Home / Noticias / Tu WordPress más seguro

Tu WordPress más seguro

Desde hace tiempo existen programas que permiten publicar -y administrar- contenidos en forma transparente, sin necesidad de tener conocimientos técnicos de HTML, programación o publicación en general. Tras el auge de los CMS -Content Management Systems-, es ahora el momento de los blogs.

Pero esta popularidad y difusión, son también su lado vulnerable. Ejércitos de amenazas rondan la web, tratando de sitiar la fortaleza de contenido: una vez que encuentran una vulnerabilidad, pueden replicar el asalto en otros sitios. Por eso te proponemos estas reglas para hacer tu WordPress inexpugnable.

Contraseñas sólidas
La primera puerta para evitar el acceso de administradores indeseados es la contraseña. Como es la forma más habitual de hackeo, tené presente usar siempre contraseñas de más de 10 caracteres que incluyan letras y números, y símbolos de ser posible (#$%&/~).

No importa que el blog esté ‘en construcción’: es importante siempre evitar contraseñas obvias, tales como ‘pass’, ‘god’, ‘12345’, o similares, ya que un malware podría instarse a la espera de que el sitio esté lanzado y en pleno funcionamiento. Lo mismo se aplica a las claves del FTP y el acceso a la base de datos

Actualización
Aunque leyéndolo resulte obvio, muchas veces el blog no se actualiza a la última versión, puede ser por dejadez, pereza o porque no tenemos el tiempo. Esto aumenta las posibilidades de que sea utilizado algún bug conocido -ya actualizado en la nueva versión, pero no en la tuya-

Utilizando un theme serio y plugins actualizados, la actualización no debería traer inconvenientes, a lo sumo la falla de algún javascript puntual, no crítico. No obstante siempre se debe hacer un backup previo de la base de datos y de los archivos subidos.

El instalador Softaculous, disponible en todos los servidores de SectorHosting, te asegura una actualización fluída y sin sobresaltos.

Eliminá la información relativa a la versión
Es correcto reconocer que se está usando WordPress como plataforma para la publicación, pero es innecesario -y peligroso- declarar la versión. Incluso algunos themes pagos, muestran esta información clave para los hackers.

Para que esto no ocurra, tanto en la pantalla visible como en el código, podemos agregar estas líneas al archivo funcions.php del theme que estemos usando:
//Borra las referencias a la versión de WordPress
add_filter(‘the_generator’, create_function(”, ‘return ”;’));

Mantené el código original
No importa que encuentres sugerencias ingeniosas y creativas para modificar el código original, ya sea en archivos del wp-admin, wp-content o wp-includes. No lo hagas. Esta modificación, por brillante que sea, se perderá en la siguiente actualización y es posible que deje un agujero de seguridad listo para cualquier intrusión.

Esto no aplica a los archivos del theme -habitualmente en wp-content/themes/, o los de algún plug-in que se haya instalado, que no afectan el núcleo del sistema. Estos pueden modificarse sin riesgo.

¡Que no se vea tu listado de archivos!
Si entrás a un directorio de tu blog, y el resultado es el listado de los archivos en lugar de una página vacía, tenés un posible problema de seguridad aunque parezca inofensivo. Hay dos maneras de evitarlo:
– Subir un archivo index.html vacío en cada uno de los directorios, lo cual es alto trabajoso, o..
– Editar el archivo .htaccess, agregándole esta línea al principio:
#Evita el listado de directorios
Options -Indexes

Cambiar el prefijo en las tablas de la base de datos
Cuando WordPress se instala permite modificar el prefijo de las tablas, que por defecto es bshcom_wp_. Te sugerimos cambiarlo por cualquier otro, lo que dificultará acceder a tu información.
Hacer este cambio una vez que el blog esté funcionando es un poco más complicado, pero puede hacerse.

Usar themes y plugins de fuentes verificadas y confiables
Es muy atractivo probar themes y funcionalidades al crear un blog, hasta dar con el formato que tenías en mente. Por eso es importante ser cuidadosos al elegir el lugar de dónde se descargan, además de usar sólo aquellos que se puedan instalar a través del gestor de temas y de la sección plugins -respectivamente-. Eso evita que contengan un código malicioso.

En relación a los themes ‘pro’, hay que tener en cuenta que la cantidad de opciones y agregados que incorporan pueden ser una fuente de problemas en algún momento si no sos un usuario avanzado. Es preferible editar el tema base o bien desarrollar uno a partir de él.

Borrá todo lo que no uses
Más que un consejo, es una buena práctica preventiva: cuanto menos cosas tenga tu blog es menos probable que haya un agujero de seguridad desde donde pueda ser atacado. Incluso un plugin que hace largo tiempo que no se actualiza o un theme con demasiadas funciones podrían llegar a funcionar como puertas para un ataque.

Conservando el theme elegido -y quizá manteniendo el que viene por defecto, aunque no lo uses-, y sólo aquellos plugins que realmente facilitan la gestión del blog, estarás limitando en buena medida la cantidad de amenazas latentes.

Copias de seguridad
Como los backups no son una costumbre impuesta, hay que planificarlos. La sugerencia es hacerlos una vez a la semana. Una copia local es suficiente si fuera necesaria una restauración tras un ataque.

En todos los planes de SectorHosting tendrás herramientas para realizar backups muy fácilmente.

Conexión segura FTP
Una forma de ampliar la seguridad es tambien vigilar el modo en que accedés. Por lo general tenés los datos de conexión FTP normal y otros en modo seguro (sftp o ssh)
Es recomendable usar la conexión segura, ya que es difícil de interceptar porque los datos de conexión y los archivos viajan codificados.

Si accedés con una conexión FTP normal, los datos se envían como texto plano, es decir que alguien que accede al log de tu programa FTP o incluso que ‘pinche’ tu acceso wifi tiene la posibilidad de ver usuario y contraseña.