualmente.
¿Te imaginas que pasaría si dejas tu usuario por defecto como admin y en un
“descuido” dejas también la contraseña por defecto admin o una muy sencilla
como 123456 o algo parecido? No hace falta que te responda.

Edición: 11
Página: 14 of: 50
En numerosas ocasiones se producen ataques de fuerza bruta contra

WordPress, lo que coloquialmente hablando son un conjunto muy elevado de
intentos de acceso controlados y automatizados contra un sitio web con el
objetivo de acceder a la administración sin tu consentimiento probando
aleatoriamente miles de combinaciones de usuarios y contraseñas.
Si en una de estas el ataque tiene éxito y dan con una combinación que da
acceso a la administración pues te puedes imaginar el resto, ¿no?
Si quieres más detalles pásate por ayudawp.com y léete el artículo relacionado.
En conclusión, en tu propio beneficio procura cambiar cuanto antes el usuario

admin de tu WordPress.
3.2 Emplea contraseñas robustas

Para proteger tu WordPress acostúmbrate a emplear por norma para todos tus
usuarios de acceso contraseñas robustas.
3.2.1 Vale y ¿qué es una contraseña robusta?
Aquella que es larga de ocho caracteres al menos mezclando mayúsculas

minúsculas y números.
Si introduces caracteres especiales la robustez se incrementa notablemente.
Aquí el tema está en quién es el simpático que consigue memorizarse una

contraseña tan complicada. No es tarea fácil pero seguro que alguien es capaz.
Tengo claro que no seré yo.
Por eso te recomiendo LastPass, una aplicación muy recomendable tanto para
crear todas tus contraseñas como para administrarlas y guardarlas en un lugar
seguro.

Edición: 11
Página: 15 of: 50
LastPass se instala como complemento en todos los navegadores y dispone de

versión gratuita como de pago.
En la versión de pago, la que yo te recomiendo, la puedes emplear también en tu

smartphone. Su coste, 12 euros al año.
En la siguiente captura de pantalla puedes ver la herramienta de generación de

contraseñas seguras implementada en LastPass.
1. Botón para generar contraseñas

aleatorias. Cada vez que hacer clic
sobre el botón se genera una
contraseña de 12 caracteres.
2. Barra que te muestra nivel de robustez
de tu contraseña.
3. Genera contraseñas con mayúsculas,
minúsculas y números.
4. Puedes configurar caracteres
especiales en tus contraseñas. Si
activas esta opción y generas una
nueva contraseña verás que la barra
de nivel de robustez mejora.
Te dejo un completo tutorial a fondo de LastPass aquí.
¡Ahora no me digas que no sabes cómo crear una contraseña robusta!
3.3 Modifica el prefijo de las tablas de WordPress “wp_”

Todo WordPress requiere de una base de datos para funcionar y cada
WordPress que se instala por primera vez tiene las mismas 10 tablas.

Edición: 11
Página: 16 of: 50
El prefijo no es más que un conjunto de caracteres que anteceden al nombre de

cada tabla y que tú puedes definir en el momento de instalar WordPress.
Con este conjunto de caracteres se identifica que tablas de una base de datos
pertenecen a determinada instalación de WordPress y que tablas a otra.
De aquí puedes deducir que una misma base de datos puede contener tablas de
diferentes instalaciones de WordPress y cada uno de ellos es independiente del
resto.
En esta imagen derecha lo puedes ver con más

claridad:
1. Te muestro aquí la base de datos llamada

wordpress
2. Te muestro aquí las tablas que componen la
base de datos wordpress con el prefijo “wp_”
¿Cuál es el prefijo que por defecto se emplea en la

base de datos de todo WordPress?
A menos que tú lo cambies voluntariamente, el prefijo es “wp_“
Me queda claro lo del prefijo de las tablas, pero ¿qué tiene que ver
esto con la seguridad?
El argumento es sencillo, verás. Al igual que tú sabes esto que te acabo de

explicar, es decir, que el prefijo por defecto de las tablas de WordPress es el
mismo para todos los WordPress al igual que el nombre de sus tablas, los que
van con malas intenciones por la vida también lo saben y aquí es donde está el
problema.

Edición: 11
Página: 17 of: 50
¿Por qué?
Porqué más del 18% de las páginas web (cifra en constante crecimiento y dato
del año 2013) que hay por el mundo están creadas con WordPress y
determinados tipos de ataques tienen como objetivo acceder a la base de datos
y en ese sentido, en muchas ocasiones estos ataques enfocan sus esfuerzos en
tablas con el prefijo “wp_”.
Por tanto, está a tu alcance ponérselo un poco más difícil a las mentes oscuras
cambiando el prefijo.
3.3.1 ¿Cómo y dónde cambio el prefijo?
Una forma sencilla que tienes para modificar el prefijo de las tablas es emplear
una de las funcionalidades del plugin Ithemes Security.
Te lo explico. Tras instalar el plugin, accede a la opción de avanzado (1) y

presiona el botón configurar ajustes (2)
A continuación, cambia la opción a “Si” y presiona sobre “Guardar ajustes”.

