En este artículo os vamos a mostrar diversas acciones que te ayudarán a tener una instalación de WordPress más segura.
Es probable que tras crear el sitio y publicarlo en nuestro Hosting, nos olvidemos de la gestión y mantenimiento de dicho sitio web, dejando nuestra web abandonada a su suerte. Tradicionalmente, esto ha sido así ya que para páginas corporativas realizadas mediante programación pura y dura, no se requería ninguna actualización. En cambio, para páginas gestionadas bajo un CMS esto puede suponer un problema de seguridad grave. Por suerte, algunas de estas aplicaciones web como WordPress, hace tiempo que han implementado sistemas de actualización automática que facilitan el mantenimiento de la web.
Punto 1. Tener tu equipo limpio de malware o Troyanos
Aunque parezca algo trivial, es muy importante tener tu equipo o dispositivo con el que accedes a tu WordPress, limpio y actualizado. De nada servirá que apliques los puntos que a continuación te comentamos, si dispones de algún malware o troyano que está interceptando el tráfico y todas las contraseñas que estás escribiendo.
Punto 2. Disponer de un alojamiento de calidad
Empresas proveedoras de Hosting actualmente hay muchas y con diversos precios. Si quieres contratar un plan de Hosting web o un servidor VPS, no te centres solo en el precio. Intenta buscar empresas que ofrezcan servicio de Hosting de calidad, y un buen soporte técnico para que puedas contactarles ante cualquier incidencia.
Por lo general, tras instalar WordPress, los permisos serán los correctos, no obstante, deberás revisar que no tengas carpetas con permisos 777, ya que esto facilitará en gran medida un ataque a tu web.
Punto 3. Mantener tu WordPress, plugins y Temas actualizados
Es un punto importante, que ya hemos indicado en la introducción. Las actualizaciones tanto del núcleo de WordPress como de sus plugins, además de corregir errores en el propio funcionamiento y añadir nuevas funcionalidades, también corrigen los fallos de seguridad que se van detectando.
Punto 4. Desinstala los elementos innecesarios.
Desinstala cualquier plugin o tema que no uses. Aparte de liberar recursos, evitarás tener que actualizar estos elementos, aunque no los uses.
Punto 5. Evita el usuario admin
Usar el usuario admin es peligroso, ya que los atacantes han de probar combinaciones de usuario y contraseña. Si tenemos modificado el nombre de usuario añadiremos un paso de seguridad adicional.
Punto 6. Securiza el formulario de login
Además de modificar el usuario admin que hemos indicado en el paso anterior, podemos disponer de un formulario de login mucho más seguro, si añadimos algún plugin que bloquee la IP de los usuarios que realizan un número determinado de logins fallidos (fuerza bruta), o bien, si instalamos un sistema de capcha o autorización en 2 pasos, que evitará que robots realicen intentos de login.
Punto 7. Oculta la versión de WordPress
Aunque hemos indicado que es importante mantener la instalación de nuestro WordPress actualizada, también podemos añadir una medida de seguridad adicional ocultando la versión en sí que estamos usando. Mantener la versión de forma visible, permite a los atacantes centrarse en las vulnerabilidades detectadas para dicha versión. Para ocultar la versión, tan solo deberás editar el fichero functions.php de tu tema principal o tema hijo (en el caso de que lo estés usando y añadir el siguiente código:
remove_action(‘wp_head’, ‘wp_generator’);
Punto 8. Deshabilita el fichero XMLRPC
Si no usas las utilidades que proporciona este fichero (por ejemplo, pingback y tracback), lo mejor es que deshabilites el acceso, ya que puede suponer una gran puerta de entrada para atacantes. Puedes deshabilitar dicho fichero mediante algún plugin, editando el fichero functions.php y añadiendo la siguiente línea:
add_filter(‘xmlrpc_enabled’, ‘__return_false’);
O simplemente, quitando los permisos a dicho fichero (chmod 000).
Punto 9. Instalar plantillas y plugins de fuera del repositorio oficial
No uses elementos descargados desde foros o desde programas de intercambio de software. Al no ser una fuente fiable, pueden contener código malicioso y sin darnos cuenta, estaremos abriendo las puertas de par en par a los atacantes.
