Consejos seguridad WordPress – Como Proteger tu Blog

Consejos seguridad WordPress – Como Proteger tu Blog

Tras el grave hackeo que he sufrido en semana santa en mi blog. He intentando meter más niveles de seguridad en la aplicación de WordPress. He leído unos cuantos tutoriales, blogs y foros. Lo mínimo que se debe tener para securizar algo más la aplicación son los siguientes trucos o mejoras adicionales.

Deshabilitar los errores que se muestran en el formulario de login

Cuando te logeas en el panel de control de WordPress te pueden aparecer mensajes de errores si introduces mal el usuario o el password. Pues bien esto puede ser un método por donde un hacker puede sacar el user con el que haces login, viendo los mensajes de error que aparecen. No muestres la información de los errores.

Para ocultar los errores de login añade la siguiente linea en archivo functions.php de tu template.

add_filter('login_errors',create_function('$a', "return null;"))

Protege tu archivo de configuracion

El archivo de configuracion wp-config.php es sin duda uno de los más importantes por mostrar los datos de conexión a la base de datos, e incluso los datos de conexión por ftp para que se realicen las actualizaciones automáticas. Al contener todo este tipo de información crítica hay que securizarlo todo lo que se pueda. Para ello vamos a evitar que cualquier persona pueda tener acceso al mismo con directivas de Apache.
Tendremos que modificar el archivo .htaccess que esta localizado en el directorio raíz de nuestra instalación de wordpress y agregar las siguientes líneas.

<files wp-config.php>
order allow,deny
deny from all
</files>

Evitar script Injections

Casi con toda seguridad el tipo de hackeo que me hicieron es un script injection. Es el más fácil y rápido de efectuar. A parte en cuanto sale una nueva version de WordPress ya hay quien esta intentando sacar exploits y vulnerabilidades de cada versión para atacar a los usuarios de WP.

Para hacer frente a script injections, vamos a evitarlo metiendo una expresiones regulares con directivas de Apache en el archivo .htaccess que he mencionado anteriormente.

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Eliminar el nombre de admin en los estilos de los comentarios en WordPress

Puedes leer el artículo que ya he escrito sobre este nivel de seguridad. Leer artículo

Elimina el meta con la version de wordpress

Importantísimo. Un atacante siempre va a ver que versión usas de WP y te intentará hackear con todos los exploits que tenga para esa versión, sin duda.

Lee el artículo que sobre como quitar la version de WP en los meta. Leer articulo

Esto quizá es lo primero que debemos hacer.

No users admin como login

Por defecto WP usa como superusuario de la plataforma el login: admin. No cabe decir que es el primer usuario que un atacante probará para acceder a tu WP. Cambiarlo cuanto antes mejor.

Sin duda algo que hay que hacer si o si!

Conclusión:

WP es un código abierto, por lo tanto expuesto. Los que lo usamos asumimos el riesgo de utilizarlo. Hay que tenerlo siempre actualizado a la última versión. Por lo que cuando aparezca una nueva versión sin duda actualizarlo cuanto antes.

Plugins. Hay que tener mucho cuidado con los plugins que metemos. En principio no son malware, pero si es verdad que hay código que cuando lo miras da pena verlos y tienen muchos agujeros de seguridad, entonces hay que tener cuidado. Utilizar plugins que tengan un mantenimiento constante. Que no lleven muchos meses o años sin actualizarse, a menos que sea una versión muy estable y segura.

Lo que es cierto que los hackers y los que intentan un objetivo através del hacks, exploits, spam y toda esta mierda, siempre van un paso por delante. Hay que tener mucho cuidado y sobre todo cuando la página tiene mucho tráfico y visitas se convierte automáticamente en un objetivo mucho más marcado. No quiero imaginar la de spam y ataques que sufrirá smashingmagazine, net.tutsplus.com u otros superblogs con cientos de miles o millones de visitas diarias.

Noticias relacionadas »

1 comentario en “Consejos seguridad WordPress – Como Proteger tu Blog

  1. Ery
    / Responder

    muy interesante tu articulo , permiteme agregar algo a lo que dices , hay unos plugins muy buenos para la seguridad en wordpress que pueden ser de utilidad , por ejemplo en mi pagina tengo uno que al intentar loguearte si pones el user o pass equivocado en tres intentos automaticamente tu ip sera baneada y no podras volver a intentarlo hasta que pase una semana o el tiempo que yo indique , gracias por tu articulo muy bueno ….

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Invertir en criptomonedas: »

 

Cómo comprar bitcoin

Invertir y comprar Bitcoin y otras altcoins es más fácil de lo que crees.

1) Si sólo quieres comprar Bitcoin, Ethereum o Litecoin como inversión, tu opción es Coinbase

2) Si quieres probar con otras criptomonedas tu opción es Binance

3) Cualquier duda escríbeme con total libertad al formulario de contacto para resolver dudas: https://www.pedroventura.com/contacto/

¡Comparte este artículo! »

  • Margherita (5 horas)
    Hola, tengo un problema con el plugin. Tanto en la…
  • Pablo H (2 semanas)
    Hola Pedro, Muchas gracias por el post, me fue muy…
  • Pedro Ventura (2 semanas)
    Hola Margat Muchísimas gracias por tu comentario, me alegro de…
  • Pedro Ventura (2 semanas)
    Hola Rebeca, Tan sólo se permite 1 dominio por cuenta.…
  • Rebeca (2 semanas)
    Hola. Yo ya tengo un dominio en bitly pero quiero…
  • Pedro Ventura (3 semanas)
    Hola Raul, 1. No habría problema, de hecho yo sigo…

Suscríbete al newsletter »

Proporciona tu correo electrónico a continuación y recibe las últimas noticias! Funciona con Feedburner de Google

Archivo »

Leer entrada anterior
Acid3. El test para los navegadores web

Acid3 es una página para poner aprueba los estándares web de los navegadores. Asegurando así un soporte correcto de los...

Cerrar