WordPress es de código abierto, lo que significa que cualquiera, incluyendo hackers con intenciones maliciosas, puede tocar el código fuente en busca de brechas en su seguridad. Por este motivo voy a enseñarte algunas buenas medidas de prevención para protegerte, a tu WordPress y lo que es más importante aún, a tus usuarios.
1. Elimina el usuario Admin
Probablemente, de las cosas más sencillas que puedes hacer para protegerte es cambiar/eliminar el superusuario admin. Cualquiera que use WordPress sabe que existe con toda seguridad un usuario llamado admin, sobre todo los hackers. Si el nombre de usuario es admin, no puede costar mucho crackear la contraseña. Crea un nuevo usuario con privilegios de administración, pero esta vez con un nombre diferente, y después elimina la antigua cuenta del usuario admin.
De hecho, lo que yo personalmente te recomiendo es que crees una cuenta de administración con un nombre de usuario y una contraseña muy complicados, (algo así x7duEls91*), guárdala en algún sitio, y crea otra cuenta solo para publicar contenido que tenga tu nombre y no disponga de poderes administrativos. La cuenta admin es esencialmente necesaria solo para gestionar los temas, plugins y otros aspectos del sitio que no necesitan cambiarse habitualmente – con una cuenta de editor tendrás suficiente.
«Trata tu contraseña como si fuese tu cepillo de dientes. No dejes que nadie más la use, y cámbiala cada seis meses».
~Clifford Stoll
2. Elige una contraseña fuerte
Independientemente del tipo de web que estés gestionando, puedes estar en riesgo de un ataque de fuerza bruta. Cuando eliminamos el usuario admin en el primer paso, probablemente disuadimos a la mayoría de hackers pero siempre existen algunos muy persistentes o que ya conocen tu nombre de usuario. El siguiente paso es elegir una contraseña difícil y diversa. Una buena forma de determinar si tu contraseña es segura o no, es introducirla en un probador de contraseñas como passwordmeter.com o generar una contraseña aleatoria.
3. Protege tu contraseña
De todas manera, yo prefiero tomar precauciones adicionales para proteger mi blog, instalando plugins podríamos añadir una capa extra de seguridad. Existen multitud de plugins para gestionar contraseñas y otros aspectos del inicio de sesión en WordPress. Un plugin que me parece muy útil es Login LockDown; almacena las direcciones IP y el momento en el que se haya realizado un intento fallido de inicio de sesión, además bloquea la IP que haya intentado iniciar varias veces sesión de forma fallida. Este plugin es especialmente útil para protegerte de ataques de fuerza bruta – la mayoría de los atacantes desisten seguir atacando a una web si se les prohibe el acceso mediante bloqueo de IP cada 5 minutos mientras ejecutan su programa de fuerza bruta.
4. Mantén WordPress siempre actualizado
Como ya he comentado, WordPress es de código abierto, lo que lo convierte en un objetivo más fácil para los hackers. Casi 60 millones de sitios usan WordPress, cuando Automattic lance una actualización, actualices tu sitio cuanto antes, porque cuando hacen esto también publican las nuevas vulnerabilidades que han descubierto y resuelto. Además, no lleva mucho tiempo realizar una actualización de tu instalación de WordPress, según WordPress sólo 5 minutos hasta completarse.
5. Oculta la Versión de WordPress
Imagina que te hayas olvidado de actualizar tu instalación de WordPress, o simplemente que no dispones de los 5 minutos libres que esto exige. La versión de WordPress que estés usando proporciona a los hackers pistas sobre cómo pueden hackear tu sitio, especialmente si está no está actualizado.
Por defecto, WordPress muestra la versión en uso, ya que les interesa analizar cuanta gente usa cada una de ellas, etc. No obstante, esto es como colocar una lucecita roja indicando a los hackers lo que pueden hacer.
Si estás usando un tema premium, cabe la posibilidad de que el desarrollador se haya tomado la libertad de deshabilitarla por ti, pero siempre es mejor asegurarse. Abre tu archivo functions.php e introduce esta línea de código.
|
1 |
<?php remove_action('wp_head', 'wp_generator'); ?> |
Lo que te queda por leer:
- 6. Cambia los permisos de los archivos
- 7. Lista blanca
- 8. Copia de seguridad
- 9. Oculta tus plugins
- 10. Analiza los registros del servidor
Deja una respuesta