Edición: 11
Página: 18 of: 50
Fíjate que te recomiendan encarecidamente hacer una copia de seguridad antes

de nada. Por favor, haz caso a la recomendación.
3.4 Activa las claves secretas de WordPress

Las claves secretas son una mejora tecnológica que se implementa en el
mecanismo de cifrado de la información que se almacena en la cookie del
usuario y que se lanza en la versión 2.6 de WordPress.
Quédate con la idea de que el cometido de las claves secretas consiste en

incrementar notablemente la seguridad de tu WordPress ante un posible intento
de robo de las contraseñas de los usuarios de tu sitio.
Tienes más detalles sobre estas claves en ayudawp.com. y en el blog de mi

compañero Javier Gobea.
3.4.1 ¿Cómo activo las claves secretas?
Una forma sencilla de hacerlo consiste en emplear una funcionalidad que viene
de serie con el plugin de seguridad iThemes Security.

Edición: 11
Página: 19 of: 50
Accede a los ajustes de seguridad, marca la opción recomendable (1) y localiza

“Salts de WordPress”. Haz clic en “Configurar ajustes”. (2).

Edición: 11
Página: 20 of: 50
En este punto lo que tienes que hacer es marcar la opción “Cambiar las salts de
WordPress” como te indico en la imagen inferior y “guardar ajustes”.
En cuanto hagas esto, automáticamente saldrás del panel de administración y

tendrás que volver a introducir tu usuario y contraseña.
No te preocupes, es algo totalmente coherente con lo que has hecho. No es

necesario que vuelvas a enredar con esta opción, aunque es conveniente saber
que en ciertos casos es posible que tengas que volver a generar una nueva
relación de claves secretas.
3.5 Actualiza tu WordPress

Otra medida de seguridad que tienes que tener siempre presente consiste en
mantener el motor de tu sitio web actualizado.
O, dicho de otro modo, mantener el motor de tu sitio web desactualizado puede

ser una golosina para los malos.

Edición: 11
Página: 21 of: 50
Tomo prestada una frase de sinlios.com: “…las actualizaciones corrigen errores

de todo tipo, la mayor parte de las veces funcionales o meramente estéticos,
pero en ocasiones estos errores tienen que ver con la seguridad.”
Por tanto, mantener actualizado tu WordPress es una garantía de estar al día en

lo que concierne a fallos de seguridad.
Si tomas la decisión de no hacerlo o no eres consciente de ello, has de saber que

vas a estar expuesto a posibles amenazas derivadas de esos fallos de seguridad
no corregidos.
Los que van con malas intenciones se aprovechan muy rápido de los fallos de
seguridad no corregidos. Espero que lo reconsideres y permanezcas atento a las
actualizaciones de tu WordPress.
Es importante también que entiendas que la propia actualización tiene sus

riesgos por lo que, antes de actualizar ten la precaución de tener una copia de
seguridad de tu sitio.
Mi punto de vista sobre este tema. Te adelanto que es muy cómodo y te da

mucha seguridad saber que tienes una copia de seguridad diaria de tu sitio
(cuando estás alojado en SiteGround) y tomas la decisión de darle al botón de
actualizar a sabiendas de que si pasa cualquier cosa ajena a tu control, tan solo
tienes que restaurar la copia de seguridad del día anterior y pista, evitando casi
al instante cualquier problema derivado de la actualización.
A partir de ahora, cuando veas notificaciones para actualizar WordPress como

las que se muestran en la imagen inferior, mi consejo es que trates de estar al
día e instalarlas.
3.6 ¿Cuándo actualizo?

En mi opinión es muy sensato establecer un día y hora concretos para este tipo
de manteniendo, de tal modo que te aseguras por norma hacerlo de forma
periódica programándote siempre una ventana horaria para dicha labor. En caso
Edición: 11
Página: 22 of: 50
contrario contrata un servicio de manteniendo que se encargue de hacerlo por

ti.
3.7 Actualiza tus plugins y temas

El mismo argumento que te expongo para WordPress tienes que tenerlo en
cuenta también con los plugins y tu tema.
La idea es la misma, mantén siempre actualizados tus plugins y tema tan pronto
como te sea posible. Huye de plugins que estén desactualizados, de plugins
donde el desarrollador no le dé continuidad al mismo y donde el soporte no sea
bueno ni ágil.
Consejo personal. Nunca instales plugins en tu sitio de fuentes poco confiables,

lo mejor es emplear siempre el repositorio oficial de plugins de WordPress o
proveedores consolidados de confianza, sean premium o no.
Cuando tienes que tomar la decisión de instalar un plugin o un tema, es

importante tener presente que no solo se trata de lo bien que te resuelve la vida
ese plugin en el cometido que le toca, también tienes que poner en valor al
equipo de personas que están detrás del desarrollo, del soporte y de darle
continuidad al mismo.
Tenlo en cuenta porque a veces un plugin muy bueno tiene un soporte

desastroso y viceversa.

