Como Mejorar La Seguridad de WordPress
|Como todos saben wordpress es una de las plataformas mas potente para la creación de blogs y webs, muchas paginas de renombre la utilizan.
Esto ocurre por su flexibilidad y facilidad de uso , pero esa popularidad nos trae otro problema. Así como hay muchos desarrolladores creando plugins, desarrollando Themes, creando frameworks ,etc para WordPress existen la misma o mayor cantidad de programadores que se dedican a buscar y explotar vulnerabilidades en esta plataforma. Ya que al ser una de las plataformas mas usadas, encontrar un bug o vulnerabilidad en wordpress puede ser oro solido en las manos de un Hacker o programador mal intencionado.
Vamos a hacerla corta y no expandirnos demasiado. Voy a dividir este articulo en 2 partes , una con los mejores plugins para reforzar nuestro WordPress y la otra parte con una serie de recomendaciones que muchos quizás conozcan pero para los novatos en wordpress no.
- Login Security Solution : Es uno de los plugins básicos para mejorar la seguridad de WordPress, entre sus funciones están proteger tu sitio contra los ataques de fuerza bruta limitando los intentos de logis masivos, bloquear las ips de esos atacantes , y una función interesante que consiste en cerrar la sesión cada cierta cantidad de tiempo. Por defecto viene configurado en 15 min , yo recomiendo dejarlo en 60 para que no se les cierre la sesión a mitad de una publicación
- I Themes Security : Es uno de los mas completos Plugins de seguridad para WordPress el que entre otras cosas te permite modificar ciertas configuraciones avanzadas en 1 solo clic que aumentan considerablemente la seguridad de wordpress, al cambiar parámetros sensible que vienen por defecto. Entre algunas de las cosas que podemos hacer es bloquear ips conocidas como malintencionadas, cambiar el id de usuario por defecto, cambiar el prefijo de las tablas de la base de datos, protejer nuestro sitio contra las inyecciones de código, etc. Al ser un plugin tan completo voy a dedicar un articulo completo (valga la redundancia) a su configuracion ,el cual publicare en los próximos dias.
- Timthumb Vulnerability Scanner : Aunque hace bastante que no lo actualizan, sigue siendo bastante util al menos la primera vez que lo usamos, sobretodo si usan themes viejos. Timthumb es bastante popular en muchos themes utilizándolo para generar las miniaturas de los post. Pero también es popular entre los programadores malintencionados , ya que es famoso por sus bugs. Lo que hace que si tenes una versión obsoleta del mismo en tu theme, tu sitio tiene prácticamente una puerta abierta así de simple. Con este plugin al instalarlo podrás escanear dicho archivo y verificar que tengas la ultima versión , de no ser así podrás actualizarlo fácilmente.
- Antivirus: Este es otro plugin que no hace mucho por si solo, pero es de gran ayuda cuando estamos buscando alguna intrusión de código malicioso en nuestro wordpress . Su uso es simple, una vez instalado en su panel tenemos la opción para escanear los archivos de nuestro theme ,luego nos mostrara los archivos con código sospechoso.Aclaro que es posible que de muchos falsos positivos,pero si hay alguna inyección de código te aseguro que estará entre ellos.Depende de nosotros analizar los resultados.
Recomendaciones para Mejorar la Seguridad de WordPress
- No instalar themes nulled o de dudosa procedencia ya que en su mayoría vienen con código malicioso insertado.Aunque si sos programador y te das maña por así decirlo,esta demás que diga que podes usarlos previamente habiéndolos analizado. Peo repito si sos un user con conocimientos básicos,NO USES THEMES DE DUDOSA PROCEDENCIA.
- Mantené siempre tus plugins,themes y el mismo WordPress actualizados,la mayoría de las veces los autores de los mismos lanzan una actualización para corregir bugs y vulnerabilidades.Si ves la notificación de actualización disponible NO ESPERES!
- Trata de no instalar plugins los cuales lleven mucho tiempo sin actualizarse por lo menos mas de 3 años ya que ademas de que es posible que no sea compatible al 100% con tu wordpress y te traiga problemas ,puede tener vulnerabilidades.
- Si bas a instalar alguna función o código manualmente que encontraste en la web,siempre verifica que sea la ultima versión y que esta no sea muy antigua .
- BACKUP SEMANAL,si con mayúsculas lo escribo. Mas allá que tu hosting te realice backups diarios,siempre es importante tener un backup de tu sitio por si ocurre algo,ya que por mas medidas de seguridad que tomes un Exploit de Día 0 puede dejarte sin web . Ahí es donde entra el backup ya que si eso ocurrre podrás restaurar rápidamente tu wordpress.
Eso seria lo básico para mejorar la seguridad de tu wordpress y para ir terminando quiero decirles que tampoco es bueno ponerse paranoico,con tomar las medidas básicas de seguridad y teniendo los backups correspondientes no tienen de que preocuparse. Acuérdense que en los próximos días voy publicar el tutorial de configuración para I Themes Security.