10 tips de seguridad para tu blog de WordPress

Creo que todos estamos de acuerdo en que mantener la seguridad e integridad de nuestro blog es una prioridad. Sobre todo si no escribimos por hobby sino que nos tomamos en serio el asunto y pretendemos ganar algo de dinero o elevar nuestro PageRank.

Errores típicos como plugins expuestos al público, contraseñas desprotegidas, falta de backups y aplicaciones desactualizadas serán cosa del pasado. Para evitarlos podemos echar mano a estos 10 tips que podemos aplicar fácilmente a nuestro blog de WordPress.

1) Nadie debería poder revisar o buscar en todo tu servidor.

NO USES este código en search.php: <?php echo $_SERVER ['PHP_SELF']; ?> Usa este en reemplazo: <?php bloginfo ('home'); ?> No permitas tampoco que los buscadores indexen las carpetas WP-, para ello usa el archivo robots.txt (agregándole la siguiente línea de código): Disallow: /wp-*

2) Los directorios no deberían estar abiertos al público.

Hay un problema potencial al dejar que la gente sepa qué plugins tienes o qué versiones son. Si hay un exploit que usa alguno de tus plugis, será fácil para un atacante vulnerar tu blog. Crea un directorio wp-content/plugins/index.html vacío o agrega esta línea en el archivo .htaccess del root: Options All -Indexes

3) Borra de los meta tags el string que muestra la versión de tu blog.

Una gran cantidad de temas y plantillas incluyen el meta tag que muestra la versión de WordPress que usa tu blog, lo que ayuda a que los hackers a vulnerarlo si no has descargado las últimas actualizaciones y parches de seguridad. Deberías prescindir de este meta tag o, como solución alternativa, instalar un plugin que genere una nueva versión secundaria. Para que reconozcas el meta tag, que se encuentra en el archivo header.php, lo copio aquí: <meta content="WordPress <?php bloginfo(’version’); ? />" name="generator" />

4) Protege tu carpeta wp-admin.

Los atacantes usan los bots para realizar ataques pesados que consisten en adivinar el password de admin, probando hasta que dan con el usuario y clave correctas. Algunas formas de evitarlo:

• Limita el acceso a la carpeta wp-admin por la dirección IP: Se restringen las IPs que pueden acceder a la carpeta vía .htaccess. El único inconveniente es que tendrás que actualizar la carpeta .htaccess. si tu proveedor de Internet te asigna una IP dinámica, si te cambias de lugar o si tu blog cuenta con varios autores (diferentes IPs).
• Usa AskApache Password Protect: Se trata de un plugin que agrega una segunda capa de seguridad a tu blog solicitando usuario y password para entrar a la carpeta (wp-admin). Sólo tienes que elegirlos y listo. Modifica .htaccess sin hacer lío, encripta tu clave y genera un archivo .htpasswd, a la vez que configura correctamente los permisos de ambos para hacerlos más seguros.
• Usa Login Lockdown plugin: Graba la dirección IP y el timestamp de cada intento fallido de loguearse en WP. Si varios intentos fallidos se registran en un corto tiempo, desde la mismo rango IP, desactiva automáticamente la opción de loguearse para ese rango.

5) Manténte al día.

Es necesario que tus plugins, widgets, plantilla y versión de WordPress estén siempre actualizadas. Suscríbete a los feeds de los autores para enterarte fácilmente de nuevas actualizaciones disponibles.

6) Realiza backups de tu blog y la base de datos en forma regular.

WordPress Database Backup plugin te permite hacerlo automáticamente y, ante cualquier problema, puedes restaurar todo (si no, a llorar).

7) Asegúrate de tener siempre la última versión de WordPress.

¡Es lo primero que hay que hacer! Instala Instant Upgrade Plugin o Wordpress Automatic Upgrade Plugin. Asegúrate de hacer un backup antes de cada actualización.

8 ) Usa SSH/Shell Acces en vez de FTP.

La clave de acceso FTP no está encriptada y es fácil de conseguir para alguien con experiencia. ¡¡¡Podrían manipular tus archivos y agregar spam sin que te des cuenta!!! Usando SHH queda todo encriptado.

9) Deja de preocuparte por el archivo wp-config.php.

Mantén tu base de datos, nombre de usuario y password seguros agregando este código al archivo .htaccess:
<FilesMatch ^wp-config.php$>deny from all</FilesMatch>

Esto evitará que caigan en malas manos ante un problema del servidor.

10) Protege tu blog con un buen password.

Algo tan obvio no es menos importante. No uses cifras obvias como cumpleaños, números de documento, etc. Tampoco nombres de personas conocidas, etc. Debería tener más de 6 caracteres seguro, incluir letras y números, etc. Recuerda que esta es la primera línea de defensa.

Fuente: Noupe.com