Edición: 11
Página: 23 of: 50
Este mismo argumento puedes extrapolarlo a todo tipo de proveedores.
3.8 Emplea un plugin de seguridad

Un camino beneficioso para un emprendedor digital dueño de un negocio online
es tomar la decisión de instalar un plugin de seguridad.
¿Por qué?
Por qué básicamente te hace la vida más fácil a la hora de materializar un buen
número de configuraciones invirtiendo un tiempo razonable.
Eso sí, no inviertes tiempo ni esfuerzo en detalles técnicos que a priori, son
irrelevantes en tu propósito porque el plugin ya se encarga de ello, en cambio, sí
que has de invertir algo de tiempo en aprender a dominar su configuración, que
por otro lado será más factible.
A continuación, te facilito el nombre de varios plugins de seguridad que cumplen

el requisito de ayudarte en el cometido de proteger tu sitio invirtiendo un tiempo
razonable si aprendes a dominar su configuración.
• iThemes Security
• Wordfence
• AIO WP Security & Firewall Plugin
• NinjaFirewall (solo para emprendedores con marcado perfil técnico)
La idea no es instalártelos todos sino emplear uno. Te adelanto que por

experiencia sé que se pueden combinar entre ellos, pero considero que es
contraproducente para un emprendedor digital que emplea WordPress, en el
sentido de que añades un punto de complejidad extra a tu activo digital y ese no
es el objetivo. A menos claro, que tengas un dominio excelente de los aspectos
técnicos. Dicho esto, lo dejo a tu discreción.

Edición: 11
Página: 24 of: 50
Nota. En este ebook te proporciono un enlace a un video paso a paso con el

detalle de configuración del plugin iThemes Secutity que es el plugin que
considero más apropiado para emprendedores digitales con tiempo limitado.
3.8.1 iThemes Security
Este plugin tiene una ratio de criticas de 4.7 sobre 5.
Está disponible en versión gratuita y en versión de pago. No considero que sea

necesario invertir en la opción de pago.
Lo puedes descargar desde el repositorio de WordPress.
Este plugin te ayuda en la aplicación de más de 30 opciones de configuración

pensadas para proteger tu activo digital de los chicos malos a golpe de clics de
ratón.
Tienes un video paso a paso donde te muestro como configurar ithemes

security.

Edición: 11
Página: 25 of: 50
3.8.2 Wordfence
Este plugin tiene una ratio de críticas de 4.8 sobre 5.
Está disponible en versión gratuita y en versión de pago. Tampoco considero que

sea necesario invertir en la opción de pago.
Lo puedes descargar desde el repositorio de WordPress.
Este plugin contiene un motor interno dedicado al rol de antivirus y otro motor
interno dedicado al rol de firewall (corta-fuegos).
El motor de antivirus se encarga de comparar los archivos de tu WordPress con

los archivos originales del repositorio de WordPress y en caso de discrepancia, te
lo notifica y te ayuda a resolverlas.
El firewall integra un motor de reglas preconfiguradas que bloquean a todos

aquellos que quieran saltárselas, por norma general, siempre serán robots
malintencionados.
Tienes un completo tutorial sobre este plugin aquí.

Edición: 11
Página: 26 of: 50
3.8.3 AIO WP Security & Firewall Plugin
Este plugin tiene una ratio de críticas es de 4.8 sobre 5.
Lo puedes conseguir en el repositorio de WordPress y es completamente

gratuito.
Lo estoy probando desde hace meses y me está gustando mucho como

alternativa a los otros dos plugins anteriores por varias razones:
• Por ser muy completo en cuanto a opciones de configuración

• por estar casi completamente traducido al castellano lo que te facilita la
comprensión de los temas técnicos a abordar
• Por su forma singular de presentar los menús de configuración añadiendo
sencillos textos explicativos anexos fáciles de entender y siempre a mano
• Por el valor numérico que asigna a cada opción de configuración dándote
pistas de cómo repercute en la seguridad global de tu sitio
La verdad es que para un emprendedor digital ajeno a conocimientos técnicos

de seguridad creo que este plugin te beneficia en el sentido de que te facilita la
comprensión de la medida de seguridad a configurar lo que creo te da un
puntito extra de confianza y utilidad que los otros plugin no tienen. Te sientes
como que más acompañado.

