Mantener seguro un desarrollo web frente a ataques tipo sqlinjection, fuerza bruta o denegación de servicio, por poner 3 ejemplos, es una tarea bastante complicada. La «explotación» de bugs y debilidades en nuestro código y/o la «inseguridad» de nuestro hosting con versiones antiguas de software, y la ausencia de medidas para bloquear ataques (ej. mod_security), acarrean serios problemas a los administradores de los sitios web.
Sin embargo, si el sitio web está desarrollado en WordPress, estamos de enhorabuena. Podemos mejorar sustancialmente la seguridad en WordPress siguiendo unas instrucciones básicas y sin necesidad de programar nada.
Haciendo un WordPress más seguro
Hemos desarrollado un pequeño vídeotutorial (ver más abajo) en el que te damos 6 consejos para hacer de tu sitio web en WordPress un lugar más seguro.
1. Actualización de WordPress y plugins
Debido a la gran cantidad de desarrolladores y colaboradores de la comunidad WordPress, existe un continúo testeo y mejora de la plataforma, para evitar vulnerabilidades en el software. Es muy importante actualizar de manera perioódica tanto la versión de WordPress, como los plugins instalados.
2. Eliminación de plugins no usados
Una de la fuente de problemas de seguridad en WordPress son los plugins. Por ello es muy importante desactivar y borrar todos aquellos plugins que no usemos. Así mismo, es recomendable no instalar plugins de procedencia «dudosa».
3. No usar ‘admin’ como usuario administrador
El usuario ‘admin’, es el usuario empleado por defecto en los ataques de fuerza bruta, en los que se quiere tomar control de WordPress como administrador. Creando otro usuario administrador diferente y borrando ‘admin’, pone las cosas más difíciles a los atacantes.
4. Cambio de contraseña por una más segura
Puede resultar obvio, pero la mayor parte de las contraseñas que usamos son fáciles de sacar con programas «diccionario». Es importante asegurarse que nuestra contraseña es fuerte (muy difícil de «adivinar»). Si tu WordPress dispone de usuarios adicionales, puedes instalar el plugin «Enforce Strong Password«, para forzar a los mismos a que cambien su contraseña por una más segura.
Como consejo a la hora de elegir una contraseña, es importante evitar usar:
- Cualquier permutación de tu nombre, usuario, nombre de empresa o nombre de dominio.
- Una palabra que se encuentre en un diccionario, independientemente del idioma.
- Una contraseña corta.
- Un número en exclusiva o una palabra con sólo caracteres del abecedario. Lo ideal es usar una mezcla de ambos.
5. Instalación de plugin BruteProtect
A diferencia de los hacks que se centran en las vunerabilidades del software, los ataques de fuerza bruta se centran en obtener acceso a nuestro sitio mediante el viejo sistema de «prueba y error» de usuarios y contraseñas, de manera continuada. Con los dos consejos anteriores, retrasamos en gran medida que «acierten» con el usuario y contraseña, pero con tiempo y el software de hack adecuado, es posible que acierten y se hagan con el control de nuestro WordPress. BruteProtect evita estos ataques, bloqueando los intentos máximos que se puedean realizar desde una IP.
6. Copia de seguridad
Por último, pero igualmente importante, es fundamental realizar una copia de seguridad de WordPress (archivos y base de datos) de manera periódica.
A continuación, el vídeotutorial:
[youtube 16U-54FFbl8 620 376]
Información Relacionada:
