Vamos a repasar unas cuantas medidas de seguridad básicas para mantener más a salvo de intrusos nuestra página web hecha bajo el CMS (gestor de contenidos) WordPress.
- Eliminar (o cambiar datos) del usuario admin.
- Modificar el prefijo por defecto de la base de datos (wp_) por otro, puede ayudarnos a evitar algunos ataques de SQL injection.
- Usar una contraseña lo más fuerte que puedas. Web para medir «dureza» de una contraseña como referencia: passwordmeter.com
- Añadir la siguiente línea de código al archivo wp-config.php [define ( ‘DISALLOW_FILE_EDIT’ , true);] Esto evitará que se pueda editar código desde el dashboard (panel de administración).
- Ocultar la versión de WP que usamos de la cabecera, los hackers viendo la versión, ya pueden saber ciertos fallos o agujeros de nuestra versión, es aconsejable añadir esta línea de código para ocultarlo en nuestro archivo functions.php [<?php remove_action(‘wp_head’ , ‘wp-generator’); ?> ]
- Mantener WordPress actualizado, nos avisa desde el panel de administración, es rápido y sencillo de hacer, y normalmente las actualizaciones suelen ser referentes a la seguridad.
- Permisos: en las carpetas y archivos, ponerlos a 744 (solo lectura para todos, excepto creador). Puede ser, que tras esta acción, no nos deje subir archivos multimedia, en cuyo caso, tendremos que buscar la carpeta /uploads/ y darle más permisos.
- Lista blanca: Crear/modificar archivo .htaccess en la carpeta /wp_admin/ permitiendo entrar solo a determinadas IP’s. Si no tenemos el conocimiento para saber nuestra IP, la web WhatsMyIp nos lo dirá al momento.
- BackUp: hacer copias de seguridad regularmente, para en caso de ser víctimas de un ataque a nuestra web, poder restaurarla. Hay varios modos, como (si tu servidor lo permite) con cron jobs, también puedes ir exportando tu base de datos, también puedes usar VaultPress
- Plugins:
- Oculta los instalados: es muy fácil para un intruso acceder a nuestro directorio ‘/wp-content/plugins/’ y comprobar si no tenemos ninguno de seguridad, o hay alguno con errores o agujeros de seguridad, esto se puede corregir simplemente creando un index.html en blanco en el directorio.
- Cuidado con los plugins que acceden a usuarios o contraseñas, yo intento usar siempre míos propios, que ya haya usado/modificado antes o muy famosos, si no se puede, ver «Login LockDown» es una opción.
- Usar en la medida de lo posible plugins del directorio oficial con la mayor cantidad de votos a favor posible y actualizado.
- Tú: repasar regularmente el «server logs» y las analíticas de tu web, para prevenir si se ven resultados extraños
Ya tienes bastante ganado respecto a la seguridad para empezar con tu sitio web basado en WordPress.
Fuentes:
