8 trucos para proteger tu blog con WordPress de intrusos.

wp_canda

Si tenemos nuestro propio blog con WordPress es importante tomar medidas básicas de seguridad para que cualquier desaprensivo no pueda dañarlo. Estos trucos que he recopilado son para gente que tiene instalado WordPress en su propio hosting y aunque no impedirán que un experto en seguridad puede fastidiarnos, si nos protegerán de los típicos script kiddies o lammers.

1. Tener siempre la última versión:

Con cada nueva versión WordPress no solo añade novedades, también corrige importantes fallos de seguridad. Actualizar a menudo es imprescindible en cualquier CMS.

2. No informar sobre que versión de WordPress estamos usando:

Por defecto WordPress pone en el código fuente del blog la versión que tenemos instalada. Esto puede ayudar a un atacante a aprovechar fallos de seguridad conocidos, especialmente si se trata de versiones antiguas. Ese dato es sencillo de eliminar, solo deberemos cambiar en el archivo header.php de nuestra plantilla el siguiente código:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />

Por este:

<meta name=”generator” content=”WordPress” />


3. Proteger la carpeta de plugins:

Si un posible atacante sabe que plugins tenemos instalados en WordPress también podría aprovecharse de sus fallos de seguridad. Para proteger dicha carpeta (/wp-content/plugins) basta con colocar en su interior un archivo vacío llamado index.html.

4. Evita que WordPress dé pistas para acceder al panel de control:

Cuando al acceder al panel de administración te equivocas con el usuario o la contraseña, WordPress intenta ayudarte informando de cual de los 2 datos es el incorrecto. Una función poco útil para el administrador pero si interesante para cualquier intruso que pretenda “hackear” tu blog.

Para corregir este exceso de confianza por parte de WordPress debes añadir el siguiente código dentro del archivo functions.php de tu plantilla:

add_filter('login_errors',create_function('$a', "return null;"));

5. Cambia el nombre del usuario administrador por defecto:

Cualquier persona que haya instalado alguna vez WordPress sabe que el usuario por defecto es admin y que si averigua su contraseña tendrá acceso total al panel de control. Pero por desgracia WordPress no nos ofrece una forma rápida para cambiar dicho nombre y tendremos que hacerlo desde la base de datos:

-Accedemos a PhpMyAdmin (o el gesto de base de datos que usemos).

-Dentro de la base de datos de WordPress buscamos la tabla wp_users (que puede variar si elegimos durante la instalación un prefijo diferente de wp_). Abrimos la tabla para editarla.

– Tendremos que cambiar admin en los campos user_login y user_nicename, en ambos el mismo nuevo nombre. El campo display_name es el nombre que aparece como autor si escribimos artículos con ese usuario, no es obligatorio cambiarlo.

Tras guardar los cambios si intentamos acceder como admin al panel de administración nos saldrá un error y deberemos poner el nuevo usuario con la anterior contraseña.

6. Usa contraseñas seguras:

Algo tan básico como importante, pues muchas veces los intrusos usaran ataques de fuerza bruta. Es decir, mediante scripts probaran contraseñas aleatorias o de un diccionario hasta encontrar cual está usando tu usuario.

Una contraseña segura debe ser larga (yo recomendaría al menos 12 caracteres) y debe mezclar letras mayúsculas, minúsculas, números y símbolos especiales. Si quieres generarlas automáticamente puedes usar el servicio: password.es

7. Bloquea el acceso al archivo de configuración:

Modificando el archivo .htaccess podemos proteger el fichero de configuración de WordPress: wp-config.php, impidiendo el acceso externo al servidor gracias a Apache. Para ello añadimos en .htaccess las siguientes lineas:

<files wp-config.php>
Order deny,allow
deny from all
</files>

8. Bloquea IP que introduzcan datos de acceso erróneos:

La forma más cómoda de hacerlo es con el plugin Login LockDown

Este plugin realiza 2 funciones:

-Monitoriza y guarda las IP que intentaron entrar en el panel de administración con usuarios o contraseñas no validos.

-Nos permite configurar un numero máximo de intentos fallidos, si una IP excede la cantidad marcada es bloqueada durante el tiempo que elijamos. Muy útil para complicar los ataques de fuerza bruta pues el intruso se verá obligado a usar miles de proxys para descubrir una contraseña segura.

Por último comentar que hay otros trucos más agresivos para mejorar la seguridad y también otros plugins. Pero yo he seleccionado los trucos que considero más importantes y cómodos, además ninguno de los cambios que aconsejo se destruyen con la actualización de WordPress, solo necesitamos hacerlos una vez.

Fuentes: ayudawordpress.com y anieto2k.com




2 comentarios en “8 trucos para proteger tu blog con WordPress de intrusos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *