Refuerza la seguridad en WordPress

plugins-seguridad-wordpress-narviz

Hay muchísima gente en todo el mundo que usa WordPress para gestionar el contenido de su sitio. ¿Por qué? Uno de los principales motivos es que es software libre. Es su mayor virtud, pero también puede ser su peor defecto. Ten en cuenta que, al tratarse de código abierto, está indefenso ante todo el que quiera analizarlo para explotar vulnerabilidades en él. En este post, te damos 5 trucos para mejorar tu seguridad en WordPress.

Como consecuencia, los sitios de WordPress han sido siempre un poco como cebo para tiburones. Sabemos que un hackeo puede dañar la reputación y la actividad de una empresa y que es un auténtico fastidio para los particulares. Por eso, vamos a darte algunas indicaciones para blindar al máximo tu aplicación y reducir las posibilidades de hackeo al mínimo.

Antes de empezar a hacer cambios manuales en el código (ya seas novato o experto), lo mejor es que realices un backup para poder probarlos en una instalación de WordPress de mentirijillas. Así podrás implementarlos solamente cuando estés seguro de que funcionan correctamente. ¡No tienes por qué poner en riesgo el funcionamiento de tu sitio! Por cierto, para editar los ficheros como te vamos a ir indicando, puedes hacerlo a través de FTP o bien haciendo uso del administrador de archivos de cPanel.

Vamos allá.

#0 – Cambia el prefijo durante la instalación manual

Nosotros ponemos a disposición de nuestros clientes la herramienta Fantastico en el panel de control de su hosting web, para que la instalación de un WordPress sea muy sencilla y rápida. Sin embargo, si no te molesta realizar la instalación de manera manual, hay un paso que puedes dar para añadir un pequeño extra de seguridad: cambiar el prefijo predeterminado de las tablas (wp_) por uno distinto.

Cuando subas los archivos para instalar WordPress en tu servidor y los ejecutes, podrás establecer directamente en una misma pantalla el nombre de usuario, la contraseña, el nombre de la base de datos y el prefijo para las tablas. ¡Esta es la forma más fácil!

#1 – Actualiza de forma periódica

Las actualizaciones de WordPress no son opcionales. Es muy importante que estés atento a cuando la aplicación te avise de que hay una versión nueva, ya que a menudo resuelven vulnerabilidades y, además, le complicarás la vida al hacker que ya ha encontrado todos los agujeros de la versión antigua: ¡tendrá que volver a empezar!

Revisa también los plugins y las plantillas, porque también se mejoran con el tiempo. Si ves que hace mucho tiempo que no se actualiza alguno de ellos, es mejor que busques alternativas. A todo esto, ¿tienes plantillas o plugins inactivos? Tendrán agujeros que los hackers podrán aprovechar para hacerte daño. Elimina todo lo que no estés utilizando y quédate solo con lo que necesitas: es una medida muy sencilla, pero muchísima gente se olvida de borrar después de desactivar.

#2 – Cambia el usuario predeterminado

Lo primero que van a intentar para entrar en tu WordPress es introducir el usuario predeterminado, que es “admin”. Si no te tomas la molestia de cambiarlo, les habrás hecho la mitad del trabajo: solamente les faltará la contraseña. ¡Es un cambio muy sencillo! Crea un usuario nuevo al que proporcionar privilegios de administrador, borra el usuario “admin” y, cuando WordPress te pregunte qué debe hacer con los post y enlaces que pertenecen a ese usuario predeterminado, marca la opción “Attribute all posts and links to:” y elige el nuevo usuario.

#3 – Borra la versión de WordPress de la sección wp_head

La sección wp_head especifica la versión de WordPress que has instalado. ¿Por qué debes borrarla? Porque es información que no necesita ser pública y que puede ser utilizada por algún gamberro para saber la vulnerabilidad exacta para atacarte. Para eliminar esta información, ve al archivo header.php y borra esta metaetiqueta:

<meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” />

 

#4 – Desactiva el editor de plantillas

Si te hackean los datos de acceso a WordPress (el nombre de usuario y la contraseña), podrán entrar en los archivos de las plantillas para insertar código malicioso, cambiar los permisos, subir más archivos, etc. Si desactivas el editor de texto (siempre después de dar el paso #3) que viene por defecto para plantillas, no podrán modificar sus códigos de ninguna manera.

Para hacerlo, ve a la carpeta en la que has instalado el WordPress y busca un archivo llamado wp-config.php. Tienes que añadirle este código para que ya no se puedan editar los archivos desde el panel de administración:

/* desactivar editor de plantillas */

define( ‘DISALLOW_FILE_EDIT’, true );

 

#5 – Protege la carpeta wp-admin con contraseña

Esta medida impedirá que puedan explotar cualquier vulnerabilidad de WordPress que pueda existir en esta carpeta. Es decir, aunque un hacker averigüe los datos de acceso a la aplicación, tendrá que pasar por encima de esta otra medida de seguridad, que es a nivel de servidor, y no podrán acceder al administrador si no lo consiguen.

Para proteger wp-admin con contraseña, ve a tu panel de control cPanel y haz clic en el icono “Directorios protegidos con contraseña”. Elige la carpeta wp-admin haciendo clic sobre ella y, a continuación, configura los usuarios a los que quieres autorizar y, finalmente, define un nombre de usuario y una contraseña. Et voilà!

Existe la posibilidad (poco común) de que, si tienes un plugin instalado que hace llamadas a wp-admin, a una visita que intente cargar un fichero situado en esta carpeta se le pidan el nombre de usuario y la contraseña. Si se da esta circunstancia, lo mejor es buscar otro plugin o, en último caso, desproteger la carpeta para no molestar a las visitas. Ya te decimos que no ocurre a menudo, pero puede pasar.

En resumen

Estos son los primeros 5 consejos de una serie que seguiremos completando. Vamos a dejarlo aquí por hoy para que puedas ir probando cosas nuevas sin saturarte mucho. ¿Ya sabías todo esto sobre la seguridad en WordPress o te hemos descubierto algo nuevo? Sea como sea, no dudes en dejar un comentario o en buscarnos en Twitter o en Facebook.

Compartir en:

Facebook
Twitter
Pinterest
LinkedIn
Narviz Ecommerce and Consulting

Escríbenos para darte un asesoramiento personalizado