10 tips para proteger tu Blog en WordPress

El software de hoy no es tan simple como lo fue hace años, y la seguridad que hace tiempo se daba por hecho al “esconder” el código fuente del software ahora ya no aplican. Incluso si hablamos de Software Privativo es común encontrarse con problemas de seguridad gracias a desbordamientos de memoria y otros tipos de corrupciones que permiten acceder incluso si se “ofusca” el código fuente. En el caso del Software Libre el código es accesible lo que permite a todo mundo estudiar el código fuente, esto permite a quienes buscan “errores” o puntos flacos en el software aprovecharlos, afortunadamente somos mas buenos que malos y este tipo de errores se reportan a los creadores del software para incluirlo en las actualizaciones.
Así que el dia de hoy tenemos estos 9 consejos para mantener tu instalación de WordPress segura.

Actualizaciones!

Siempre mantente pendiente de las actualizaciones. Si bien hay que echar ojo a la lista de cambios; estas por lo general incluyen mejoras en rendimiento pero sobre todo en seguridad. Así que si la actualización te dice que mejora la seguridad porque corrige X o Y fallo entonces actualiza.
Ademas, las actualizaciones de vez en cuando incluyen mejoras mayores, y siempre queremos esas nuevas características no? 😉

Evita que tus usuarios sean BOTS

Es común que en una nueva instalación de WordPress, una vez que se ha hecho medianamente popular o ha hecho ping en uno que otro sitio popular empiecen los ataques por parte de bots que pretenden usar nuestro sitio como plataforma para publicar SPAM.
Lo mejor que podemos hacer es instalar un plugin para que al crear una cuenta de usuario se use reCaptcha. Se recomienda el uso de Skt NURCaptcha, este plugin agrega reCaptcha al formulario de suscripción. Cierto, puede ser tedioso para unos pero agrega un nivel mas de seguridad para tu sitio. Además, también puede agregar reCaptcha al formulario de inicio de sesión, esto impide que un bot este haciendo uso de fuerza bruta para iniciar sesión con una cuenta administrativa o de editor.

Evita nombres de usuarios predecibles.

Usuarios como “Admin”, “Administrador”, “Editor”, “Redacción”, “Test”, “prueba” son muy fáciles de adivinar, si a esto le agregamos una contraseña fácil de adivinar entonces estamos en problemas. Evitalos.

Usa una contraseña segura

Una contraseña segura es aquella que es fácil de recordar para nosotros pero difícil de adivinar para los demás. Y NO, “987654321” o “123456” no son contraseñas seguras, tu nombre + fecha de nacimiento tampoco lo son.
Las contraseñas seguras tienen las siguientes caracterísitcas
  • Tienen Mayusculas y Minúsculas
  • Tienen números NO SECUENCIALES, “1234” no “18r$3” si.
  • Tienen caracteres no alfanuméricos también, entre los mas comunes “#$%=/&” pero evita aquellos que no son parte del esquema “ascii” como letras acentuadas.
Si tienes problemas para crear una contraseña segura entonces es recomendable usar sitios como https://strongpasswordgenerator.com que te pueden ayudar a crear una contraseña segura.

Usa un manejador de contraseñas.

    Este es un tip ya que tu contraseña tal vez sea difícil de adivinar incluso para ti. No guardes tu contraseña en tu correo electrónico. Mejor usa un manejador de contraseñas, como LastPass, OnePassword entre otros.

No descargues o utilices Plugins/Temas de sitios no seguros.

Es común buscar un tema que haga algo mas de los temas que estan por defecto en WordPress, sobre todo si no somos muy bueno con HTML5, CSS3, JS y PHP (si, ocupas los 4), Entonces recurrimos a sitios que ofrecen temas de WordPress, hay de dos sopas, los que son de paga como https://themeforest.net o los que son de paga pero fueron “creackeados”. Se recomienda hacer uso del primero, pues si no eres muy ducho con lo de PHP, dudo que sepas como es que hicieron para saltar la seguridad para poder desbloquear el theme. Siempre estará la duda de que el Theme incluya código que se aproveche de tu instalación de WordPress o tenga fallos de seguridad.

Protege el archivo wp_config.php

El archivo wp_config.php tiene las variables de configuración que en corto le dicen a WordPress el nombre de usuario, contraseña y nombre de base de datos que se ha de usar. Entonces, evita que pueda ser accesible via el navegador.
  1. Moverlo a una carpeta superior, de manera que si está situado en la ruta …/public_html/midominio.es/ lo muevas a la carpeta …/public_html/.
  2. Protegerlo contra escritura cambiando los permisos a 444.
  3. Añade las siguientes reglas al fichero de Apache .htaccess para evitar accesos no deseados:

 

Protege la carpeta de “uploads”

Con el fin de evitar que se distribuya software malicioso a través de tu sitio, permite que se suba solo cierto contenido e impide ejecutables o comprimidos.
En el caso de apache la configuración es mas o menos así:

Usa CloudFlare

Cloudflare es un proxy inverso que no requiere instalación alguna en tu servidor, ya que funciona a nivel DNS. Cloudflare recibirá todo el tráfico de tu sitio y eliminará las amenazas como ataques DDoS y visitas provenientes de IPs o segmentos conocidos por ser atacantes.
Al crear un cuenta en CloudFlare, das de alta tu dominio, cambias las DNS para que en lugar de apuntar a tu servidor apunten a los DNS que te da CloudFlare y listo.
Además del incremento de seguridad, CloudFlare ofrece el servicio de proxy Cache, lo que hace que en la medida que sea posible CloudFlare servirá tu sitio desde sus propios servidores, aligerando la carga del tuyo. También aplica medidas se optimización de tu sitio, como la minificación de CSS, JS y HTML.

Evita el SPAM en los comentarios

Usa un servicio externo como https://disqus.com para que se encargue de tus comentarios. Servicios como Disqus requieren un usuario y contraseña creados en su cuenta, lo que requiere a una persona para la cuenta evitando bots. Por otro lado cuentan con un sistema AntiSpam que incluso con una cuenta en Disqus los comentarios que tengan pinta de SPAM serán puestos en cuarentena y si resulta que si son SPAM la cuenta que los creó será eliminada. Todo esto sin mayor esfuerzo para ti, solo es cosa de instalar el plugin y listo.

Actualiza tu sistema base

Por ultimo, pero no menos importante. Debes mantener tu sistema base actualizado; y nos referimos a tu sistema operativo, Servidor Web, PHP y otras librerías que ocupes.

Generalmente esto es trabajo de tu proveedor de hospedaje web, pero si tu eres el administrador del sistema entonces procura mantener toda la infraestructura actualizada para evitar que personas malintencionadas entren por ahí.

Sabes otros métodos?, tienes dudas?

Si sabes de otros métodos y quieres compartirlos con nosotros y toda la comunidad MkzHost, escríbenos en los comentarios o envíanos un correo.
Si tienes dudas escríbenos en los comentarios, constantemente revisamos el sistema de comentarios y responderemos a la brevedad.