A todos nos preocupa perder nuestro sitio web de la noche a la mañana por un aburrido que burló nuestra seguridad e hizo daño a la base de datos, index, etc.

Si quieres tener un WordPress más seguro, esta entrada es la solución

En esta entrada voy a explicar cómo puedes tener un WordPress más seguro de manera que puedas estar despreocupado de posibles intrusos, spam y demás cosas que incomodan la vida de quien mantiene un sitio web.

Nombre del usuario

Normalmente, cuando se hacen ataques a un sitio web, lo primero que se intenta es acceder como administrador del sitio. Para esto, se suelen utilizar diccionarios y, lógicamente, el primer nombre de usuario que se prueba es admin.

Si has hecho una instalación por defecto de WordPress, tu nombre de administrador será admin con total seguridad. Puedes cambiar el user login del admin accediendo a la base de datos y modificándolo a mano.

Mantener respaldos de la base de datos

Para prevenir pérdidas totales y desastrosas, no está de más tener un respaldo de los archivos más importantes (el tema de WordPress por ejemplo), pero lo más importante de WordPress es su base de datos.

Hay plugins que gestionan los respaldos de la misma, es el caso de WordPress Database Backup, que no sólo se encarga de realizar respaldos de la base de datos con la periodicidad que le indiquemos sino que, además, las envía por correo electrónico, cosa que es de agradecer pues si lo que revientan es el servidor de poco servirá tener ahí los respaldos.

Tener siempre la última versión de todo

Aunque parezca una tontería, es importante tener la última versión del núcleo de WordPress instalada y siempre mantenerla actualizada a la última versión posible.

Pero esto no sólo pasa con WordPress, sino también con los plugins que tenemos instalados.

Manteniendo todo al día te aseguras que no tendrás problemas.

Eliminar los archivos de instalación

Pueden generar molestias innecesarias y provocar fallas en la seguridad, hablo de los ficheros wp-admin/install.php y readme.html. Borrarlos lleva un minuto y ahorra muchos de sufrimiento.

Administradores escasos y con contraseñas fuertes

Si dispones de varios redactores, aplícales el cargo de lo que realmente son: redactores.

Es inútil tener 7 administradores que jamás configurarán WordPress y sólo amplian las puertas a posibles intrusos, pues si no rompen la contraseña de uno disponen de 6 intentos más.

Minimiza los administradores

de tu sitio y asegúrate de que sus contraseñas son fuertes (123456 no sirve).

Protege tu archivo wp-config.php

Recuerda que tiene los datos de acceso a tu base de datos y que la vida de tu bitácora o sitio en WordPress depende de esa base de datos.

No cuesta nada añadir las siguientes líneas al .htaccess y ahorrarnos un gran disgusto:

order allow,deny
deny from all

Mejorando nuestro .htaccess

Con .htaccess podemos no sólo bloquear el acceso a ficheros, sino que también podemos hacerlo a directorios.

Utiliza la siguiente cláusula para evitar que accedan a los directorios wp-:

Disallow: /wp-

Y si eres un maniático de la seguridad y sólo redactas en tu sitio desde tu casa y tienes IP fija, añade estas líneas a tu .htaccess para que sólo tú puedas acceder como administrador (deberás crear un nuevo .htaccess y colocarlo en la carpeta wp-admin:

# Sólo accede mi IP
order deny,allow
allow from MI_DIRECCION_IP (reemplazalo por tu IP y borra ese paréntesis)
deny from all

Fuentes de información: WordPresssecurity Hacks and tricks y Evitar riesgos con el blog.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *