En esta última entrada sobre cómo mejorar la seguridad de nuestra instalación de WordPress vamos a ver algunos aspectos que debemos tomar en consideración para no facilitar el trabajo de los amigos de lo ajeno. Y es que en muchas ocasiones les brindamos mucha más información de la que debiéramos y con ello les facilitamos en gran medida su "trabajo" y como verás, muchas de estas medidas cabrían dentro de ese gran conjunto de cosas que podríamos llamar "sentido común".
1.- No utilices admin para el administrador
Lo primero que va a realizar un atacante a nuestro sitio es intentar acceder al área de administración de nuestra instalación con el usuario "admin". Si tenemos este nombre para nuestro administrador, ya tendrá la mitad del trabajo hecho"
2.- Utiliza un contraseña que sea consistente
Y que no sea "123456", ya que después de intentar con el usuario "admin" intentará acceder con dicha contraseña. Por contraseña consistente, o fuerte, podemos considerar aquella que posea al menos 8 caracteres formada por letras (mayúsculas y minúsculas), números y signos de puntuación. En el caso de que hayamos creado un sitio multiusuario y queramos cerciorarnos de que todas las contraseñas que se generan sean consistentes, podemos emplear un plugin como Force Strong Pasword.
3.- Borra aquellos archivos innecesarios que facilitan información sobre tu instalación
En la raíz de nuestra instalación sólo deberían estar archivos con extensión .php, carpetas y el archivo .htaccess. Los archivos con extensión .txt, además de no ser de utilidad para el funcionamiento de WordPress pueden dar información relativa a éste que puede interesar a un posible atacante. Si no los queremos borrar les podemos cambiar el nombre para que no sean fácilmente localizables.
4.- No muestres tu versión de WordPress
Si te pasa como a mi, que nunca encuentro tiempo para actualizar el software de mi ordenador ni del servidor, y a veces me demoro en exceso, no deberías mostrar la versión de éste a posibles visitantes para que no conozcan tus vulnerabilidades. Si se conoce una brecha en una de las versiones de WordPress y un atacante es capaz de conocer qué versión estamos utilizando, irá directamente a explotar dicha vulnerabilidad. En WordPress, la información con la versión es facilitada por el tema, por lo que para no mostrarla debemos incorporar la siguiente línea de código al archivo functions.php del tema que estemos utilizando.
<?php remove_action(‘wp_head’, ‘wp_generator’); ?>
5.- Ten actualizada tu instalación
Y dicho lo anterior, la mejor manera de prevenir ataques es manteniendo actualizado nuestro WordPress y los plugins que estemos utilizando. También debemos eliminar aquellos que no usemos para así reducir las posibles brechas en la seguridad además de utilizar el número indispensable de éstos que sean necesarios para nuestro sitio.
Si aplicamos bien todos estas acciones y consejos que os hemos dado en estos seis pasos nuestra instalación de WordPress será mucho más segura, aunque nunca debemos olvidar que la seguridad 100% no existe. Por ello, debemos realizar copias periódicas de seguridad de nuestra instalación por si necesitamos restaurar nuestro sitio ya sea por un ataque o por un fallo del sistema.
¿Y tú, quieres compartir con nosotros cómo mejorar la seguridad en WordPress?
Añadir nuevo comentario