Entradas con la etiqueta ‘Seguridad’

11 consejos para proteger la administración de WordPress

Como todos los programas WordPress tiene problemas de seguridad. No hay ninguno que no tenga fallos en la seguridad. Los programas de código abierto se solucionan las fallas de seguridad antes, porqué todos las ven.

Para evitar problemas debido a la seguridad del blog os dejo 11 consejos para mejorar la seguridad en el área de administración de WordPress:

1. Crea una URL especial para loguearte. De este modo evitarás el típico wp-admin y harás más difícil encontrar la página de acceso. Si no sabes hacerlo modificando código puedes usar el plugin llamado Stealth Login.

2. Usa una contraseña fuerte. Con fuerte me refiero a incluir mayúsculas y minúsculas, números y caracteres especiales. No seas paleto y elijas palabras comunes o muy obvias como “contraseña” y “password”.

3. Limita el número de intentos para logearse. Si un usuario sobrepasa dicho número cuando este intente iniciar sesión que el usuario quede bloqueado. Puedes ayudarte con el plugin Login Lockdown.

4. Usa páginas bajo SSL. La seguridad que nos ofrece este protocolo es la ideal para manejar el área de administración. Pero antes de hacerlo tendremos que verificar con la compañía de hosting si disponemos con certificados SSL disponibles para usar. Puedes usar el plugin Admin SSL.

5. Proteger el directorio wp-admin con otra contraseña. En este caso doble protección nunca viene de mas, puedes usar un archivo .htpasswd o un plugin llamado AskApache Password Protect.

6. Limitar el acceso según la dirección IP: Tienes que crear un archivo .htaccess en el directorio wp-admin con el siguiente código:

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName “Wordpress Admin Access Control”

AuthType Basic

order deny,allow

deny from all

# IP permitida

allow from xx.xx.xx.xxx

Crea tantas entradas como sea necesario y recuerda en sustituir xx.xx.xx.xxx por tu ip.

7. Nunca uses el nombre de usuario admin. Ya que este es el usuario que se crea por defecto en la instalación de WordPress y por lo tanto puede ser blanco de ataques de fuerza bruta. Lo más sensato es cambiar ese nombre por uno no tan obvio.

8. Remueve los mensajes de error de la página de inicio de sesión. De este modo eliminarás pistas que los hackers pueden aprovechar para intentar descubrir la pagina de inicio. Para quitar dichos errores tienes que agregar al archivo functions.php del directorio de tu theme:

add_filter(’login_errors’,create_function(’$a’, “return null;”));

9. Usa contraseñas encriptadas. Si no cuentas con SSL esto te puede resultar útil ya que encripta la contraseña mediante una llave RSA pública. Lo puedes hacer con el plugin Semisecure Login Reimagined.

10. Antivirus para WordPress. Ya se que suena raro, pero es realmente útil para la seguridad ya que  ofrece protección en contra de exploits e inyecciones de código.

11. Actualiza  WordPress a la versión más reciente. Si lo haces obtendrás una mayor protección para corregir bugs y exploits que se desconocían en las versiones anteriores detectados.

Mis queridos lectores tienen algo mas que añadir?

Buscador