Cada entrada, cada enlace que consigas a tu web, hará que seas cada vez más popular y ganaras reputación. WordPress es una plataforma muy popular no solo para gente que piense en su negocio sino para gente malintencionada. Vamos a ver que como podemos proteger wordpress de los hackers.
Pasos básicos para protegerse
Como hemos mencionado WordPress es muy popular porque es fácil de instalar, configurar, mejorar diseño, instalar funcionalidades, etc. Y es openSource, algo muy muy positivo, ya que nos da acceso a todo su código fuente y podamos mejorarlo, pero eso (Qué es muy bueno) lo hace accesible a los que quieren hacernos daño, es decir tienen acceso a la configuración de base de datos, y la estructura del código fuente. Pero para eso, también WordPress, es muy bueno en actualizaciones de seguridad, solo hay que seguir estos consejos básicos:
- Mantenerse al día: Esta bien temer un tema muy bonito o un plugin precioso, pero necesitamos que se actualice con cada nueva versión de WP. El CORE WordPress se actualiza cada pocos meses (3-4) para mejorar su código y solventar problemas de seguridad o rendimiento, ES OBLIGATORIO ACTUALIZARSE a cada nueva versión lo antes posible, y no solo el CORE sino los plugins y temas, si un tema / plugin no se ha actualizado en los últimos 2 años, descártalo. Este no es un problema de WordPress, es un problema general de la tecnología, pasa igual con el software del mvl, etc.
- Cambiar prefijo de base de datos: Al instalar WordPress nos pide que pongamos un nombre de prefijo para las tablas de la base de datos, y por defecto nos propone wp_. Es OBLIGATORIO cambiar este prefijo, así protegemos la base de datos.
- Contraseñas: Aunque sea un tópico, hay que usar contraseñas de calidad. Las que propone WordPress desde su gestor de usuarios son de muy buena calidad. Siempre hay quejas del tipo: es que no me acuerdo de ese pedazo contraseña, pero si queremos estar protegidos piense que los mayores robos de información empieza por una mala contraseña o una contraseña visible en forma de posit pegado (esto lo he visto yo) al escritorio o en un word en el escritorio sin contraseña. Piensa que los usuarios no son conscientes de muchos de los peligros de tener contraseñas típicas: 123456, nombre de mi mascota, etc.
- Cambiar las claves de codificación de cookies: En el wp-config hay un bloque de claves que debemos actualizar con las nuestras (generador de claves). estas claves se usan en la generación de sesiones de los usuarios.
- Copias de seguridad: Aunque no sea en si una medida para evitar, si permite, si sucede, recuperar la información al momento de la última copia.
- En cuanto a temas y plugins revisar:
- Calidad del código fuente.
- Cada cuanto se actualiza.
- Si es compatible con la última versión de WP.
- Cuantos usuarios lo tienen instalado (Mirar este dato junto a la fecha del plugin, un plugin nuevo es normal que no tenga usuarios)
- Revisa las preguntas en los foros del plugin (en wordpress.org/plugins/) y mira si responden, si hay problemas, etc.
- Debug: Desarrolla con el debug activado, te puede dar pistas de errores de seguridad en tu código fuente.
- Activa HTTPS: Por lo menos en el gestor, aunque mejor para toda la web.
//en wp-config.php
define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);
//en .HTACCESS
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://midominio.ES/$1 [R,L]
- Permisos de las carpetas: Por norma general para los archivos establece un permiso 644 y para carpetas 755, la única carpeta que debe ser accesible para escritura es uploads que es donde se almacenan las imágenes.
- Controlar el SPAM. Tener enlaces a webs de baja reputación no solo afecta a la reputación, sino al rendimiento. Estamos diciendo que nuestra web está abierta a Spam y empezarán a llegar en oleadas.
Seguridad avanzada
Los puntos anteriores son el mínimo exigible para una web WordPress, pero podemos llevar la seguridad un paso más haya.
- Limitar intentos de conexión: Es decir que cada usuario solo pueda intentar acceder 3 veces (por ejemplo) y si no lo consigue que no puede evitarlo durante 24 horas. Esto se puede conseguir con un plugin como: WP Limit Login Attempts.
- Reubicar o proteger wp-config.php: Podemos mover wp-config.php a una carpeta superior sin que WP deje de funcionar, por ejemplo si nuestra web está instalada en: miweb.com/blog/ podemos mover el fichero a miweb.com, todo funcionara igual. Otra opción es protegerlo desde htaccess:
<files wp-config.php> order allow,deny deny from all </files>
- Reubicar wp-content: WordPress usa las variables globales: WP_CONTENT_DIR, WP_CONTENT_URL, WP_PLUGIN_DIR, WP_PLUGIN_URL para determinar la ubicación de las carpetas wp_content y plugins. Desde wp_congif.php podemos indicarle que su dirección es diferente a la de por defecto. Hay que tener en cuenta que este cambio puede suponer un refuerzo de seguridad inmenso pero que algunos plugins o temas no funcionen correctamente, por lo tanto recomiendo hacer este cambio al comienzo del proyecto, y solo para aquellos en la que la seguridad sea clave.
- Autentificación en 2 pasos: Lo que se hace es, además de los datos de usuario habituales, añadir otra capa de seguridad. Personalmente me gusta la idea del proyecto google authenticator que consiste en escanear un código QR generado en el momento de loguearse mediante la app del proyecto, que genera un código que solo se puede solo en ese momento, entonces compara que el usuario de la APP (logueado) es el mismo que intenta loguearse en WP.