lock

10 Tips de seguridad para WordPress

Basado sobre:

Si te han hackeado alguna vez sabrás lo desagradable que es: la molestia, el esfuerzo por tratar de recuperar algo de la página, el perder visitantes, rangkin, posicionamiento, etc. Y si tu página tiene una importante cantidad de visitas, se pierde credibilidad, que es un activo que no se compra sino que se gana con mucho esfuerzo.

Es así como aquí les dejo una traducción parcial (le actualicé ciertas cosas) de 10 Tips para convertir WordPress a prueba de hackers (10-tips-to-make-wordpress-hack-proof/) que espero que le sea de utilidad. Para mi lo fue.

Que necesitas

Antes de comenzar

  • respalda tus archivos (Ej. usando un cliente ftp)
  • respalda tu base de datos usando wp-phpmyadmin. Si no sabes como hacer esto, revisa este tutorial.

Acciones

1. Actualiza WordPress a la última versión. Si estás trabajando con WordPress 2.7 o superior, esto puede realizarse desde el panel de control (dashboard) con el click de un botón, automáticamente. Tan sólo busca por el botón “actualizar” (upgrade).

2. Actualiza tus Plugins. Asegúrate de que corran las últimas versiones. Si no están actualizados, WordPress te notificará en la página de administración de plugins. Las versiones viejas pueden presentar riesgos de seguridad.

3. Cambia los prefijos “wp_” de las Tablas de la Base de Datos. Auí les dejo un método manual que me ha funcionado bien (tengan cuidado, no hagan esto si tienen par de cervezas encima).

  • i. Desactiva todos los plugins de WordPress, como precaución.
  • ii. Respalda la base de datos, como se muestra en el tutorial de Guvnr’s.
  • iii. Abrir el archivo descargado *.sql con un editor de texto (donde * es el nombre de tu base de datos)
  • iv. Buscar y reemplazar todas las instancias donde aparezca el prefijo “wp_” y lo cambias por el nuevo que vas a usar.
  • v. Desde la base de datos de WordPress, elimina (drop) las tablas. NO BORRES LA BASE DE DATOS, sólo las tablas. wp-phpmyadmin es un gran plugin para este propósito.
  • vi. Todavía dentro de la base de datos de WordPress, importa tu nuevo archivo *.sql con los prefijos ya cambiados, esos que debiste editar en el paso iii.
  • vii. Abrir y editar el archivo wp-config.php que debe encontrarse en la carpeta raiz de la instalación de WordPress. Aquí cambias el valor “$table_prefix = ‘wp_’;” por “$table_prefix = ’elnuevoprefijo_’;”.
  • viii. Reactivar los plugins.

En esta otra página enseñan otra forma de realizar el cambio de prefijos. Cualquier método que uses será bueno siempre que sigas los pasos al pie de la letra.

4. Borra el usuario “Admin”. Simplemente, para hacerle el trabajo un poquito más difícil al posible hacker, borra el usuario. Crea primero un nuevo usuario con derechos administrativos y luego le das un alias o nickname (para que se muestre al público) que sea distinto del verdadero nombre de usuario. Luego de creado este usuario, cierras sesión y abres con el nuevo usuario y entonces borras la cuenta “Admin”.

5. Usa una clave fuerte. Es un poco obvio, este paso. Una buena estrategia es mezclar letras, números, caracteres especiales, mayúsculas y minúsculas. Te recomiendo usar RoboForm para recordar (y encriptar) las claves, además que es gratis.

6. Oculta tu versión de WordPress. En la carpeta donde se almacenan los temas, abre el archivo “header.php” y buscas la línea
[sourcecode language=’text’]

[/sourcecode]

…y la borras. Esto no tiene ningún propósito práctico.

7. Asegúrate que la opción de mostrar errores en la base de datos de WordPress esté deshabilitada. En recientes versiones de WordPress ya viene desactivado por defecto. Así que actualízate.

8. Remueve las etiquetas (tags) WP ID META. Borra estas etiquetas el núcleo de wordpress. Luego de activar y correr wp-security-scan, esto se hace automático.

9. Crea un archivo .htaccess en la carpeta “wp-admin”. Para ello abres un archivo de texto nuevo y vas a insertar el siguiente texto.

[sourcecode language=’text’]# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
[/sourcecode]

… Y guardas el archivo como .htaccess y lo subes a tu carpeta “wp-admin/”. (Ej: http://www.miblog.com/wp-admin)

10. Oculta tus plugins. Si no estás seguro si están ocultos o no, navega a la carpeta de tus plugins (http://www.miblog.com/wp-content/plugins). Si aparece una página de error 404, están ocultos. De otra manera, verás tus plugins listados. En este caso, copia lo siguiente a nuevo archivo .htaccess y lo añades a la carpeta wp-content/plugins…

[sourcecode language=’text’]# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# Prevents directory listing
IndexIgnore *
# END WordPress[/sourcecode]

Algunos operadores de hosting no permiten la administración de los archivos .htaccess. Si este fuere el caso, en vez de usar archivos .htaccess puedes crear un archivo index.html. Aquí puedes escribir que están viendo una página prohibida, si gustas. En cualquier caso, esto prevendrá que terceros puedan ver tu carpeta de plugins.

Una vez concluido

Sólo para ser precavido y ya que cambiamos varias cosas…

  • Respalda nuevamente tus archivos usando un cliente ftp.
  • Respalda nuevamente la base de datos usando wp–phpmyadmin.

Esto es todo. Ahora tu blog es más seguro y menos “hackeable”. Y ve a hacer contenidos!

También querrás leer

Leave a Reply