Cuando se comienza un proyecto con WordPress una de los primeros momentos es el de elegir los plugins que vamos a utilizar, y muy especialmente los de seguridad y antispam.
Otra regla básica es la de tener los menos plugins posibles, aunque, personalmente, prefiero ajustarlo a tener los mínimos plugins específicos necesarios. No es lo mismo un mega plugin que hace 10 cosas y que puede pisarse con otros plugins, que varios plugins pequeñitos muy específicos.
Además, otro elemento importante es el de seguir las reglas de privacidad, por lo que intentaremos que sean plugins que no manden información a terceros.
En este caso vamos a ir a buscar algunos plugins imprescindibles.
NOTA: Estos plugins han sido probados con WordPress 5.9, por lo que deberían funcionar en un rango de WordPress 5.7 a WordPress 6.1
En cuanto a seguridad vamos a buscar plugins que cubran distintos puntos.
Cortafuegos
Un cortafuegos, o firewall, bloquea peticiones a nuestros WordPress indebidas o que buscan algún tipo de agujero de seguridad.
Un plugin sencillo y ligero es BBQ Firewall, un plugin de «instalar y listo». También dispone de una versión Pro.
Otro punto a tener en cuenta es la pantalla de acceso. Esta parte es seguramente la más débil de todo WordPress por lo que deberemos protegerla por partida doble.
Por un lado, instalaremos un sistema que impida ataques masivos. Para ello usaremos un plugin al estilo Login LockDown.
En otra línea de trabajo, deberemos proteger las fugas de contraseñas o la posibilidad de que los usuarios usen contraseñas débiles o que estén disponibles de forma pública.
En estos casos activaremos un plugin de segundo factor de autenticación al estilo de Two Factor.
Antispam
Aunque WordPress viene con bloatware de serie como es Akismet, pero este plugin manda a servidores centrales toda la información y datos privados.
Como un sistema alternativo usaremos algunas funciones de WordPress y un plugin que nos ayude a mejorar el potencial interno.
El primero de los elementos a usar es Block List Updater. Este plugin se trae una lista de palabras clave consideradas spam, y la incluye de forma automática a la sección de flltrado nativo de WordPress (en la sección de Comentarios).
Para ampliar con un plugin que intente detectar patrones y otros elementos, y que es compatible con el anterior, podemos usar Antispam Bee.
Copias de Seguridad
Otro elemento a tener siempre presente en cuanto a seguridad son las copias o backups.
Lo ideal sería, al menos, tener copias en 2 o 3 sitios. Habitualmente el proveedor de hosting nos proporcionará una disponible con sus propias herramientas y sistemas de restauración.
Por otro lado, nosotros podemos utilizar un plugin que nos ayude a ello. Existen muchos y hay que probarlos para encontrar el sistema que nos funcione y donde nos sintamos cómodos.
Yo suelo utilizar Duplicator (y su versión Pro), y BackWPUp.