Trucos WordPress. Seguridad wordpress

Written by miguelthepooh

24 de mayo de 2016

Trucos WordPress. Seguridad wordpress
  • Importancia: MUY ALTA
  • Dificultad : Media – baja
  • Habilidad : Media – baja

[vc_separator type=’transparent’ position=’center’ color=» border_style=» thickness=» up=» down=»]

Cuando llevamos un tiempo con nuestra instalación wordpress ya hemos leído varias veces que si cuidado con ésto… con aquello, con lo de más allá. (Tantos consejos y tan poco tiempo para estudiarlos…)

Trucos WordPress. Seguridad wordpress

En esta entrada no voy a decir nada que no se sepa, pero reuniéndolo todo en un mismo sitio y en una misma entrada.

OJO Esto es solo una guía y aunque a día de hoy es válida… si pasan muchos días asegúrate que lo que ponga aquí sigue en vigor.

Todo lo que ponemos aquí son recomendaciones en base a nuestra experiencia, y ésta cambia o se actualiza todos los días, por lo que deberías estar seguro que lo que aplicas en tu instalación es lo que realmente le conviene. Siempre puedes contactar con nosotros para que hagamos el estudio adecuado de tu site.

Aunque el orden por el que voy a explicar las cosas es de básico a alto puedes aplicar todas o algunas de las acciones y en el orden que desees hacerlo, solo que ahora mismo pienso en los usuarios más noveles o inexpertos y por eso lo aplico de esta manera.

FASE PRE-1 ORDENADORES LIMPIOS.

Nunca debes conectarte a la administración de tu wordpress si no estás seguro que tu ordenador no está limpio. Huelga decir que los ordenadores de uso público o si estás conectado a uns WI-FI pública no segura es lo mismo.

¿Por qué es tan importante que el ordenador esté limpio?

Simplemente por que si tu ordenador ha sido infectado por malware tipo Keylogers todos tus datos personales quedan expuestos, incluidos nombres de usuario y contraseñas, por lo que de poco va a servir todo lo que vamos a hacer a continuación si alguien tiene acceso a todo lo que tienes en tu PC.

FASE 1 – NOMBRES DE USUARIO Y SUS CONTRASEÑAS

En wordpress, como en muchos sitios tenemos la puñetera costumbre de llamarnos admin, administrator, user, usuario, el nombre del dominio y no se cuantas bobadas más, éste, junto con poner una contraseña «blanda» conseguirá que nuestro site sea completamente inseguro. Es el primer paso que debemos hacer, usar nombres propios o nick son una buena opción.

Recordad que en la parte de usuarios podéis poner que se visualice de muchas maneras por lo que no es necesario que el nombre del editor sea el mismo que el de la web.

A partir de aquí no solo sirve para wordpress, puede aplicarse a cualquier entorno que nos solicite una contraseña segura. Podríais pasaros por el post de Panda Security que os enseñarán algunas «recetas» para obtener una contraseña fuerte.

Personalmente prefiero usar frases que solo tienen sentido para mí y por ejemplo coger las primeras letras… «Bubu es mi perro  y ha cumplido 1 año» y si cojo cada inicial saldría «Bempyhc1a» si le añadimos un símbolo al final veremos que tenemos una contraseña bastante sólida ya que cumple todos los requisitos:

  1. más de 6 caracteres
  2. mayúsculas
  3. números
  4. símbolo
  5. no coincide con ninguna palabra de ningún diccionario.

Y sobre todo no uses la misma contraseña en todos tus sitios y perfiles, y sobre todo recuerda actualizarlas cada ciertos meses (sé que esto es extremadamente laborioso y aburrido, pero es la mejor manera de mantener tus cosas en orden y seguras).

Para conseguir que sean diferentes en cada sitio puedes añadir, por ejemplo, un identificador para cada sitio. Si queremos casi la misma en Facebook podrías añadir FB_ al principio o final y quedaría diferente pero fácil de recordar.. en la muestra que os he puesto quedaría FB_ Bempyhc1a ¿Fácil de descifrar?

NOTA: Por mucho que pienses que tu site no tiene la importancia de otros, por lo que te sientes relativamente seguro, ten en cuenta que pueden usar tu servidor para muchas otras cosas que para hackearlo, por ejemplo pueden usar tu servidor de correo para enviar SPAM o para tratar de hacer phishing a otros usuarios… No te relajes.

FASE 2 – QUE TU WORDPRESS TENGA UNA SALUD DE HIERRO.

Lo primero que debemos para tener un wordpress saludable es no tener un millón de administradores, si bien es cierto que tener dos o tres admines es bueno, el tuyo y un par de colegas con conocimientos superiores a los tuyos para que te ayuden en un momento dado, el resto de ghest bloggers y colaboradores deberían tener un rol adecuado. (para saber más sobre roles hay mucha literatura pero si pasas por el codex.wordpress tendrás la info de primera mano)

Todo el sistema (wordpress, plugins, themes) debe estar actualizado, y siempre debes desconfiar de aquellas cosas que no se actualicen cada ciertos meses, un plugin o theme que no se actualice cada trimestre puede tener (casi con toda probabilidad) muchas vulnerabilidades.