Edición: 11
Página: 27 of: 50
Tengo intención de escribir un artículo extenso sobre este plugin porque la

verdad es que me está convenciendo mucho su enfoque.
3.8.4 NinjaFirewall
Tiene una ratio de criticas de 4.8 sobre 5.
Lo puedes descargar gratuitamente desde el repositorio de WordPress.
NinjaFirewall no goza en absoluto del mismo nivel de popularidad que el resto

de plugins que te he mencionado y es que su grado de complejidad creo que no
redunda en su beneficio en ese sentido.
De todos modos, creo que la intención de los desarrolladores de este plugin es

que el mismo permanezca reservado a personal técnico.
Empleo la versión de pago de este plugin en mi sitio web y en el de clientes que

colaboran estrechamente conmigo porque lo considero la mejor opción para
proteger tu WordPress.
Si estás interesado en este plugin es muy conveniente que tengas a mano a

alguien con destreza técnica.

Edición: 11
Página: 28 of: 50
3.9 Evita el SPAM con el plugin akismet

Otro problema al que te enfrentas con tu activo digital es el SPAM y quieres
evitarlo a toda costa.
“El SPAM normalmente hace referencia al correo electrónico no solicitado que se

envía a un gran número de destinatarios con fines publicitarios o comerciales.”
En tu sitio el SPAM lo conforman todos aquellos mensajes publicitarios que se

inyectan en tu base de datos desde los distintos formularios que tienes en tu
sitio.
Para mantener firme al SPAM te recomiendo Akismet, está considerada como

una de las mejores herramientas para ventilarte de un plumazo el SPAM. En
serio te lo digo, literalmente te olvidas del SPAM con este plugin.
Akismet viene preinstalado en WordPress, lo único que tienes que hacer es

activarlo.
3.9.1 ¿Cómo configuro Akismet para que me ayude con el

SPAM?
1. Activa el plugin
2. Activa la cuenta de Akismet

Edición: 11
Página: 29 of: 50
A continuación tienes que conseguir tu clave API (2). Una vez obtenida, tienes
que pegarla en el campo (3) y hacer clic en Usar esta clave.
Desde ese momento Akismet se pone en modo trabajo y se encarga del SPAM
por ti. ¡Listo!
3. La clave API la obtienes desde la web de Akismet

Edición: 11
Página: 30 of: 50
3.9.2 Ejemplo del trabajo que hace Akismet
En la imagen inferior tienes una captura de pantalla con 891 comentarios

moderados por Akismet en el blog www.administrandowp.com en un momento
determinado.
Fíjate en la cantidad de comentarios de spam. Es posible que alguno se haya

escapado pero revisarlos todos ya te digo que no es viable ni por asomo. Tu
misión consiste en elimarlos todos y a otra cosa.

Edición: 11
Página: 31 of: 50
4 Herramientas avanzadas a tu alcance

4.1 El archivo .htaccess
El archivo htaccess es un fichero del Servidor Web Apache mediante el cual es
posible definir distintas directivas que permiten modificar el comportamiento del
servidor web posibilitándote argumentos para realizar configuraciones a medida
sin necesidad de cambiar el comportamiento general del servidor.
Dicho de otro modo, el archivo htaccess es un archivo de configuración avanzada

-ajeno a WordPress- que bien empleado te permite configurar al gusto un amplio
abanico de reglas o directivas que te ayudan a proteger tu activo digital de las
mentes malintencionadas.
Nota. Ten presente que tu activo digital normalmente funciona bajo la capota de
un servidor Web Apache. Así es tanto en WebEmpresa como SiteGround. Si tu
proveedor funciona con nginx, con iis u otro que no sea Apache puedes obviar
por completo este capítulo del ebook.
No es el cometido de este ebook adentrarte en todas las posibilidades que

ofrece la configuración de este archivo, dado que da para un libro entero como
éste publicado por Jeff Star -desarrollador de WordPress- y que yo mismo
empleo como material de consulta para diversos escenarios.
Lo que si voy a hacer es presentarte el trabajo de este desarrollador que durante

varios años ha estado perfeccionando unas directivas para el archivo htaccess
enfocadas proteger WordPress de la actividad maliciosa de terceros.
Este trabajo lo publica abiertamente en su blog perishablepress.com y nos lo

deja disponible para nuestro uso y disfrute bajo nuestra responsabilidad.
IMPORTANTE. Si lo que te explico a partir de ahora no te queda claro, por favor,

no intentes poner en práctica nada porque puedes tumbar tu activo digital si
algo no sale bien. MUCHO CUIDADO.

