0

Cómo securizar una instalación de WordPress

SeguridadLa principal ventaja de la plataforma WordPress es a la vez su principal inconveniente: su popularidad.

Está claro que la popularidad que ha ido adquiriendo WordPress estos últimos años ha hecho que la comunidad de desarrolladores y usuarios a sus espaldas sea su principal refuerzo a la hora de buscar soporte, sugerencias, etc… Pero también ha hecho que los amigos de lo ajeno se beneficien de muchos “agujeros negros” que se encuentran en plugins mal diseñados, en el código de multitud de temas mal desarrollados, bugs en las versiones oficiales y todas esas cosas…

En este artículo quiero recomendar varios puntos que todo administrador WordPress debería revisar.

Algunos son tan básicos que muchas veces los pasamos por alto, hasta que llegan las sorpresas desagradables…

  1. Evita el acceso a readme.html, readme.txt, wp-config.php, install.php, wp-includes, y .htaccess.
  2. Deshabilita la exploración de directorios: esto evita que los usuarios vean una lista de archivos de un directorio en el que no haya un archivo index.
  3. Fuerza el uso de contraseñas seguras para todos los usuarios.
  4. Asegúrate de que el encabezado de tu WordPress revela la mínima información posible: eliminando la etiqueta <meta name=”generator” content=”WordPress [version]” /> del encabezado de tu sitio, por ejemplo.
  5. Oculta las actualizaciones de plugins, temas y WordPress a todo aquél que no sea administrador.
  6. Oculta también la versión de WordPress que estás utilizando.
  7. Modifica el usuario admin: WordPress usa este usuario por defecto en todas sus instalaciones. Esto facilita mucho las cosas a los hackers, que sólo tienen que averiguar una password. Tampoco estaría de más cambiar el ID del usuario en la base de datos, siempre con valor “1”.
  8. Cambia el prefijo de las tablas de la BD, ya que wordpress siempre usa wp_
  9. Haz copias de seguridad periódicas, tanto de tus ficheros como de la BD.
  10. Bloquea el acceso a IPs no deseables. Incluso existen listas de bots y spammers conocidos.
  11. Oculta el acceso al área de administración. Esto se consigue con algunas reglas sencillas en el .htaccess.
  12. Evita aceptar peticiones de URLs largas, ya que muchas veces las utilizan los atacantes para inyectar código malicioso en la BD.
  13. No permitas que usuarios registrados sin el rol de administrador modifiquen ficheros desde el backend.
  14. Siempre que puedas, utiliza SSL para tus conexiones al panel de administración. Esto depende de tu hosting, que puede cobrarte por el certificado necesario.

Lo más sencillo para revisar todos estos “puntos flacos” de las instalaciones por defecto de WordPress es hacer uso de algún plugin. Yo recomiendo especialmente Better WP Security, que puede automatizar la mayoría de estos procesos y añade unos cuantos más.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *