Creo que todos estamos de acuerdo en que mantener la seguridad e integridad de nuestro blog es una prioridad. Sobre todo si no escribimos por hobby sino que nos tomamos en serio el asunto y pretendemos ganar algo de dinero o elevar nuestro PageRank.
Errores tÃpicos como plugins expuestos al público, contraseñas desprotegidas, falta de backups y aplicaciones desactualizadas serán cosa del pasado. Para evitarlos podemos echar mano a estos 10 tips que podemos aplicar fácilmente a nuestro blog de WordPress.
1) Nadie deberÃa poder revisar o buscar en todo tu servidor.
NO USES este código en search.php:
<?php echo $_SERVER ['PHP_SELF']; ?>Usa este en reemplazo:<?php bloginfo ('home'); ?>No permitas tampoco que los buscadores indexen las carpetas WP-, para ello usa el archivo robots.txt (agregándole la siguiente lÃnea de código):Disallow: /wp-*
2) Los directorios no deberÃan estar abiertos al público.
Hay un problema potencial al dejar que la gente sepa qué plugins tienes o qué versiones son. Si hay un exploit que usa alguno de tus plugis, será fácil para un atacante vulnerar tu blog. Crea un directorio wp-content/plugins/index.html vacÃo o agrega esta lÃnea en el archivo .htaccess del root:
Options All -Indexes
3) Borra de los meta tags el string que muestra la versión de tu blog.
Una gran cantidad de temas y plantillas incluyen el meta tag que muestra la versión de WordPress que usa tu blog, lo que ayuda a que los hackers a vulnerarlo si no has descargado las últimas actualizaciones y parches de seguridad. DeberÃas prescindir de este meta tag o, como solución alternativa, instalar un plugin que genere una nueva versión secundaria. Para que reconozcas el meta tag, que se encuentra en el archivo header.php, lo copio aquÃ:
<meta content="WordPress <?php bloginfo(’version’); ? />" name="generator" />
4) Protege tu carpeta wp-admin.
Los atacantes usan los bots para realizar ataques pesados que consisten en adivinar el password de admin, probando hasta que dan con el usuario y clave correctas. Algunas formas de evitarlo:
- Limita el acceso a la carpeta wp-admin por la dirección IP: Se restringen las IPs que pueden acceder a la carpeta vÃa .htaccess. El único inconveniente es que tendrás que actualizar la carpeta .htaccess. si tu proveedor de Internet te asigna una IP dinámica, si te cambias de lugar o si tu blog cuenta con varios autores (diferentes IPs).
- Usa AskApache Password Protect: Se trata de un plugin que agrega una segunda capa de seguridad a tu blog solicitando usuario y password para entrar a la carpeta (wp-admin). Sólo tienes que elegirlos y listo. Modifica .htaccess sin hacer lÃo, encripta tu clave y genera un archivo .htpasswd, a la vez que configura correctamente los permisos de ambos para hacerlos más seguros.
- Usa Login Lockdown plugin: Graba la dirección IP y el timestamp de cada intento fallido de loguearse en WP. Si varios intentos fallidos se registran en un corto tiempo, desde la mismo rango IP, desactiva automáticamente la opción de loguearse para ese rango.
5) Manténte al dÃa.
Es necesario que tus plugins, widgets, plantilla y versión de WordPress estén siempre actualizadas. SuscrÃbete a los feeds de los autores para enterarte fácilmente de nuevas actualizaciones disponibles.
6) Realiza backups de tu blog y la base de datos en forma regular.
WordPress Database Backup plugin te permite hacerlo automáticamente y, ante cualquier problema, puedes restaurar todo (si no, a llorar).
7) Asegúrate de tener siempre la última versión de WordPress.
¡Es lo primero que hay que hacer! Instala Instant Upgrade Plugin o Wordpress Automatic Upgrade Plugin. Asegúrate de hacer un backup antes de cada actualización.
8 ) Usa SSH/Shell Acces en vez de FTP.
La clave de acceso FTP no está encriptada y es fácil de conseguir para alguien con experiencia. ¡¡¡PodrÃan manipular tus archivos y agregar spam sin que te des cuenta!!! Usando SHH queda todo encriptado.
9) Deja de preocuparte por el archivo wp-config.php.
Mantén tu base de datos, nombre de usuario y password seguros agregando este código al archivo .htaccess:
<FilesMatch ^wp-config.php$>deny from all</FilesMatch>
Esto evitará que caigan en malas manos ante un problema del servidor.
10) Protege tu blog con un buen password.
Algo tan obvio no es menos importante. No uses cifras obvias como cumpleaños, números de documento, etc. Tampoco nombres de personas conocidas, etc. DeberÃa tener más de 6 caracteres seguro, incluir letras y números, etc. Recuerda que esta es la primera lÃnea de defensa.
Fuente: Noupe.com
Viernes, 7 de Marzo de 2008 a las 12.22
Excelente post, no sabia que se podia ver los plugin que usabas, ahora puse una pagina html en blanco, saludos
Jueves, 27 de Marzo de 2008 a las 09.00
Muy buen artÃculo. Bastante útil y muy bien explicado.
Saludos.
Martes, 1 de Abril de 2008 a las 14.32
Como siempre los artÃculos son de mucha ayuda, muy bien explicados…. aplicaré su consejos.
Saludos
Martes, 11 de Agosto de 2009 a las 18.15
Hola amigos, tengo un problema con la linea deny from all
del noveno tip de seguridad.
Cuando agrego la al archivo htaccess la página se cae. Alguien me puede decir si hay que poner la lÃnea en un lugar especÃfico o a qué se debe????
El error que me genera es este:
Error 500: Internal Server Error
The server encountered an unexpected condition which prevented it from fulfilling the request.
The problem is on the server side, not with your browser or the address. Most probably, a certain service (e.g., Tomcat engine) is down. Please contact your webmaster.