Juan Manuel 7 de marzo de 2008 a las 11.52
   Imprimir artículo
elWebmaster.com

10 tips de seguridad para tu blog de WordPress


Seguridad en blogs de WordPressCreo que todos estamos de acuerdo en que mantener la seguridad e integridad de nuestro blog es una prioridad. Sobre todo si no escribimos por hobby sino que nos tomamos en serio el asunto y pretendemos ganar algo de dinero o elevar nuestro PageRank.

Errores t√≠picos como plugins expuestos al p√ļblico, contrase√Īas desprotegidas, falta de backups y aplicaciones desactualizadas ser√°n cosa del pasado. Para evitarlos podemos echar mano a estos 10 tips que podemos aplicar f√°cilmente a nuestro blog de WordPress.

1) Nadie debería poder revisar o buscar en todo tu servidor.

NO USES este código en search.php: <?php echo $_SERVER ['PHP_SELF']; ?> Usa este en reemplazo: <?php bloginfo ('home'); ?> No permitas tampoco que los buscadores indexen las carpetas WP-, para ello usa el archivo robots.txt (agregándole la siguiente línea de código): Disallow: /wp-*

2) Los directorios no deber√≠an estar abiertos al p√ļblico.

Hay un problema potencial al dejar que la gente sepa qué plugins tienes o qué versiones son. Si hay un exploit que usa alguno de tus plugis, será fácil para un atacante vulnerar tu blog. Crea un directorio wp-content/plugins/index.html vacío o agrega esta línea en el archivo .htaccess del root: Options All -Indexes

3) Borra de los meta tags el string que muestra la versión de tu blog.

Una gran cantidad de temas y plantillas incluyen el meta tag que muestra la versi√≥n de WordPress que usa tu blog, lo que ayuda a que los hackers a vulnerarlo si no has descargado las √ļltimas actualizaciones y parches de seguridad. Deber√≠as prescindir de este meta tag o, como soluci√≥n alternativa, instalar un plugin que genere una nueva versi√≥n secundaria. Para que reconozcas el meta tag, que se encuentra en el archivo header.php, lo copio aqu√≠: <meta content="WordPress <?php bloginfo(‚Äôversion‚Äô); ? />" name="generator" />

4) Protege tu carpeta wp-admin.

Los atacantes usan los bots para realizar ataques pesados que consisten en adivinar el password de admin, probando hasta que dan con el usuario y clave correctas. Algunas formas de evitarlo:

  • Limita el acceso a la carpeta wp-admin por la direcci√≥n IP: Se restringen las IPs que pueden acceder a la carpeta v√≠a .htaccess. El √ļnico inconveniente es que tendr√°s que actualizar la carpeta .htaccess. si tu proveedor de Internet te asigna una IP din√°mica, si te cambias de lugar o si tu blog cuenta con varios autores (diferentes IPs).
  • Usa AskApache Password Protect: Se trata de un plugin que agrega una segunda capa de seguridad a tu blog solicitando usuario y password para entrar a la carpeta (wp-admin). S√≥lo tienes que elegirlos y listo. Modifica .htaccess sin hacer l√≠o, encripta tu clave y genera un archivo .htpasswd, a la vez que configura correctamente los permisos de ambos para hacerlos m√°s seguros.
  • Usa Login Lockdown plugin: Graba la direcci√≥n IP y el timestamp de cada intento fallido de loguearse en WP. Si varios intentos fallidos se registran en un corto tiempo, desde la mismo rango IP, desactiva autom√°ticamente la opci√≥n de loguearse para ese rango.

5) Manténte al día.

Es necesario que tus plugins, widgets, plantilla y versión de WordPress estén siempre actualizadas. Suscríbete a los feeds de los autores para enterarte fácilmente de nuevas actualizaciones disponibles.

6) Realiza backups de tu blog y la base de datos en forma regular.

WordPress Database Backup plugin te permite hacerlo autom√°ticamente y, ante cualquier problema, puedes restaurar todo (si no, a llorar).

7) Aseg√ļrate de tener siempre la √ļltima versi√≥n de WordPress.

¬°Es lo primero que hay que hacer! Instala Instant Upgrade Plugin o WordPress Automatic Upgrade Plugin. Aseg√ļrate de hacer un backup antes de cada actualizaci√≥n.

8 ) Usa SSH/Shell Acces en vez de FTP.

La clave de acceso FTP no está encriptada y es fácil de conseguir para alguien con experiencia. ¡¡¡Podrían manipular tus archivos y agregar spam sin que te des cuenta!!! Usando SHH queda todo encriptado.

9) Deja de preocuparte por el archivo wp-config.php.

Mantén tu base de datos, nombre de usuario y password seguros agregando este código al archivo .htaccess:
<FilesMatch ^wp-config.php$>deny from all</FilesMatch>

Esto evitar√° que caigan en malas manos ante un problema del servidor.

10) Protege tu blog con un buen password.

Algo tan obvio no es menos importante. No uses cifras obvias como cumplea√Īos, n√ļmeros de documento, etc. Tampoco nombres de personas conocidas, etc. Deber√≠a tener m√°s de 6 caracteres seguro, incluir letras y n√ļmeros, etc. Recuerda que esta es la primera l√≠nea de defensa.

Fuente: Noupe.com


Enviar a Del.icio.us Enviar a Meneame Enviar a Digg Enviar a Fresqui Enviar a Enchilame

Comentarios (4)

  1. Ecualucha dice:

    Excelente post, no sabia que se podia ver los plugin que usabas, ahora puse una pagina html en blanco, saludos

  2. Rubén dice:

    Muy buen art√≠culo. Bastante √ļtil y muy bien explicado.
    Saludos.

  3. Manuel dice:

    Como siempre los art√≠culos son de mucha ayuda, muy bien explicados…. aplicar√© su consejos.

    Saludos

  4. Alex Velasco dice:

    Hola amigos, tengo un problema con la linea deny from all
    del noveno tip de seguridad.

    Cuando agrego la al archivo htaccess la página se cae. Alguien me puede decir si hay que poner la línea en un lugar específico o a qué se debe????

    El error que me genera es este:

    Error 500: Internal Server Error
    The server encountered an unexpected condition which prevented it from fulfilling the request.

    The problem is on the server side, not with your browser or the address. Most probably, a certain service (e.g., Tomcat engine) is down. Please contact your webmaster.

Deja tu opinión

© 2007 - 2008 elWebmaster.com | Powered by Wordpress | Diseño CSS y XHTML válido. | Algunos íconos basados en FamFamFam Mini
Acceder