Enralados

Cómo mantener WordPress seguro

La seguridad es un tema muy serio que nos preocupa a todos. Debemos tomar las medidas oportunas tanto del lado del servidor como del lado del cliente para evitar exponernos a ataques de personas o aplicaciones malintencionadas. En cuanto al equipo que utilizamos para trabajar con WordPress debemos asegurarnos que esta libre de spyware, virus o similares y se está navegando de forma segura. Tener actualizadas las aplicaciones, el sistema operativo y el antivirus es imprescindible para reducir al mínimo el daño que pudieran hacer estas amenazas.

En el servidor también podemos realizar algunos ajustes en materia de seguridad. Aunque se da por supuesto siempre que contratamos un hosting que disponemos de un soporte técnico que se encarga de estas tareas, la cantidad y variedad de contenido alojado requiere que se establezcan ajustes específicos para cada aplicación. El mantenimiento del servidor no incluye el seguimiento del código o del contenido ni el mal uso que se haga de ellos. Podemos recibir recomendaciones y sugerencias del servicio técnico pero el mantenimiento y las medidas de seguridad a adoptar para nuestro blog nos corresponde a nosotros llevarlas a cabo.

Estas son algunas medidas básicas de seguridad para WordPress:

- De forma urgente, si no lo has hecho todavía, actualiza WordPress a la última versión existente, a dia de hoy la 2.8.4. Las anteriores versiones tienen fallos de seguridad conocidos por todos y, por supuesto, por los hackers que fueron los primeros en descubrirlos. Existen casos en los que, aprovechando estos agujeros de seguridad, se han creado usuarios admin ocultos sin que sean detectados por el verdadero administrador del blog. El famoso caso del "administrador fantasma". También son conocidos los ataques por inyección de código SQL que modifican las urls del blog haciéndolo inservible. Por eso es muy importante instalar las últimas versiones que incluyen los parches de seguridad que van saliendo con el tiempo.

- Cambiar el nombre de usuario de acceso a WordPress. Todos sabemos que admin es el usuario que se crea después de la instalación lo que facilita los intentos de acceso al blog puesto que sólo hay que averiguar la contraseña. Una solución sencilla para cambiar el usuario es utilizar el plugin Wp-Optimize. Este plugin nos permite optimizar la base de datos de WordPress con lo que tenemos dos útiles herramientas en una.

- Usar contraseñas fuertes, no elegir el nombre del usuario como contraseña ni palabras que figuren en el diccionario o combinaciones de estas. Tampoco hay que usar nombres propios ni nombres de paises, ciudades o pueblos. Suele ser típico escoger letras que se encuentran correlativas en el teclado del PC, como qwerty, asdfg, etc, no es una buena elección. Existen programas automáticos que utilizan todas las combinaciones anteriores con números y letras para descubrir contraseñas.

Las contraseñas deben contener mayúsculas, minúsculas y simbolos, y deben tener una longitud de 10 caracteres como mínimo. Esto es aplicable, como norma general, para cualquier tipo de contraseña no sólo para WordPress.

- Cambiar la contraseña de acceso con regularidad. Nos guste o no debemos acostumbrarnos a cambiar de contraseña cada cierto tiempo. Crea una lista de 15 o 20 posibles contraseñas con las características anteriores y selecciona una distinta cada mes o cada dos meses.

- Cambiar el nombre del fichero wp-login. Si no te quedas tranquilo con lo anterior puedes renombrar el fichero wp-login.php de acceso al blog. Edita el fichero wp-login.php y sustituye donde aparezca wp-login por el nombre del fichero que desees. Cuando quieras acceder a tu DashBoard escribe el nuevo nombre en la barra del navegador en vez del clásico wp-login. También debes modificar el archivo general-template.php dentro de la carpeta wp-includes y sustituir wp-login por el nuevo nombre del fichero elegido.

Sería interesante que copiaras el archivo index.php y lo llamaras wp-login.php. De esta forma si alguién intenta acceder con wp-login siempre le saldrá la página de inicio al blog. Claro que también puedes personalizar wp-login.php con el mensaje que creas conveniente.

Por supuesto, no se te ocurra poner un link en el Blog para acceder a este fichero de login, se mostraría en el navegador del visitante.

Una vez hayas entendido la importancia de llevar a cabo estas medidas básicas puedes proceder con el siguiente nivel de seguridad, la configuración del archivo .htaccess en el servidor para restringir el acceso a tus ficheros y directorios.