Seguridad en WordPress: consejos 1/2

votaraddthis

Proteger nuestros sitios web o blog frente ataques externos se hace cada vez más necesario en este mundo virtual. Conocemos ataques contra grandes compañías, CMS o cualquier otro tipo de páginas web, el asegurar una defensa mínima cada vez gana más peso. Hoy trataré de algunos consejos básicos en seguridad enfocados hacia WordPress. No todos los ataques son igual de virulentos ni con la misma potencia, pero con estas reglas evitaremos algunas sorpresas desagradables.

Usuario admin: es muy común que el usuario principal se llame como viene por defecto, es decir, admin. Bastantes ataques a sitios web son mediante fuerza bruta (realizar todas las combinaciones posibles para averiguar nuestra contraseña) y suelen usar como usuario ‘admin’ para hackear nuestra web o blog. Dificultamos el ataque si no tenemos ese nombre. En el apartado de “Usuarios” en el menú de la izquierda en WordPress podemos corregir rápidamente esta situación ya sea modificando o eliminando el usuario en cuestión.

Contraseñas: las passwords deben ser complicadas y largas para evitar que alguien las pueda averiguar. Asimismo, existen páginas con las contraseñas más comunes usadas. Una contraseña robusta y sólida debe tener letras (mayúsculas y minúsculas), números y signos o caracteres especiales. De esta manera dificultamos exponencialmente las posibilidades de crackear nuestra contraseña.

Plugins inactivos: los “programas” instalados en WordPress si están activados repercuten en el CMS y en la web. Por tanto, si algún plugin tiene alguna deficiencia de seguridad que puedan aprovechar los hackers para colarse, nuestro sitio tendrá un agujero en la seguridad. Como en la vida real es saludable tener un peso ideal, nuestro WordPress también. Es decir, dejamos únicamente los plugins necesarios para nuestras necesidades y desactivando o eliminando el resto. Asimismo, no fiarse de comprar temas o plugins premium que no sean oficiales para intentar ahorrar unos euros, lo podemos pagar caro.

Copias de seguridad: es recomendable realizar copias de seguridad periódicas con la base de datos y con los archivos. En función de la actividad e importancia de la web o blog podría ser desde diario o semanal hasta mensual. Si perdemos nuestros datos bien sea por un ataque externo o bien por problemas del servidor, con restaurar nuestra copia de seguridad nos evitaremos muchos problemas.

Actualizaciones: son fundamentales para nuestra seguridad. Con cada nueva revisión se detectan más problemas de seguridad, entre otras mejoras, y tener actualizados el WordPress, los plugins y los temas son importantes. Esto nos protegerá de eventuales complicaciones.

Cambiar url del escritorio: la inmensa mayoría de los sitios con WordPress tienen como url de entrad tudomino.com/wp-admin. Si modificamos por dónde entramos al sitio web y lo personalizamos, de entrada conseguiremos que muchos ataques no los puedan realizar.

wp-config y wp-content: en estos dos sitios hay almacenados datos fundamentales para nuestra web desde la información a la base de datos hasta los plugins, los temas, cachés y algunos scripts. Por tanto, cambiar la ruta de este archivo y de esta carpeta nos ayudará con nuestra seguridad. Aunque si se cambia bien sea manualmente bien sea con plugins, hay que tener en cuenta que las imágenes se dejarían de ver al estar en otro sitio dentro de la web y habría que volverlas a poner bien.

Modificar el prefijo en la base de datos: si dejamos el prefijo por defecto que viene, facilitaremos los ataques de hackers contra nuestro sitio web. El prefijo de WordPress es ‘wp_’ y si lo cambiamos resolveremos este problema. Por ejemplo, si ponemos una cadena larga de letras y números como ‘hFvV49kST52_’. Cuando se hagan ataques serán con los prefijos más usados, no con algo tan singular. Hay plugins que cambian el prefijo de la base de datos rápidamente y sin problemas.

Restringir el números de intentos: cuando accedemos al WordPress, una forma de bloquear malware automatizado es limitando los accesos erróneos. Una o dos veces nos podemos equivocar, pero más de cinco es sospechoso. Hay plugins para WordPress que cumplen a la perfección esta función.

Archivo .htaccess: la finalidad de este fichero es realizar distintas órdenes de configuración para cada directorio y archivos de nuestra web, evitando la edición del archivo en Apache. Además, está alojado en la raíz de nuestro sitio y se puede abrir con el ‘Bloc de notas’. Antes de modificar este archivo, tenemos que realizar una copia de seguridad. Podemos provocar que la página web no funcione. Ahora explicaré algunas mejoras sencillas con código que podemos añadir al archivo.

  • Reforzar el fichero .htaccess. En primer lugar podemos reforzar el archivo en sí. Ya que los directorios dependerán de él, así reformazos la seguridad. Este código sirve para bloquear y proteger el fichero.

Para proteger el propio archivo

<files .htaccess>

order allow,deny

deny from all

</files>

Para proteger el archivo de forma extrema

<files ~ “^.*\.([Hh][Tt][Aa])”>

order allow,deny

deny from all

satisfy all

</files>

  • Proteger el fichero wp-config.php. Este archivo es el más importante en nuestro WordPress. Tiene la información para acceder a nuestra base de datos e instucciones primordiales para el funcionamiento de la web. Nunca está de más ni viene mal reforzar la seguridad en este aunque ya tenga algunas medidas.

<files wp-config.php>

order allow,deny

deny from all

</files>

  • Evitar la exploración de carpetas y ficheros: impedir que los internatuas accedan y visualizen los directorios y archivos de nuestro WordPress es capital para la segridad. Para lograr este objetivo, sólo hace falta añadir esta línea de código al fichero .htaccess en nuestro sitio.

Options All -Indexes

Hasta aquí la parte de consejos generales y básicos para incrementar la seguridad en nuestro WordPress. Recuerdo: antes de modificar a mano cualquier archivo o base de datos, la copia de seguridad es obligatoria por si nos equivocamos. En el siguiente post, trataré sobre plugins que nos ayudan en la seguridad de la página web y que desarrollarán algunos de los puntos propuestos.