Leyendo a Armonth en su blog me hago eco de sus cinco consejos para la seguridad en tu WordPress, y os dejo mis consejos para una mejor seguridad en vuestra bitácora con WordPress.
Seguro que más de uno hemos sufrido alguna vez un problema de seguridad, a veces por un descuido propio y otras veces por un descuido que uno no puede controlar, y es que ningún programa está exento 100% de potenciales problemas de seguridad, y aunque siempre nos hablen de problemas con script o programas en PHP, los scripts o programas desarrollados en otros lenguaje sufren los mismos problemas, vamos que ni ASP, ni Ruby, ni Python, ni Perl, … se libran de estos problemas de seguridad.
Si utilizar WordPress como gestor de contenidos o para administrar tu weblog he aquí unos consejos para mejorar tu seguridad y la de tu sitio web:
- Lo primero y principal es que tanto tu administrador como usuarios con acceso utilicen contraseñas alfanuméricas y no lógicas con el fin de ponérselo un poco más difícil a quien intente burlar tu sistema de autentificación. Es importante que no pongas como clave de acceso tu nombre, el de tu novia, tú número de teléfono, … mejor es que pongas algo de estilo «md8lDa74Tva6«
- Aunque en Sigt recomiendan desactivar el plugin wp-db-Backup no creo que sea del todo necesario. Es importante para utilizar este módulo que las copias de seguridad que se generen estén en un directorio no accesible desde la web (en el alojamiento web en Ferca lo puedes poner en /data, un nivel anterior al de la web) y si no tenemos más remedio que tenerlo en el nivel web, proteger de forma correcta el directorio con un fichero .htaccess que contenga un «deny from all» de forma que no será accesible.Si bien es cierto que si alguien se hace con el control de nuestro administrador podría llegar a descargar estos ficheros, también lo es que si consigue entrar en el sistema podría ser capaz de descargar el wp-config.php, con lo que tendría acceso completo a la base de datos. Una interesante funcionalidad para añadir a este plugin sería la obligatoriedad de comprimir el backup y ponerle una contraseña que tengamos que teclear al realizar la copia de forma que esta no quedaría registrada en ningún sitio. Quizás también que las copias se enviasen por correo electrónico, sin dejar copia en el servidor podría ser interesante.
- Elimina los ficheros de instalación y los de actualización de tu versión, si bien no debería ser un problema, quizás no este de más eliminar en el directorio wp-admin los ficheros install.php, install-helper.php, upgrade.php, upgrade-schema.php y upgrade-functions.php.También puedes eliminar los importadores, pues seguro que no los necesitarás en el directorio wp-admin/import.
- Revisa bien y limita el uso de plugins (módulos). Este punto en verdad es importante porque algun módulo mal utilizado o sin actualizar puede ser una fuente de ataques XSS, por lo que comprueba bien que plugins necesitas y como los utilizas. Además si un plugin hace uso de la base de datos vigila que no sea excesivo o no este optimizado de forma correcta, lo que puede provocar problemas en tu servidor.
- Hasta hoy no pensaba que proteger el directorio wp-admin fuese realmente necesario, pero sin duda es un punto más para protegernos ante un potencial problema de seguridad, aunque también puede resultar un engorro, aunque si escribes siempre desde la misma ip podrías limitar el acceso al directorio solo para tu ip fácilmente.
- Utilizar una cuenta de autor para escribir en lugar de la cuenta de administrador no creo que sea importante, porque si se intenta comprometer la seguridad se hará siempre buscando un usuario administrador y este siempre debe existir para poder gestionar WordPress. Quizás quitar el usuario Administrador pueda servir de algo, pero tampoco lo veo necesario, si alguien se molesta en buscar un problema, probará todos los usuarios posibles, sin costarle mucho encontrar uno con permisos de administrador.
- Y por último es realmente importante estar al día de actualizaciones de Wordpress y de los módulos que usemos habitualmente para estar al tanto de los fallos de seguridad sean notificados en la red. Podéis leer SigT, Buayacorp, Planet Webdev, Planeta WordPress y también la web oficial de Wordpress. También puedes seguir sitios sobre seguridad en PHP.
Parece que WordPress se ha ganado el sobre-nombre de WordStress ya que sus desarrolladores y colaboradores trabajan realmente duro para solucionar todo tipo de problemas, evitando siempre que sea posible los fallos de seguridad.
vía: Sigt