Wordpress es el CMS más usado en todo el mundo, debido a esto es uno de los objetivos principales de los hackers, si eres capaz de utilizar una vulnerabilidad podrás hackear miles de sitios de una tacada.
Para que los hackers tengan menos opciones os recomiendo lo siguiente:
Para que los hackers tengan menos opciones os recomiendo lo siguiente:
- Mantén Wordpress, sus plugins y temas actualizados a la última versión. Constantemente se descubren vulnerabilidades, si tienes la última versión habrá menos opciones de que estas sigan activas.
- No instales plugins de fuentes desconocidas. Intenta utilizar plugins que tengan mucho éxito entre la comunidad, mira bien las valoraciones antes de hacerlo. Ten en cuenta que un plugin puede ocultar una puerta trasera perfecta.
- Implanta una política de passwords estricta. Evita las claves débiles e intenta que los usuarios no utilicen en tu sitio passwords de otros sitios que puedan ser comprometidos.
- Limita el número de intentos de acceso (hay plugins para ello).
- Añade un factor de doble autentificación (de nuevo tienes que instalar un plugin).
- Haz copias de seguridad regulares de tu sitio, ya sea manualmente o mejor, automáticamente con el plugin adecuado.
- Instala un plugin de seguridad para reforzar la protección de tu sitio, hay algunos muy buenos con versión gratuita, aunque suelen tener una versión de pago más completa.
- Utiliza un hosting de calidad a ser posible no compartido. Te evitarás muchos sustos y que la falta de seguridad de otros sitios web te afecte.
- Añade SSL a tu sitio. Es ideal para evitar robo de información a usuarios en redes no securizadas.
- Desinstala todos los plugins y temas que no utilices. Cúrate en salud y evita que alguno de esos plugins o temas pueda darte problemas.
- Activa logs de seguridad para poder saber si está pasando algo raro.
- Cambia el prefijo de las tablas durante la instalación. Por defecto utiliza el prefijo wp_, si lo cambias evitarás muchos ataques automáticos.
- Cuida mucho a quién le das acceso, no le des acceso a gente que no sea de confianza.
- Cambia el mensaje de error de login en functions.php, no queremos que el atacante sepa que ese email o ese password están activos.
- Cambia la ruta habitual de la página de login, puede hacerse con plugins de seguridad.
- Desactiva los errores de PHP, si hay un error que el atacante no obtenga información del mismo.
- Vigila los permisos de los ficheros, evita los 777 y limita al máximo los privilegios. Yo he llegado a proteger sitios quitando todos los permisos de escritura.
- Bloquea IPs sospechosas, puedes hacerlo de manera automática con plugins de seguridad.
Poco iré haciendo posts sobre plugins interesantes de Wordpress tanto de seguridad como de otro tipo. Espero que estos consejos os sean útiles.
Comentarios