Edición: 11
Página: 32 of: 50
4.1.1 Las reglas de .htaccess para proteger WordPress de Jeff

Starr
Las reglas o directivas para htaccess de Jeff Starr publicadas en
perishablepress.com son fruto del trabajo de varios años por parte de este
desarrollador.
Las directivas más recientes hasta la fecha son las llamadas 6G Firewall 2017.
4.1.2 6G Blacklist 2017

Te pego literalmente la introducción del artículo donde publica las directivas más
recientes:
After three years of development, testing, and feedback, I’m pleased to

announce the official launch version of the 6G Firewall (aka the 6G Blacklist). This
version of the nG Firewall is greatly refined, heavily tested, and better than ever.
Fine-tuned to minimize false positives, the 6G Firewall protects your site against
a wide variety of malicious URI requests, bad bots, spam referrers, and other
attacks. Blocking bad traffic improves site security, reduces server load, and
conserves precious resources. The 6G Firewall is entirely plug-n-play with no
configuration required. It’s also open source, easy to use, and completely free,
providing strong protection for any Apache-powered website.
Mi traducción:
Después de tres años de desarrollo, pruebas y feedback, estoy encantado de

anunciar la versión oficial de 6G Firewall (he aquí la lista negra 6G). Esta versión
de la versión nG Firewall está mejorara, probada a conciencia y es mejor que
nunca. Está bien ajustada para minimizar los falsos positivos, para proteger tu
sitio contra una amplia variedad de solicitudes maliciosas, robots maliciosos,
SPAM y otros ataques. Bloquear el tráfico malintencionado mejora la seguridad
del sitio, reduce la carga del servidor y conserva preciosos recursos. 6G Firewall
es una herramienta para instalar y usar sin necesidad de configuración. Es de
código abierto, fácil de emplear y completamente libre, proporcionando una
fuerte protección a cualquier sitio web que corre en un servidor web Apache.

Edición: 11
Página: 33 of: 50
Las directivas 6G Firewall son unas reglas para el archivo htaccess que tienen
como misión frenar toda actividad maliciosa dirigida contra tu activo digital y
éstas operan bajo el motor del servidor web Apache, es decir, son
independientes a WordPress.
Tenemos, por tanto, unas reglas prediseñadas, fruto del trabajo de años de
experiencia de un desarrollador web especializado en WordPress que las emplea
en todos sus blogs y páginas web sin dar ningún problema.
Y yo me pregunto, ¿qué haces que no las estas empleando aún?
A continuación, te muestro lo que tienes que hacer y cómo para que tu activo
digital también se pueda beneficiar de este trabajo.
4.1.3 ¿Cómo localizo el archivo htaccess y cómo lo edito?
Una forma de acceder al archivo htaccess de tu blog o web es emplear el

administrador de archivos que viene por defecto en tu cpanel o emplear un
programa FTP como filezilla.
4.1.3.1 Localiza el archivo htaccess mediante administrador de archivos
Accede a tu cpanel, localiza el epígrafe de archivos y haz clic en el administrador

de archivos.
Localiza la carpeta “public_html” y navega por los archivos hasta encontrar el

archivo htaccess.

Edición: 11
Página: 34 of: 50
Al presionar sobre el icono “Code Editor” accedes a la herramienta de edición y

ves el contenido del archivo.

Edición: 11
Página: 35 of: 50
4.1.3.2 Localiza el archivo htaccess con FileZilla
En el caso de que optes por esta opción, descárgate el archivo htaccess a tu

ordenador y a continuación te recomiendo que lo trabajes y edites con el
programa Notepad++

Edición: 11
Página: 36 of: 50
Una vez localizado el archivo lo que tienes que hacer es, copiar y pegar las reglas
que tiene publicadas en su página en el archivo. Guardar los cambios y listo.
Descarga las reglas
4.2 https en tu WordPress

Otra medida de seguridad que está adquiriendo una notable popularidad
consiste en cifrar las comunicaciones mediante https a raíz de la aparición de
Let´s encrypt, una entidad emisora de certificados SSL que cuenta ni más ni
menos que con el apoyo de Google y otros grandes de la industria.
La misión principal de esta entidad certificadora es crear un Internet más seguro.

Edición: 11
Página: 37 of: 50
¿Cómo lo quieren conseguir?

Proporcionándote de forma totalmente gratuita un certificado SSL para tu sitio
web que se renueva solo cada tres meses para pasar tu WordPress de http a
https.
El resultado de esta operación te beneficia de varias formas:
1. El coste económico de cifrar tu sitio web (pasar de http a https) pasa a ser
cero
2. No tienes que estar preocupándote de renovar y reconfigurar el
certificado anualmente
3. Todas las comunicaciones con tu sitio web estarán cifradas, al igual que el
acceso a la administración de tu sitio web por lo que la seguridad global
de tu sitio se incrementará
4. Google valorará con buenos ojos que tu sitio funcione bajo https, lo que
puede redundar en un mejor SEO
5. Si estás pensando en vender en tu sitio web y quieres emplear un medio
de pago como Stripe necesitas funcionar bajo https
6. Podrás habilitar el protocolo de Internet http2 lo que redunda en que tu
web obtendrá unos tiempos de carga mejores.
La facilitad de instalar y configurar un certificado digital de Let´s Encrypt en tu

sitio web dependerá en gran medida de tu proveedor de hosting.
Te dejo un video de apoyo paso a paso para que veas como se configura tu sitio
web bajo https con el proveedor SiteGround.
Te dejo otro video de apoyo paso a paso para que veas como se configura con el
proveedor Webempresa.
Lo puedes extrapolar a tu proveedor de hosting.

