Probablemente habrás oído alguna vez comentar que wordpress es un gestor de contenidos para blogs vulnerable e inseguro y que recibe muchos ataques. En realidad esto es cierto en parte, ya que al ser uno de los CMS más populares está en el blanco de todos los hackers, pero también es cierto que el núcleo de wordpress es uno de los más seguros que hay en los sistemas Open Source.
La seguridad en Wordrpess es necesaria y evidentemente es muy recomendable tomar ciertas medidas que nos ayuden a mantener nuestro blog o página web a salvo de estos ataques, especialmente a los denominados ataques de fuerza bruta, que tienen como objetivo descifrar claves de acceso y usuarios para acceder a la administración del blog. Estos son algunos de los consejos que recomendamos poner en práctica para mantener el blog libre de lo ataques básicos más utilizados.
1. Cambiar el nombre del usuario admin
Con bastante frecuencia nos encontramos blogs y páginas web desarrolladas en las que se mantiene el usuario «admin» que wordpress entrega por defecto en su instalación. Para los hackers esto son buenas noticias, es como decirle a un ladrón que días nos vamos de vacaciones y donde vivimos, es decir, pista despejada, ya solo tendrá que derribar la puerta. Teniendo el usuario, un hacker solo necesitará averiguar la contraseña para poder entrar. Es conveniente que el administrador cambie el nombre de usuario por otro distinto.
2. Evitar contraseñas cortas y simples
Una mala elección de nuestra contraseña es uno de los puntos débiles más comunes de muchos sitios y suele ser la primera cosa que un hacker intentará explotar al intentar entrar en su sitio. Es muy frecuente caer en la trampa de utilizar una simple palabra o serie de números como contraseña. Esto convierte la contraseña en predecible y simple de forma que un hacker competente le lleve escasos minutos de adivinar la contraseña utilizando un simple script que ciclos a través de las combinaciones fáciles y más comunes. Cuanto más larga y más compleja sea la contraseña, más difícil resultará a los hacker «crakearlas» ya que las contraseñas más complejas requieren mucha más potencia y tiempo de cálculo. ¿Quieres saber como de segura es tu contraseña? Esta página te ayuda en esta tarea.
3. Restricción de tiempo logeado
Otra medida interesante es establecer un período de caducidad para la sesión de administración de WordPress, es una forma sencilla de protegerse contra el acceso no autorizado al sitio web desde su ordenador.
4. Desactivar los comentarios para evitar Spam
La mayor parte de los comentarios no deseados en WordPress se produce principalmente por los robots automatizados y no necesariamente por seres humanos. Mantener los comentarios desactivados minimiza enormemente este problema, aunque si es importante el tener comentarios para tu blog, lo suyo es permitirlos, pero mediante una aprobación manual previa. De esta forma si son comentarios de Spam, podrán ser filtrados y clasificados en listas negras.
5. Utilizar plugins de seguridad
Existen multitud de plugins que ayudan mucho a mejorar todos los aspectos relacionados con la seguridad de wordpress. El plugin All in One WordPress Security and Firewall nos parece un buen plugin que cumple de sobra con un gran número de requisitos como los expuestos anteriormente. Es un plugin además muy intuitivo que te explica cada punto y te valora mediante un dashboard cual es el estado actual de la seguridad de tu sitio.
Una de las funcionalidades más interesantes que ofrece es la de bloquear IPs de xx nº de intentos fallidos para acceder a nuestro blog, informándote además por email del evento que ha sucedido y manteniendo un registro de intentos fallidos de logeo en el blog y desde que IP se ha producido.
Ofrece un gran número de puntos de seguridad para mejorar, aunque algunos de ellos es mejor no tocarlo si no sabes lo que haces porque puede causarte mas de un quebradero de cabeza.