WordPress es uno de los CMS más utilizados en la actualidad y por ello el más propenso a recibir ataques por parte de los hackers y para evitar eso o bueno al menos para complicar un poco el riesgo de ataque te enseñare alguna de las pautas de seguridad en WordPress que suelo utilizar
Tabla de contenidos
Primero que nada tenemos que entender que WORDPRESS ES UN SISTEMA y la salud depende de mantenerse al día con sus respectivas actualizaciones.
Si quieres mantener saludable tu WordPress tiene que mantenerlo actualizado
Como mantener seguro tu WordPress
[php snippet=1]
La seguridad de un sistema de WordPress realmente es muy sencillo y solo debemos seguir un conjunto de pasos, mantenerlo actualizado tanto los plugin como los temas es uno de ellos, pero al mismo tiempo instalar algunos plugin que refuerzan la seguridad te ayudaran mucho más.
así que ahora veremos unos sencillos pasos y tip’s a seguir y te garantizo que lograrás tener seguro tu wordpress a un nivel más complejo y que evitará que seas una víctima potencial del hacker.
Actualizar WordPress.
WordPress es un sistema y como cualquier sistema tiene errores.
Estos errores suelen llamarse bug y la manera en la que los corrigen son a través de parches de seguridad y estos parches de seguridad se encuentran en las nuevas versiones de wordpress.
Para que se pueda entender bien, imaginemos que en estos momentos tenemos la versión 3.0 de wordpress instalada en mi pagina.
Este articulo te puede interesar: Como hackear un wordpress
Bueno resulta que esta versión tiene en el núcleo de wordpress un error de lectura de caracteres lo que genera una sensibilidad de directorios.
Esta sensibilidad de directorios genera una lectura de los archivos de configuración (WP-config.php) y un hacker puede conocer cuales son las credenciales de la base de datos.
Si alguien accede a mi base de datos puede crear un usuario admin para eliminar contenido o crear paginas y post y en el peor de los casos borrar la base de datos.
Actualizar los Plugin y depurar los innecesarios
Los plugin también son programas y de la misma manera deben mantener una actualización constante, lo que al igual que el sistema de WordPress evitaría estar expuestos a ataques que comprometan la seguridad en WordPress.
Te pondré un ejemplo propio.
hace unos meses yo tenia una página web que funcionaba con el plugin Simple fields, dicho plugin no lo habia actualizado debido a x razón mía.
Pues bien este plugin tenia un error que permitía a través de un script “Eliminar la configuración del mismo” e ingresar un script que re diseccionaba a una pagina de anuncios porno.
Otro gran error que comenten los usuarios es tener una gran cantidad de plugin innecesarios en el sistema, muchas veces sólo se desactivan, mientras que otras se mantienen activos, sin embargo ¿Por qué tener algo que no ocupamos?
En primera instancia solo ocupa recursos del servidor y en segunda la menor cantidad de plugin, es una manera de controlar la seguridad de nuestro sistema.
[php snippet=1]
Actualizar tu plantilla.
Normalmente algunas personas usan los templetes Free de WordPress y mientras que otras personas compran las plantillas y sea cual sea el caso, es indispensable mantener actualizado el template.
Cabe señalar que si hiciste un cambio a nivel de programación, ese cambio se borrara al actualizar el template y de igual manera borra los que no uses.
Instalar Plugin de Seguridad
Una ves que se eliminen plugin innecesarios, se necesita instalar otros que aportan valor a la seguridad de tu sistema y entre ellos te presento a: itheme security
Particularmente para mi es uno de los mejores plugin de seguridad es muy ligero y además la versión gratuita te mantiene protegido.
Este plugin tiene diversas funciones que monitorizan en tiempo real el estado de tu sistema bloqueando ataques de fuerza bruta, intentos de acceso no autorizado y notificaciones cuando algún archivo del sistema ha sido modificado
Además algo que me gusta es que me llega sus correos sobre los plugin vulnerables del momento.
Cambiar el Login de wordpress
Te suena esto “wp-admin” Pues bien muchos hackers conocen la ruta de acceso al administrador de WordPress y generalmente scanena el internet en busca de sitios web realizados en wordpress para posteriormente auditar el nivel de seguridad.
Para evitar esto o al menos no entrar entre los miles de escaneos al día lo mejor es cambiar la ruta normal de acceso, es decir el wp-admin por un “aqui-no-se-usa-un-cms”
Existe diversos plugin para ello y particularmente te recomiendo usar el plugin de Custom Login
Evita usar tu hosting como almacenamiento de datos
Aunque parezca difícil de creer, muchas personas usan su hosting como un medio de almacenamiento de datos de acceso, base de datos, cuentas de correo y muchas otras cosas más.
Esto no solo representa un riesgo potencial, también estas poniendo en riesgo un montón de información clasificada que no quieres que caiga en manos de otras personas.
Y si no me crees ve a Google y escribe esto: intext:”wordpress” filetype:xls login & password
Como puedes ver aparecen varios resultados que guardan datos de acceso a diversas cosas…. así que por favor NO USES TU SERVIDOR PARA GUARDAR INFORMACIÓN.
Conclusión
Como puedes darte cuenta, mantener seguro tu sistema de wordpress es muy sencillo y darle al menos unos minutos cada semana para mantener a día la salud de tu sistema te puede ahorrar muchas molestias y visitas inesperadas