Edición: 11
Página: 38 of: 50
5 Mi web está infectada, ¿Qué puedo hacer?

Todos los puntos anteriores que te he mencionado hasta aquí tienen como
misión prevenir que nunca seas el protagonista de una infección o que nunca
tengas un problema de hackeo, pero como no siempre es así, te explico cómo
puedes tratar de salir victorioso por tu cuenta si:
• Tienes infectado tu activo digital con algún virus o malware

• Te han hackeado el sitio
Si tu web está infectada es probable que -si no te has dado cuenta tu antes- tus
visitantes o seguidores te alerten (vía twitter, mail, etc) del problema, en
ocasiones, el antivirus del ordenador puede hacer saltar la alarma y en otros
casos es más evidente y Google puede mostrar un cartel como este al intentar
acceder desde un enlace del buscador.

Edición: 11
Página: 39 of: 50
Si en los resultados de búsqueda Google te muestra este cartel, la broma puede

ser bastante agravante porque empiezas a perder visitas, tu imagen se ve
comprometida, puedes perder todos tus esfuerzos SEO y si tienes ingresos
online ten por seguro que tu cuenta de resultados se va a ser afectada.
Como no lo remedies de forma rápida más delicado se vuelve el tema y el

perjuicio se incrementa.
5.1 ¿Qué pasa si tengo mi web infectada por algún

virus, malware o me la han hackeado?
Evita en la medida de lo posible evita a toda costa entrar en modo pánico y sigue
estos pasos.
5.1.1 Cambia todas las contraseñas de inmediato

La contraseña de acceso por FTP, el email, la de administración de tu
blog... TODAS.
5.1.2 ¿Es posible que tu ordenador tenga algún bichito?

Verifícalo
Pasa el antivirus y asegúrate de que tu PC no es el origen problema
5.1.3 Tratar de determinar cuándo te han infectado la web

En el caso de que tengas un cartel como el que te he mostrado antes es
muy aconsejable revises dentro de las herramientas de Google para
Webmasters. En estos casos puede notificarte aproximadamente la fecha
de la infección.
5.1.4 A continuación, restaura una copia de seguridad de tu

blog de tu blog anterior a la infección
Si tienes automatizadas tus copias y las haces de forma recurrente este
paso debería ser fácil. Ojo, verifica que la copia no esté infectada. Puede
pasar.

Edición: 11
Página: 40 of: 50
Si no tienes copias de seguridad de tu sitio contacta con tu proveedor de

hosting. Es posible que ellos tengan e incluso te ayuden a restaurarla.
5.1.5 Tras restaurar la copia, verifica que todo es correo

Si todo vuelva a la normalidad, perfecto. En caso de que no sea así pasa
al siguiente punto.
5.1.6 ¿Cómo puedes saber si la copia de seguridad está

infectada?
Haciendo un escáner en cualquiera de estos sitios:
1. http://www.virustotal.com
2. http://sitecheck.sucuri.net
3. http://www.avgthreatlabs.com/website-safety-reports/
4. http://safeweb.norton.com
O mediante evidencias que no dejan lugar a dudas, como esta:
Si los pasos anteriores no te dan resultado, ponte manos a la obra con el

siguiente punto.
5.1.7 Lee y aplicar lo que explico en el tutorial

Como desinfecté un sitio al completo paso a paso

Edición: 11
Página: 41 of: 50
5.1.8 Contratar un servicio especializado

Si nada de lo anterior te ha resultado eficaz, la mejor alternativa es que contrates
un servicio profesional.
• Sucuri
• Nintechnet
• Hackrepair.com
• Wordfence
• Contacta conmigo para hacerte una valoración aproximada. A partir
de 300 euros.
5.2 ¿Qué proveedores existen que te ayudan a limpiar

tu blog o web?
5.2.1 Sucuri.net
Se trata de una empresa especializada que dispone de un servicio de limpieza de

tu web de virus y/o malware.

