Consejos para tener un WordPress seguro
A menudo la gente se queja de las constantes actualizaciones de seguridad de WordPress, viéndolas como un problema y no como la solución que en realidad son.
Todos los CMS opensource tienen fallos de seguridad, absolutamente todos, pero no todos corrigen esos fallos tan rápidamente. Así que… ¿son más seguros porque lanzan menos parches de seguridad?, la respuesta es no. Simplemente nos enteramos de menos fallos a no ser que suframos un ataque o nos dediquemos a buscar scripts para explotar vulnerabilidades.
La cuestión es, que somos nosotros y no la aplicación que usemos, los que tenemos que dotar a nuestro blog de todas las medidas de seguridad que podamos. Y no limitarnos a que una instalación predeterminada sea suficiente, porque precisamente esto será la base de cualquier ataque… dar por hecho que todo está como viene de manera predeterminada.
Tener una instalación de WordPress segura previniendo muchos ataques no es tan difícil, sólo hay que seguir una serie de pasos que nos harán inmunes a muchos de los ataques conocidos o como poco hará más difícil al atacante culminar su misión con éxito:
- Modificar el prefijo predeterminado de las tablas de la base de datos ‘wp_’ a otro que no sea fácil de adivinar.
- Crear un nuevo usuario administrador y borrar el predeterminado (admin).
- Restringir el acceso a directorios importantes como wp-admin, wp-includes y wp-content.
- Actualizar inmediatamente a cada nueva versión de WordPress o de las extensiones que usemos.
- Usar ModSecurity para añadir protección extra a nuestro blog.
Estos y otros consejos los podéis encontrar en detalle en los documentos de referencia que Blogsecurity.net ha creado para facilitar la tarea de tener un WordPress más seguro.
Estos documentos han sido traducidos al español por mí y podéis descargarlos a continuación:
Crear una instalación de WordPress segura
Mod-Security y WordPress: Defensa en profundidad
Etiquetas: mod_security, seguridad, WordPress.
Entradas relacionadas:
8 comentarios en “Consejos para tener un WordPress seguro”
Deja un comentario
[...] Seguridad: Luego de nuestro fiasco con wordpress, este articulo es sumamente interesante para mantener seguro nuestro Wordpress. [...]
Yo añadiría un consejo más: insertar un archivo HTML vacío llamado index.html en las carpetas wp-content/, wp-content/plugins/ y wp-content/themes para que así puedan ver el contenido de estas carpetas. Por si no se quiere restringir el acceso o reforzar las barreras en las principales carpetas.
Es un buen consejo Javyer ;)
Aunque si tenemos acceso al archivo .htaccess es mucho mejor poner la directiva “IndexIgnore *” en dicho archivo. Así desactivamos el listado de contenidos de cualquier carpeta en todo el blog.
Muy útil lo que dices Samuel. Supongo que lo que yo digo es más bien para principiantes con Wordpress (como yo) que no sepamos tocar “sin miedo” el .htaccess ;)
El “whitepaper” de WordPress y mod-security traducidos…
Samuel Aguilera autor del blog Agamum (para los que no lo conozcan, un buen blog sobre WordPress, desarrollo y “recursos” en general) ha traducido dos artículos bastante populares de BlogSecurity: el “WordPress Whitepaper” y el…
Muchisimas gracias por la traducción, esperemos que la llegaba de la nueva versión de wordpress no traiga consigo mas problemas de seguridad y peor aún, que no aparezcan en los papers que tradujiste :P
Excelentísimo!!!
Lo bajé y lo leí. Hay algunas cosas que hasta hoy no sabia que se podían hacer para tener mucho más seguro nuestro wp.
Gracias por la información
Excelente Traducción, es bueno repasar un poco de seguridad.
Gracias!