Leyendo en wpzine he encontrado estos sencillos pasos o trucos para hacer de cualquier wordpress un blog un poco más seguro. El original es este: WordPress secutiry hacks and tricks escrito por Paul Maloney. Son sencillos trucos, que caen por su propio peso, son de sentido común.
Me tomo la libertad de traducirlo al español y ponerlo aquí para información de todos.
Antes de hacer nada, como en cualquier otra cosa de la vida, haz una copia de seguridad, no vengas diciendo que no te lo hemos advertido.
Nombre de usuario.
Si usas el usuario admin, deberías cambiarlo, de hecho, en las primeras versiones del instalador de WordPress (si, cuando apenas llegaba a la 1.0…) el usuario no estaba prefijado, pero siempre puedes cambiarlo desde el Administrador de WordPress. Esto es básico y sencillo.
Mantén WordPress siempre actualizado.
O al menos, no tardes mucho en tenerlo a la última. Si tienes muchos plugins extras, verifica primero si nada va a dejar de funcionar. Desde la misma web de wordpress.org puedes verlo, buscando tu plugin.
Borra los ficheros del léame.
Borra estos ficheros, porque dice mucho de la versión de WordPress que usas, y puede usarse por los bots.
Borra los ficheros de instalación.
Puedes borrar el php wp-admin/install.php porque una vez instalado, WordPress no lo necesita, y así evitas vulnerabilidades de posibles ataques.
Utiliza contraseñas seguras.
De nada sirve esforzarse por poner las cosas difíciles si no fortalecemos nuestra contraseña, mezclando letras en mayúsculas y minúsculas y números.
Protege el fichero wp-config.php
El fichero wp-config.php tiene los datos de conexión a la base de datos y otros datos sensibles de ser utilizados en un ataque. Además de darle permisos de solo lectura al usuario del servicio web, puedes añadir en tu fichero .htaccess:
<Files wp-config.php> order allow,deny deny from all </Files>
Bloquea los directorios wp- a todos los usuarios.
Los directorios wp- contienen información sobre el blog que la gente no debe ver y los bots pueden indexar nuestra estructura para todo el mundo, puedes prevenir esto añadiendo al ficheros robots.txt esto:
Disallow: /wp-
Quita la versión de WordPress.
Lo más sencillo para los bots y saber que vulnerabilidades explotar es conocer el número de versión exacta de nuestro WordPress, que se muestra en las cabeceras de nuestras páginas e incluso en los feeds RSS. Paul Maloney nos sugiere añadir esta sencilla función al fichero functions.php:
function no_generator() { return ''; } add_filter( 'the_generator', 'no_generator' );
Permite solo acceso al administrador desde tu dirección IP.
Si tienes una IP fija puedes usar este truco. Si es dinámica, tendrías que editarla desde el FTP cada vez. Puedes crear un nuevo fichero .htaccess en el directorio wp-admin añadiendo tu IP estática y que sea este quien solo tenga acceso:
# permitir solo mi IP order deny,allow allow from DIRECCION_IP (cámbiala por tu dirección IP) deny from all
Deshabilita la navegación por directorios.
Algunos servidores permiten navegar por los directorios por defecto. Por razones de seguridad, nadie debería poder hacerlo e ir navegando por su estructura. Esto puedes aplicarlo a cualquier site. Para prevenirlo debes añadir a tu fichero .htaccess:
#deshabilitar navegación por directorios Options All -Indexes
Espero que os sirva de ayuda. Con muy poquito hemos conseguido mejorar la seguridad de nuestro WordPress.
SaludoX