Hoy en dia es ya común el tener un blog, montarlo es fácil y luego sólo queda producir contenido, sin embargo muchas veces pasamos por alto implementar ciertas normas de seguridad a nuestra instalación de WordPress, que luego nos salen caras si nuestro blog empieza a crecer y/o publicamos una nota que no agrade a gente como crackers o personas que no simpatizen con tus opiniones.
WordPress en un hosting propio es una excelente, sino la mejor plataforma de publicación personal en internet, y dada su versatilidad implementar seguridad no es tan dificil como veremos a continuación con estos 10 tips, que de seguro te ayudan a aumentar la seguridad de WordPress.
1. Remover el usuario por defecto
Es sorprendente la cantidad de blogs que veo a diario que conservan el usuario por default que nos da WP luego de instalarlo: admin, esto es algo sumamente riesgoso pues con algunos intentos todos los crackers pueden dar con tu password, por lo que lo mejor es, una vez instales WP crees otro usuario, le asignes el rol de administrador, te conectes con él y borres a admin, el perfil por defecto.
2. Remover la versión de WordPress que utiliza el blog
A menudo se descubren bugs que hacen que tu bitácora quede expuesta, por lo que lo mejor es no decirles a los ciberdelincuentes que versión corre tu blog, ¿cómo hacerlo?, es bastante fácil, removiendo esta información de wp_head(); abrimos nuestro archivo functions.php, si no lo tienes crea uno y luego pega:
remove_action ('wp_head', 'wp_generator') ;No olvides abrir y cerrar PHP dentro del código de apertura y cierre del archivo en caso de que sea lo único que pongas en tu archivo de funciones.
3. Actualiza tu WordPress y plugins
Ya lo dijimos arriba, el CMS es genial pero como todo tiene errores y aparecen continuamente, actualizalo apenas llegue la nueva versión, lo mismo para tus plugins, ¿que si pierdes una funcionalidad extra? o no te gusta el nuevo esquema de colores, creo que es un precio justo por la seguridad de tu arduo trabajo en tu bitácora. Evidentemente como para toda gestión de páginas web, se deben tener copias de seguridad antes de hacer cambios de esta clase o para tener backups por si llegase la catástrofe.
4. Limita los intentos de logueo
Suponiendo que alguien consiga tu nombre de usuario intentará por diversos métodos forzar el acceso a tu panel probando varias veces hasta encontrar tu contraseña, limita sus intentos con Limit Login Attempts.
5. Crear cuidadosamente los permisos de escritura y lectura de tu instalación
Jamás te vuelvas loco con los permisos de los ficheros porque algo no funcione y le pongas a todos CHMOD 777.
6. Crea respaldos de tu base de datos de forma periódica
Ya sea con PHPMyAdmin o con el plugin WP-DB-Backup
7. Usa una buena contraseña
Dirán que como digo esto si de por si WP nos asigna una contraseña, así es, pero los estudios no mienten y hay gente que sigue usando passwords como: 1234567, la misma palabra, su nombre, el del blog, luego sale caro, un buen password en mi opinión deberia contener el nombre de un lugar o cosa que sólo ustedes conozcan, números, artículos y signos, ni muy larga ni muy pequeña de 12 letras es perfecta.
8. Instala un antivirus
WTF! pero no es Windows, si, pero al estar alojado en un servidor es vulnerable al ataque mediante exploits, XSS o inyecciones de SQL, si consideras tener tu weblog protegido al 100% el plugin Antivirus es una gran adición a tu arsenal.
9. No descargues themes o plugins de cualquier sitio
Ok, tu instalación esta segura, pero tu mismo atentas contra ella descargando themes y plugins de cualquier página y luego los activas, en pocas palabras: te metes un tiro, siempre que descargues algo, investiga y hazlo de la página oficial e incluso si se puede verifica la suma MD5 si procede, para asegurarte que usas un producto 100% genuino y libre de riesgos.
10. Se Constante
Si te parece útil tener estos consejos de seguridad y llevas un blog, guarda esta guía o apuntala en algún archivo de texto y verificala periodicamente, de nada sirve hacerlo un dia y luego dejarlo pasar meses.