Mantener nuestro blog seguro debe ser siempre un principal objetivo y además un dato muy importante que todo bloguero ha de tener en cuenta. Wordpress se está convirtiendo en el blanco de muchos hackers, así que lo mejor que podemos hacer es siempre mantenernos actualizados con cada uno de las actualizaciones y parches que vayan sacando sus desarrolladores.
Además de eso, podemos poner en práctica una serie de aspectos que he conocido gracias al blog de Alex Denning.
- WP Security Scan
Con este plugin para wordpress podemos mantenernos seguro, ya que escaneará nuestro blog en busca de errores ya sea en la base de datos, permisos de ficheros, etc…ha sido desarrollado por Michael Torbert, y podemos descargarlo des de AQUÍ.
- Proteger nuestros plugins
Los plugins son una forma fácil de hackear para lograr acceder al blog si no son lo suficientemente idóneos o no están bien programados. Los hackers suelen acceder desde el explorador a /wp-content/plugins/ y si localizan un plugin con el que puedan acceder, lo harán. La solución a este problema es colocar un fichero index.php con el siguiente código:
<?php
// Silence is golden.
?>- Mantener Wordpress actualizado
Esto es fácil de llevar a cabo, y sin embargo me sorprende que mucha gente no lo haga, la penúltima actualización, hasta que salga la versión 2.9 es la 2.8.5.
- Una buena contraseña
Es lo más común y algo a tener muy en cuenta, así que no debemos usar la misma clave que usamos para todas las páginas webs en la que nos damos de alta.
- Cambiar el nombre de usuario admin
Cuando instalamos Wordpress, por defecto tenemos un usuario con el nombre admin y puedo asegurar que he visto muchos blogs que todavía tienen ese usuario. ¿Por qué deberíamos cambiarlo? Principalmente porque le daríamos la mitad de las probabilidades a un hacker para que pueda acceder a nuestro blog. Cambiar el nombre de usuario es cosa sencilla, y no perderemos las entradas porque pueden ser migradas de un usuario a otro antes de eliminarlo.
- Proteger el fichero wp-config.php
En este fichero se guarda nuestro nombre de base de datos, usuarios y contraseñas, así que debemos protegerlo de la siguiente forma. Debemos acceder a nuestro fichero .htaccess y añadir lo siguiente:
# protect wpconfig.php
order allow,deny from all- Esconder la versión que usamos de Wordpress
Debemos editar nuestro fichero header.php y borrar el meta dato, algo como <meta name=»generator» …. El problema es que Wordpress añade ese metadato de forma automática y para eliminarlo tenemos que editar el fichero functions.php y añadir el siguiente código que he visto en ProBlogDesign:
<?php remove_action('wp_header', 'wp_generator'); ?>- Limitar el número de veces que un usuario puede introducir su contraseña
Esto lo podemos hacer instalando el plugin Login LockDown . Podemos indicarle cuantas veces un usuario puede introducir de forma errónea su contraseña para acceder al blog.
Limitar el acceso del administrador mediante IP
Es una buena práctica asegurar el acceso al administrador, permitiendo solo el acceso del mismo mediante IP, aunque solo podemos usarlo si tenemos una IP estática. Lo haremos modificando el .htaccess
order deny, allow
allow from a.b.c.d. #your static ip
deny from all
- Acceder al blog vía SSL
Si nuestro host puede soportar certificados SSL podemos usar este estupendo plugin WP Plugin Directory para acceder a nuestro panel de control de forma segura.
