Inicio Informática Software Guía para mejorar la seguridad de WordPress

Guía para mejorar la seguridad de WordPress

0

wordpress seguridad

De todos es bien sabido que de forma predeterminada WordPress es un CMS muy seguro, no obstante y como casi todo en esta vida, puedes (y debes) mejorarlo siguiendo algunos consejos y trucos que ayudarán a que tu blog sea mucho más seguro y que los posibles atacantes no tengan las cosas para nada fáciles.

Existen muchas formas de mejorar la seguridad de WordPress, por lo que voy a tratar de hablar de la mayoría, así que quedáis avisados del tochopost 😉

Consejos básicos de seguridad para WordPress

1. Actualiza siempre a la última versión. Una de las mayores vías de ataque explotadas por los hackers es la de los blogs desactualizados, pues WordPress lanza cada poco tiempo actualizaciones que corrigen diversos problemas de seguridad, por lo que no actualizar tu blog viene a ser lo mismo que dejar la puerta de tu casa abierta.

2. Contraseña difícil. Es de vital importancia que uses una contraseña larga que incluya tanto números como letras y caracteres varios. Y si la contraseña que usas no tiene sentido alguno mucho mejor, pues ayudará a que no se pueda descifrar mediante ataques de fuerza bruta usando diccionarios. Si no sabes qué contraseña usar, KeePass te puede echar una mano gracias a su generador de contraseñas seguras.

3. No nombres a tu usuario como “Admin”. Cuando se realizan ataques de fuerza bruta lo primero que se hace es realizarlos bajo el nombre de usuario “Admin” (sin las comillas), ya que es el que viene de forma predeterminada y muchos lo suelen dejar tal cual. Si tu usuario se llama de esta forma te conviene ponerle otro nombre cuanto antes.

4. Desactiva y elimina plugins. Sí, los plugins pueden dotar de funcionalidades impresionantes a tu blog, pero también pueden sumar vulnerabilidades, por lo tanto resulta muy conveniente desactivar y eliminar aquellos que no nos sean imprescindibles.

5. Elimina el archivo readme.html (o léeme.html). Este archivo contiene información sobre la versión de WordPress que estás usando, y puesto que su utilidad es nula, lo mejor es eliminarlo.

Protegiendo la instalación de WordPress

1-Evita que exploren en tus carpetas. Todas aquellas carpetas que no tienen un archivo index pueden ser exploradas desde un navegador, por lo que lo mejor es cortar de raíz este comportamiento añadiendo la siguiente línea a tu archivo .htcaccess:

Options All –Indexes

2-Cambia el prefijo de tu base de datos. Al instalar WordPress el prefijo predeterminado es “wp_” y es algo que los atacantes también saben, por lo que resulta muy adecuado cambiarlo por uno que no tenga sentido, como “nkj0oa_”, por ejemplo. Esto se puede hacer al instalar WordPress, no obstante, si ya tienes el blog en funcionamiento puedes realizar el cambio del prefijo siguiendo este tutorial.

3-Impide accesos no autorizados a la carpeta wp-admin. Esto se puede hacer limitando el acceso a una IP concreta, de forma que nadie más pueda acceder a la misma. Lógicamente, esto solo lo tenemos que hacer si poseemos una IP estática, pues con una dinámica nos veríamos bloqueados casi cada día.

El código a utilizar en el archivo .htaccess de tu carpeta wp-admin es el siguiente:

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName "Access Control"

AuthType Basic

order deny,allow

deny from all

# Dirección IP permitida

allow from 00.000.000.00

Los ceros los tienes que cambiar por tu dirección IP o por la de aquel al que quieres permitir el acceso.

4. Oculta la versión de WordPress. La versión de WordPress es una información que los atacantes intentarán conseguir, pues de esta forma pueden buscar rápidamente vulnerabilidades de la misma. Ocultarla es tan sencillo como copiar el siguiente código en el archivo functions.php de tu tema:

?php remove_action('wp_head', 'wp_generator'); ?>

5. cambia la ubicación de tu archivo wp-config.php. Este archivo guarda toda la información de la configuración de WordPress (incluida la contraseña), por lo que conviene tenerlo cuanto más escondido mejor.

A partir de la versión 2.6 de WordPress podemos mover este archivo a cualquier carpeta ubicada en la raíz de la instalación, de forma que el CMS lo detecta de forma automática.

6. Protégete de inyecciones de código malicioso. Mediante este código podemos deshabilitar los cambios en las variables de PHP, de forma que evitamos una vía de inyección de código malicioso:

Options +FollowSymLinks

RewriteEngine On

RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]

RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]

RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})

RewriteRule ^(.*)$ index.php [F,L]

Este código hay que pegarlo en el archivo .htcaccess de la carpeta de tu servidor.

Plugins de seguridad para WordPress

Limit Login Attempts: Este plugin debería de ser instalado en toda web que use WordPress como base, pues permite manejar los intentos de inicio de sesión fallidos pudiendo realizar bloqueos temporales y de IP. También tiene una opción para avisarnos vía email cada vez que una IP sea bloqueada por exceso de intentos de inicio de sesión fallidos.

Theme Authenticity Checker (TAC): Este plugin comprueba los archivos de los temas que tengamos en nuestro blog para buscar enlaces salientes y código oculto o bloqueado, de forma que nos permite comprobar si nuestras plantillas han sido editadas por terceros.

AntiVirus: Nos permite escanear los archivos de WordPress en busca de código malicioso o malware de todo tipo. Podemos configurar los análisis para que se hagan de forma automática cada cierto tiempo, de modo que no tengamos que perder tiempo haciendo todo el proceso manualmente. Y lo mejor de todo es que podemos hacer que nos avise vía email cuando detecte algún tipo de malware.

Wordfence Security: Se trata de un plugin que analiza automáticamente cualquier tipo de actividad que realice nuestra web para bloquear intrusiones y evitar ataques de terceros. Su mejor característica es que permite activar un Firewall para bloquear ataques maliciosos, que además lo podemos personalizar con diversas reglas y listas.

Cargue Artículos Más Relacionados