Seguridad en Wordpress
Hay muchas formas de proteger nuestro Wordpress, y básicamente las podemos dividir en dos secciones, mediante plugins y/o a mano.
Empezamos con las cosas que podemos hacer a mano, sin necesidad de plugins, las voy a listar muy rápidamente, si queréis más info sobre alguna decirlo en los comentarios.
- Elimina los ficheros de instalación, actualización e importación de WP después de la instalación o actualización.
- Limita el uso de plugins, ya que cuantos más tengas más posibilidades de que alguno contenga bugs de seguridad.
- Desactiva el usuario Administrador y utiliza una cuenta de autor.
- Usa el archivo .htaccess en los diferentes directorios de tu instalación.
- Protege el archivo wp-config.php, dale sólo permisos de lectura (644).
- Cambia el prefijo de las tablas de tu Blog.
- Manten actualizada tu versión de Wordpress.
Con estas pequeñas cosas, ya hemos reforzado un poco más la seguridad de nuestra instalación de WordPress. Ahora, si somos muy excentricos con la seguridad, os listo unos cuantos plugins de Wordpress que os ayudarán bastante, los más conocidos son:
- Semisecure Login: Incrementa la seguridad al logearte usando cifrado en MD5.
- AskApache Password Protect: Protege tus directorios con archivos .htaccess.
- Force SSL: Fuerza la conexión por el puerto https, necesitaremos disponer de un certificado SSL.
- Secure Files. Permite crear un directorio fuera de la web para subir y descargar ficheros.
- Login LockDown. Permite reducir el numero de intentos de login fallidos y bloquea las IP’s que fallen la contraseña.
- WP Security Scan: Explora la instalación de WordPress buscando vulnerabilidades de seguridad, y sugiere medidas correctivas.
- Anonymous Wordpress Plugin Updates: Reemplaza la versión y la URL de tu blog, cuando envía tus datos a un servidor en WordPress.org para actualizar o descargar plugins.
- Replace WP-Version: Remplaza o elimina la versión de tu WordPress para que no puedan aprovecharse de los bugs de esa versión.
- WPIDS: Detecta posibles intrusiones.
- Wordpress Online Security Scanner: revisa el peligro que corres con tu blog.
- Wordpress Exploit Scanner
etecta si tu blog ha sido infectado de enlaces spam, exploits,, …etc.
Al final he puesto más plugins de los que quería, pero bueno, todos me han parecido interesantes de comentar.
También te puede interesar:
kyle xy
# 1Pues hay que ver lo que se lo curran los de wordpress. Yo utilizo Blogguer, y ni de lejos existen tantísimas herramientas para protección.
SALU2
El Jueves 26 de Febrero de 2009 a las 14:38
MOPE
# 2Hola, en la entrada mencionáis este texto: “Desactiva el usuario Administrador y utiliza una cuenta de autor.”
Pero en la web de Carrero dicen esto otro: http://tinyurl.com/ajvge2 “Además NUNCA eliminéis el usuario admin ya que cuado falla cualquier podría hacerse con el control de nuestro blog, pues por defecto WP crea el usuario admin, pero si este está creado al menos no deja cambiar el email de gestión y nadie podrá cambiar tus claves de acceso.”
A ver si nos centramos un poco!!
Por cierto, creo que seria bueno que el WP diera la opción al administrador de dar nombre a la carpeta o al archivo con el que te tienes que identificar para entrar en el panel de control, esto ayudaría a aumentar la seguridad de manera considerable, porque todos sabemos que se entra ahora por wp-admin.
El Viernes 27 de Febrero de 2009 a las 10:01
InKiLiNo
# 3A ver compañero, yo no digo que lo borres sino que lo desactives o le quites los privilegios de admin, o sea ponerlo como subscriptor por ejemplo. Pero en el caso de que lo borraras, no pasaría nada, leete el punto 5 y el punto 8.
Yo estoy centrado
El Viernes 27 de Febrero de 2009 a las 10:20
FeLiPe RM
# 4Interesante post.
Gracias
El Viernes 27 de Febrero de 2009 a las 12:29
Polo
# 5Es una entrada muy interesante como los demás que voy leyendo en tu blog!
Gracias por compartir!!!
Saludos!
El Sábado 7 de Noviembre de 2009 a las 21:36