Consejos básicos de seguridad en WordPress

WordPress ha abarcado buena parte del mercado de los CMS porque goza de una gran flexibilidad que permite una personalización exacta de cara al usuario final. Gracias a esto, combinado con su sencillez de instalación y configuración, se ha logrado que cualquier persona pueda montar en pocos minutos su propia web, ya sea blog o no, y sin contar con conocimientos técnicos. Esto puede dar lugar a que descuidemos nuesta instalación de WordPress, así que vamos a notar varios consejos básicos para empezar a cumplir con el primer requisito que debe tener un sistema informático: la seguridad. No pretendo este ser la panacea contra los ataques ni la solución a todas las vulnerabilidades, pero esta lista seguro que ayuda mejorar la seguridad en WordPress de buena parte de los usuarios que lo administran.

1. No utilices wp_ como prefijo de las tablas de la base de datos de WordPress, puedes cambiarlo realizar tu instalación de WordPress.

2. El fichero wp-config.php no debe tener permisos de escritura (644)

3. Elimina todos los ficheros de instalación, configuración, y exportación.

4. Que el superusuario no se llame ‘admin’, de esta forma impediremos el uso de la fuerza bruta para avierguar la contraseña de ‘admin’. Este problema se soluciona en WordPress 3, ya que el usuario escoje el nombre del administrador del sistema, pero si aún trabajas con una versión anterior quizás quieras probar Admin Renamer Extended.

5. Echa un vistazo a lo que WP Security Scan tenga que decirte. Se trata de un plugin que comprueba la configuración del sistema para detectar vulnerabilidades.

6. Escanea tu sitio con el plugin WP Exploit Scanner, te ayudará a localizar posibles exploits de tus themes y plugins.

7. Oculta tu versión de WordPress utilizando el plugin Replace WP Version.

8. Desactiva y desinstala todos los plugins que no estés utilizando.

Si crees que se te quedan cortos estos consejos de seguridad, quizás quieras echar un vistazo a los consejos de seguridad de WordPress de SigT, muy interesantes aunque quizás requieran de conocmientos algo más avanzados.

Además de estos diez consejos, si sabes utilizar ficheros de configuración .htaccess, quizás quieras restringir el acceso a wp-content y wp-includes con un fichero que contenga unas líneas como estas, tal y como nos recomienda anieto2k:

Order Allow,Deny
Deny from all
<Files ~ ".(css|jpe?g|png|gif|js)$">
 Allow from all
</Files>

Y por supuesto, si administras WordPress desde VPN o LAN, no dejes de seguir el consejo de SBD: restringir el acceso a nivel de servidor:

<Location /wordpress/wp-admin/>
Order deny,allow
Allow from 192.168.1.27
Deny from All
</Location>

Gotardo González
Nací en Granada en 1983 pero desde hace un tiempo vivo en tierras extremeñas. Desde hace unos años soy desarrollador de aplicaciones web y actualmente trabajo como freelance.

3 Comments

Comments are closed.