Edición: 11
Página: 42 of: 50
5.2.2 ¿Qué ofrece sucuri.net?
En sucuri.net dispones de tres modalidades de soluciones que velan por la

seguridad de WordPress. Cada una con sus particularidades y rangos de precio.
El servicio consiste en limpiarte la web y activarte el plan de monitorización

continua renovable cada año.
Todas incluyen:
• Limpieza de malware y reparación del hack

• Monitorización continua de Malware & Hacks
• Monitorización y verificación de Listas Negras
• Bloqueo a los hackers y protección de ataques de denegación de servicios
DDoS
• Protección contra ataques de denegación de servicio avanzados (DDoS)
• Certificado SSL incluido
• Soporte al cliente por tickets

Edición: 11
Página: 43 of: 50
En resumen, se trata de un conjunto de servicios y herramientas que velan por la

seguridad de tu web y que contratas cuando tienes una infección en casa.
No he probado nunca su servicio porque hasta la fecha ninguna web bajo mi

responsabilidad se ha visto infectada y en tal caso me encargaría personalmente
de desinfectarla.
5.2.3 HackRepair.com
HackRepair.com es una alternativa a sucuri.net ofrecida por Jim Walker, un

experto en seguridad web afincado en California.
La tarifa con la que trabaja Jim comienza a partir de 279 dólares aunque parece
que ha sacado un micro-servicio por 179 dólares si tu web cumple unos
requisitos concretos.

Edición: 11
Página: 44 of: 50
5.2.4 Wordfence
El equipo que está detrás del desarrollo del plugin Wordfence hace no mucho
tiempo sacó un servicio de limpieza de malware del que te puedes beneficiar.
El coste económico es más ajustado que en los casos anteriores. Por 149 dólares
puedes limpiar tu web. Más detalles del servicio aquí.

Edición: 11
Página: 45 of: 50
5.2.5 NinjaRecovery
El equipo de desarrollo del plugin NinjaFirewall cuenta igualmente con un
servicio de limpieza de malware.
El precio para limpiar un sitio web es a partir de 149 dólares.
6 Límite de responsabilidad
Este ebook se proporciona tal cual, con la intención de ayudar y orientar a
emprendedores digitales dueños de un negocio online y administradores de
WordPress a protegerlos contra las actividades maliciosas que pululan la red.
Mediante el uso de este ebook asumes todo el riesgo y responsabilidad de lo

que te pueda suceder con su sitio, sea bueno o malo.
He hecho todo lo posible para escribir todos los contenidos de forma precisa,
transparente y honesta pensando en ayudarte a proteger tu activo digital.
Si lo que lees no te resulta de fácil aplicación, tienes dudas, o no te ves seguro,

por favor, aplica el sentido común y no intentes hacer algo que pueda mermar el
funcionamiento de tu sitio.

Edición: 11
Página: 46 of: 50
Si observas algún error, dato incorrecto y crees que debería ser corregido, por
favor, házmelo saber para modificarlo. ¡Muchas gracias!.
7 Recursos
Te resumo y enumero los recursos citados en el ebook para facilitarte su
localización.
7.1 Hosting
• SiteGround
• WebEmpresa
• FastComet
Si contratas desde estos enlaces benefíciate de un mini-servicio por mi parte que

consiste en aplicar por ti todas las medidas de seguridad que aquí se indican.
7.2 Libros
• Htaccess
7.3 Cursos
• La Academia de Omar
7.3.1 Descuentos de los que te puedes beneficiar

• PAULPREMIUM (-70€) http://bit.ly/2mlcqT4
• PAULCURSOWP (-20€) http://bit.ly/2nOLYpI
Si contratas una formación en la Academia de Omar (membresía o curso suelto)

aparte del descuento, benefíciate de un mini-servicio por mi parte que consiste
en aplicar por ti todas las medidas de seguridad que se indican en este ebook.

Edición: 11
Página: 47 of: 50
7.4 Servicios
• Servicio de limpieza de malware de Sucuri
• Servicio de limpieza de malware de Nintechnet.com
• Servicio de limpieza de malware de Wordfence
• Servicio de limpieza de malware de HackRepair.com
• Contacta conmigo si prefieres que yo te ayude en esta labor. A partir de 300
euros.

Edición: 11
Página: 48 of: 50
8 CheckList – Protege tu WordPress

1. Recuerda siempre tener presente el sentido común
2. Contrata un hosting preocupado por la seguridad. SiteGround
3. Crea un plan de copias de seguridad (enlace a video) y automatízalo
4. Cambia el usuario admin como administrador por defecto
5. Emplea contraseñas robustas. Aprovéchate de LastPass
6. Modifica el prefijo de las tablas de “wp_” de WordPress
7. Activa las claves secretas
8. Actualiza tu WordPress (decide un día/hora todas las semanas)
9. Actualiza tus plugins y tema (decide un día/hora todas las semanas)
10. Instala y configura un plugin de seguridad. iThemes Security

(enlace a video)
11. Activa Akismet para frenar el SPAM
12. Activa las reglas 6g firewall en el archivo htaccess (opcional)
13. Instala y configura un certificado SSL (enlace a video) de Let´s

Encrypt en SiteGround.
14.
15.
16.
17.
18.
19.
20.