Debes mantener un sistema de copias de seguridad permanente, el número de publicaciones mensuales debería marcar el número de ellas, aunque en un portal normal estamos hablando como mínimo de copias semanales. Si tu web tiene cierto número de visitas deberías plantearte copias diarias.

FASE 3 – REFUERZOS EXTERNOS A TU WORDPRESS.

Son varias las acciones que podemos hacer para asegurar nuestro wordpress, algunas de ellas con externas al mismo wordpress.

El proteger los ficheros config.php y .htaccess (tiene un punto por que es invisible) y la carpeta wp-content

Cambiar la ruta del wp-config.php y de la carpeta wp-content es más que interesante, el primero (wp-config.php) por que contiene la información de acceso a tu base de datos y el segundo (carpeta wp-content) contiene los plugins, el theme y la mayoría de ficheros de configuración de tus plugins y scripts además de las cachés, de manera que siempre será una buena idea que estos ficheros y directorios no se encuentren en rutas «normales».

Puede ser que te asuste hacerlo por tu cuenta, por lo que si necesitas ayuda en ésto o alguna otra cuestión con ésto no dudes en contactar con nosotros.

No regales información, por lo que será buena idea eliminar el  archivo readme.html y el fichero wp-admin/install.php y por supuesto cualquier otro que pueda dar información sobre tu instalación de wordpress.

FASE 4 – REFUERZOS INTERNOS EN TU WORDPRESS.

Por supuesto la parte más recomendable siempre pasa por tener todo el sistema actualizado, pero podemos ayudar un poco más a que todo sea un poco más seguro.

Podemos instalar algunos plugins de seguridad:

  1. Wordfence : Probablemente el mejor sistema de protección por fuerza para wordpress, en las últimas versiones incluye un cortafuegos en tiempo real (personalmente no me gusta) pero para el resto de funcionalidades es una auténtica genialidad incluso en su versión gratuita.
  2. NinjaFirewall (GT Edition) Para mi el mejor cortafuegos que se puede encontrar para servicios que trabajan en PHP, aunque es un plugin es una verdadera aplicación Firewall (cortafuegos) un servidor independiente de seguridad que se coloca delante de la instalación de wordpress. Es el cortafuegos más ligero y rápido que he probado y permite (en su última versión) el escaneo de los ficheros y la búsqueda de códigos inyectados).
  3. Askimet Plugin desarrollado por los creadores de wordpress y que comprueba automáticamente los comentarios que se hacen en el blog investigando si parecen SPAM, en caso afirmativo los coloca en la carpeta de SPAM.

FASE 5 – ULTIMO REFUERZO. SENTIDO COMÚN.

Se que todos decimos lo mismo, pero al final resulta que es el menos común de los sentidos. Todos queremos redactar y hacerlo mucho y lo mejor posible, por lo que a veces podemos dejarnos influir por pseudo-expertos que nos recomiendan acciones o nos «regalan» plugins o themes.

Nunca debes aceptar nada de alguien que no conozcas de verdad o que no puedas comprobar su reputación y trayectoria. En último caso si dudas y ves que el «regalo» no lo puedes encontrar en los repositorios oficiales NO INSTALES y si quieres probarlo hazlo en una instalación que aunque fallara no te cause pérdidas de información o de datos de seguridad. Por supuesto si se trata de un ecommerce con conexión a tus datos financieros huelga decir que nada de instalar nada que no puedas estar completamente seguro de que es correcto.

Internet está lleno de oportunidades, pero no olvides que de listillos los hay por todas partes y que al final el único que puede garantizar tu seguridad eres tú mismo y en ultima instancia una empresa (o verdadero profesional) que pueda garantizar que todo estará correctamente comprobado.

Por supuesto si necesitas ayuda en ésto o alguna otra cuestión no dudes en contactar con nosotros.

0 comentarios

Enviar un comentario

Entradas relacionadas

Cómo aumentar el tráfico del sitio web

Cómo aumentar el tráfico del sitio web

Cómo aumentar el tráfico del sitio web. Esta es una de las preguntas que más a menudo nos dirigen, si bien el concepto en general es sencillo, me temo que llevarlo a la práctica no lo es tanto. Os dejamos la traducción de un artículo que seguro que os resulta...

Palabras poderosas: El arte de escribir titulares que hagan click

La fuerza de las palabras se mide por la capacidad de atracción que tienen a la hora de atraer al lector hacia el contenido que has desarrollado, solo que apenas tenemos unas pocas palabras para conseguirlo, si no superamos el filtro del "titular" poca gente va a leer...

Soft skills, son las habilidades que los técnicos olvidan.

Soft skills, son las habilidades que los técnicos olvidan.

Que no te engañen un altísimo porcentaje de las Start-ups fracasan o se acaban comiendo el presupuesto por falta de ventas. Aquí intervienen las "habilidades blandas" o Soft skills. Que no te engañen un altísimo porcentaje de las Start-ups fracasan o se acaban...