10 cosas que hacer después de instalar WordPress

Q: ¿Estos ajustes funcionan también en blogs alojados en wordpress.com?

No. Estas optimizaciones requieren acceso al servidor (al wp-config.php, al functions.php del tema y al .htaccess). En wordpress.com no tienes ese nivel de acceso, así que solo aplican a instalaciones de WordPress en tu propio hosting.

Q: ¿Qué pasa si no cambio la estructura de permalinks por defecto?

Las URLs salen tipo ?p=123, que son malas para SEO porque no dan ninguna pista sobre el contenido. La estructura /%postname%/ genera URLs descriptivas que tanto Google como los usuarios entienden mejor, y mejora el CTR en buscadores.

Tras instalar WordPress en tu propio servidor hay 10 ajustes recomendados para mejorar rendimiento y seguridad: mover uploads a un subdominio, eliminar metadatos que delatan tu versión de WP, bloquear el listado de carpetas, limitar revisiones de artículos, cambiar el intervalo de auto-guardado, esconder errores de login, eliminar el usuario admin, ajustar permalinks, bloquear scripts en robots.txt e instalar Limit Login Attempts y Captcha.

WordPress se instala en el servidor en dos sencillos pasos, pero es recomendable modificar algunas de las configuraciones que vienen por defecto para optimizar el rendimiento de la Web y mejorar su seguridad.

Nota: Estas optimizaciones sólo son posibles si tienes WordPress instalado en tu propio servidor, no son aplicables a Blogs alojados en la Web de WordPress. Además, algunas de las modificaciones sólo son aplicables a servidores Apache (lo más seguro es que tu servidor también lo sea).

1. Cambia la carpeta de subida de archivos

WordPress sube por defecto todas tus imágenes, documentos y archivos a la carpeta wp-content/uploads. Es conveniente cambiar esta carpeta y alojar las imágenes preferiblemente en un subdominio (domain sharding). Puedes hacerlo utilizando este plugin.

Esto acortará las URLs de las imágenes y permite la descarga en paralelo de los archivos, mejorando el tiempo de carga de la Web (consulta nuestra Guía de Optimización del Rendimiento Web).

2. Elimina metadatos innecesarios

Esta información puede ser utilizada por Hackers que buscan Blogs que utilizan versiones de WordPress anteriores y más vulnerables a ataques. Puedes evitar que aparezcan estos datos añadiendo las siguientes líneas al archivo functions.php de tu Theme:

remove_action( 'wp_head', 'wp_generator' );
remove_action( 'wp_head', 'wlwmanifest_link' );
remove_action( 'wp_head', 'rsd_link' );

3. Evita la navegación por las carpetas de WordPress

Deberías añadir un archivo index.php en blanco en las carpetas wp-content/themes y wp-content/plugins de tu WordPress.

Además, añade esta línea al archivo .htaccess para evitar que los usuarios puedan ver listados de tus archivos e imágenes si navegan por las carpetas de tu WordPress:

Options All -Indexes

4. Limita el número de revisiones de artículos

WordPress permite volver a versiones anteriores de artículos que estamos escribiendo. Si bien esta función es muy útil, puede incrementar de manera considerable el tamaño de la tabla wp_posts de nuestra base de datos.

Puedes limitar el número de revisiones a, por ejemplo, tres modificaciones añadiendo esta línea al archivo wp-config.php en la carpeta raíz de tu WordPress:

define( 'WP_POST_REVISIONS', 3 );

5. Aumenta el intervalo de auto-guardado

WordPress guarda copias de seguridad de los artículos que estás escribiendo cada minuto. Puedes aumentar este tiempo a tres minutos añadiendo esta línea al archivo wp-config.php en la carpeta raíz de tu WordPress:

define( 'AUTOSAVE_INTERVAL', 180 );

Si te equivocas poniendo el usuario o la contraseña al intentar acceder al panel de control, WordPress muestra información detallada acerca de en qué te has equivocado. Esta información puede ser utilizada por Hackers a la hora de hacer un ataque.

Evita esto añadiendo las siguientes líneas al archivo functions.php de tu Theme:

function sin_errores(){
  return 'Acceso denegado.';
}
add_filter( 'login_errors', 'sin_errores' );

7. Elimina el usuario admin

WordPress viene con un usuario administrador por defecto: ADMIN. Si dejas este usuario activo y un Hacker quiere intentar entrar en tu panel de control, ya tiene parte del trabajo hecho.

Pasos:

Crea un usuario nuevo con privilegios de administrador.
Elimina el usuario ADMIN.
Transfiere todos los artículos del usuario ADMIN al nuevo usuario.

8. Cambia la estructura de permalinks

La estructura de enlaces que viene por defecto es mala para el SEO. La más adecuada es la que construye las URLs a partir del nombre del archivo (Post Name):

/%postname%/

9. Evita el indexado de los scripts de WordPress

Podemos evitar que los Bots rastreen los diversos Scripts de Themes y Plugins añadiendo las siguientes líneas al archivo robots.txt:

User-agent: *
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /wp-content/plugins/
Disallow: /wp-content/themes/
Disallow: /*.js$
Disallow: /*.css$

10. Seguridad con themes y plugins

Tener Plugins y Themes que no utilizas no afectará al rendimiento de tu Web. Sin embargo, por seguridad, es recomendable tener el mínimo de código ejecutable en nuestro servidor.

Plugins recomendados:

Limit Login: evita ataques de fuerza bruta limitando intentos de login.
Captcha: protege tus formularios frente a Spam.

Preguntas frecuentes

¿Estos ajustes funcionan también en blogs alojados en wordpress.com?

No. Estas optimizaciones requieren acceso al servidor (al wp-config.php, al functions.php del tema y al .htaccess). En wordpress.com no tienes ese nivel de acceso, así que solo aplican a instalaciones de WordPress en tu propio hosting.

¿Por qué eliminar el usuario `admin` mejora la seguridad?

Porque es la primera credencial que prueba cualquier atacante en un ataque de fuerza bruta. Si dejas activo el usuario admin, ya tienen la mitad del trabajo hecho: solo les queda adivinar la contraseña. Crear un usuario propio con nombre no obvio rompe ese vector.

¿Es seguro reducir las revisiones de artículos a 3?

Sí. Conservas las 3 últimas versiones (más que suficiente para revertir errores recientes) y mantienes la base de datos pequeña. Sin límite, la tabla wp_posts puede crecer descontroladamente con docenas de revisiones por artículo.

¿Qué pasa si no cambio la estructura de permalinks por defecto?

Las URLs salen tipo ?p=123, que son malas para SEO porque no dan ninguna pista sobre el contenido. La estructura /%postname%/ genera URLs descriptivas que tanto Google como los usuarios entienden mejor, y mejora el CTR en buscadores.

Conclusiones clave

Aplica solo si tienes WordPress en tu propio servidor (no en wordpress.com).
Mover uploads a un subdominio acelera la carga por descarga en paralelo.
Eliminar metadatos del header (wp_generator) oculta la versión de WP a atacantes.
Limita revisiones a 3 y autoguardado a 180s para reducir tamaño de DB.
Sustituye el usuario admin por uno propio: es la primera credencial que prueba un atacante.
Permalinks por nombre (/%postname%/) son los óptimos para SEO.
Limit Login Attempts y Captcha son los plugins mínimos de seguridad.