HTML Help Sheet 02

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

HTML Help Sheet 02

Caricato da

Copyright:

Formati disponibili

Protege tu WordPress

Evita que tu activo digital se vea inmerso en un problema de seguridad.

Actualizado: Agosto 2017

Protege WordPress Creado por: Paul Benítez

Protege tu WordPress V.11.docx www.administrandowp.com pág. 0 de 50

3.9.2 Ejemplo del trabajo que hace Akismet ............................................................................... 30

5 MI WEB ESTÁ INFECTADA, ¿QUÉ PUEDO HACER? ...................................................................... 38

Protege tu WordPress V.11.docx www.administrandowp.com pág. 1 de 50

Al descargarte este PDF interpreto que la seguridad de tu plataforma es una de

Quiero que incrementes tu conocimiento y control de la herramienta para que te

Mi intención es proporcionarte unas pautas de actuación prácticas para que te

El beneficio de este ebook radica en ser un instrumento que te va a servir para

Por favor, siéntete libre de contactar conmigo en cualquier momento para

Tu feedback me servirá para saber si realmente es un documento ameno, útil y

Protege tu WordPress V.11.docx www.administrandowp.com pág. 2 de 50

1.1 ¿Qué es lo que quieres evitar a toda costa?

1. Que te cuelen en tu sitio la web de un banco para hacer phising o, que te

Garantizártelo sería temerario e imprudente por mi parte ya que no hay nada

Protege tu WordPress V.11.docx www.administrandowp.com pág. 3 de 50

contrario te estaría mintiendo. La seguridad en Internet un capítulo vivo y en

Lo que si vas a hacer es aplicar unas medidas de protección que obedecen al

Por último, me gustará recordarte que es importante dedicar tiempo, medios y

• La mejora estética y/o profesionalización de tu sitio

Protege tu WordPress V.11.docx www.administrandowp.com pág. 4 de 50

Creo que no te estoy descubriendo nada nuevo, pero, si te planteas ir más

Podemos ayudarte desde la Academia, un proyecto vivo en constante evolución

1.2 ¿Por qué es importante la seguridad de tu

• Porque puedes perjudicar a tus lectores y clientes

2 Protege tu activo digital, protege tu

Protege tu WordPress V.11.docx www.administrandowp.com pág. 5 de 50

Algunas recomendaciones basadas en el sentido común:

• Apuesta por alojar tu sitio web en un hosting preocupado por la seguridad

A lo largo de este ebook abordaré estas técnicas de sentido común y te mostraré

2.2 Contrata un hosting preocupado por la seguridad

Dicho de otro modo:

¿Qué empresa de hosting me ofrece seguridad y confianza para

Esta pregunta tiene infinidad de respuestas, tantas como empresas de hosting

Lo que voy a hacer directamente es recomendarte el proveedor de confianza

Protege tu WordPress V.11.docx www.administrandowp.com pág. 6 de 50

por la que me ha convencido frente a otros en lo que se refiere a esta faceta de

1. El aislamiento de cuentas en los planes de hostings compartidos. ¿Esto qué

Esto te lo cuento porque yo mismo tengo mi sitio alojado en un plan de

2. La preocupación por la seguridad va más allá de los meros mensajes de

b. Aquí tienes un algún ejemplo de a lo que me refiero:

En SiteGround si detectan un peligro de seguridad para sus clientes toman la

Es probable que otros proveedores hagan lo mismo, pero no he visto que lo

Protege tu WordPress V.11.docx www.administrandowp.com pág. 7 de 50

2.3 ¿Qué otros proveedores de hosting te puedo

Verás, Omar de la Fuente compañero y amigo claramente recomienda

En este artículo mi compañero Omar facilita más detalles.

Si lo que te acabo de comentar hace que te platees migrar de hosting te dejo un

Protege tu WordPress V.11.docx www.administrandowp.com pág. 8 de 50

Si no te quieres calentar la cabeza con estos menesteres, te recomiendo que te

Y cuando tienes un negocio online en ciertas ocasiones ajustar el precio puede

2.4 Realiza copias de seguridad y automatízalas

2.4.1 ¿Tienes un plan de copias de seguridad?

Si tu respuesta es no ya estás tardando en organizarte la agenda para ponerle

2.4.2 ¿De qué tengo que hacer copias de seguridad?

1. De la base de datos de WordPress.

Protege tu WordPress V.11.docx www.administrandowp.com pág. 9 de 50

2.4.3 ¿Cómo las hago y automatizo?

Te comento dos herramientas muy apropiadas para hacer copias de seguridad

En el caso de que te intereses por UpdraftPlus tienes este.

Te dejo un video de configuración de updraftplus.