5 pasos para garantizar la seguridad en un blog de WordPress.
jul29

Tags

Related Posts

Share This

5 pasos para garantizar la seguridad en un blog de WordPress.

Posted by on jul 29, 2013 in e-píldoras | 1 comment

Pinterest

WordPress es uno de mis CMS favoritos a la hora de plantear una solución estándar a los proyectos de mis clientes. WordPress me permite abordar estos proyectos a través de una implantación rápida, sencilla y eficaz. Estoy seguro que muchos de vosotros estaréis de acuerdo conmigo y otros para nada de acuerdo, pero que aburrido sería si todos pensáramos igual, ¿No? Otro día con más tiempo hablaremos de estas opiniones encontradas, pero hoy el tema es la seguridad en WordPress.

Al principio, cuando empecé a utilizar WordPress, siempre leía que al ser una solución tan popular era una candidata ideal frente a los ataques y que estos ataques podían provocar paradas de la instalación incluso de horas o días. Esto me tenía muy preocupado y no me atrevía a plantear proyectos más ambiciosos con este CMS, por temor a sufrir este tipo de ataques maliciosos. ¿Cómo podía yo explicar a mi cliente que la culpa era del mismo WordPress?  , con mucha naturalidad mi cliente me respondería que yo no debía utilizar un producto que no ofrecía las garantías suficientes para cumplir con sus requisitos y tendría toda la razón.

Desde entonces he leído mucho al respecto y he mejorado mucho la seguridad de mis instalaciones, por suerte, no he sufrido ninguna incidencia. ¡¡Toco madera!!

El otro día cayó en mis manos este artículo de Marco Saric en ‘Social media examiner’, que nos habla sobre de cómo aumentar la seguridad de nuestra instalación de WordPress en cinco sencillos pasos que os resumo a continuación:

1)      Borrar o cambiar el nombre al usuario “Admin”.

2)      Usar contraseñas “Muy fuertes”. Ejemplo: Abcd!”34 ( Mayúsculas, minúsculas, números y caracteres especiales y 8 dígitos mínimo)

3)      Tener siempre instalada la última versión de WordPress.

4)      Realizar back-up de la base de datos, si puede ser diariamente y mantener por lo menos 7 días de copias. ( Siempre es bueno tener varias copias, por si falla alguna en el Restore)

5)      Limitar los intentos de Login o número de veces que alguien puede intentar entrar con su usuario y contraseña.

Por supuesto en el post de Marco tenéis más detalles.

El plugin ‘All In One WP Security & Firewall’ para WordPress

Pero yo quería enseñaros un plugin de WordPress que nos va a ayudar a implantar estos consejos y otras medidas de seguridad  no menos importantes, que no se han mencionado en el post que antes os he recomendado.  Se trata de ‘All In One WP Security & Firewall’.

Este plugin está diseñado para que cualquier usuario sin manipular complejos códigos fuente pueda aplicar las últimas buenas prácticas recomendadas por los expertos y de ese modo mejorar la seguridad de nuestra instalación de WordPress.

“All In One Security WP &Firewall”,  utiliza un sencillo, o complejo,  sistema de puntuación para medir la protección de nuestra instalación de WordPress, en función de las características de seguridad que hemos activado, como vemos en la siguiente ilustración.

security-points-score-system

 

A continuación os muestro una lista de las características de seguridad que ofrece este plugin:

1)      Seguridad en las cuentas de usuario. (User Accounts)

  1. Detecta si existe una cuenta “Admin” y nos propone el cambio. Simplemente informamos de un nuevo nombre de usuario y el plugin se encarga de cambiarlo.
  2. Detecta si el “Nombre a mostrar” de los usuarios es igual al nombre de usuario. Mantenerlo de este modo es dar una pista valiosísima. Nos propone cambiarlo.
  3. Herramienta para la creación de contraseñas fuertes.

2)      Seguridad en el Login de usuario. ( User login)

  1. Activar el bloqueo de inicio de sesión. Limita a un número que nosotros indiquemos los inicios de sesión y también puede bloquear una IP si detectamos muchos intentos desde esa IP.
  2. Gestión de la lista de usuarios y direcciones de IP que permanecen bloquead@s.
  3. Forzar el cierre de sesión de todos los usuarios conectados después de un período de tiempo que nosotros podemos determinar.
  4. Monitorizar intentos fallidos de inicios de sesión. Usuario, fecha y hora del intento.
  5. Monitorizar las sesiones de los usuarios. Dia/Hora de conexión y desconexión, Usuario y dirección IP.

3)      Seguridad de la base de datos. (Database Security)

  1. Cambiar el prefijo determinado de la base de datos por otro prefijo que nosotros determinemos con un simple click.
  2. Programación de las copias de seguridad de la base de datos y envío de una notificación por correo electrónico.  Copia de seguridad instantánea con solo un click.

4)      Seguridad del sistema de archivos. (FileSystem Security)

  1. Identifica archivos y carpetas que no tienen bien configurados los permisos y nos recomienda valores seguros de permisos, con solo un click.
  2. Protege el código PHP deshabilitando la edición de archivos desde el área de administración de WordPress.
  3. Monitorización de los logs del sistema para disponer de la información sobre problemas ocurridos con el servidor y poder gestionar las incidencias.
  4. Impedir el acceso a los ficheros readme.html, license.text y wp-config-sample.php de nuestra instalación de WordPress.

5)      Copia de seguridad y restauración de los ficheros htaccess y wp-config.php. (htaccess and wp-config.php File Backup and Restore)

  1. Sencillas copias de seguridad de los archivos wp-config.php y .htaccess para poder realizar una restauración rápida de los ficheros originales.
  2. Modificar el contenido de ambos ficheros en activo desde el dashboard con unos sencillos clics.

Dispone de muchas más utilidades, Blacklist de IP, WhoIs Lookup, Gestión de cortafuegos, constantes actualizaciones sobre nuevos aspectos de seguridad, Utilidades adicionales, etc.

Para que no todo sea positivo y bonito, simplemente me gustaría advertir a los más ‘aventureros’  que quieran profundizar en el uso de este plugin, que se mantengan alerta. Mi consejo es que  cada vez que activéis una característica, sobre todo si está clasificada como avanzada, comprobéis el buen funcionamiento de vuestro WordPress. Al ser un CMS estándar existen plugins y temas de muchos fabricantes, es inevitable que podamos encontrarnos con algún conflicto. Pero los desarrolladores de este plugin piensan en todo y han dispuesto de un “deshabilitador” de su plugin para que no te veas forzado a desinstalarlo o volver inmediatamente a una situación estable de tu wordpress. En la siguiente ilustración puedes ver donde se encuentra este botón.

Disable all security features

 

Concluyendo, hemos leído los 5 consejos imprescindibles para garantizar la seguridad de nuestro blog de WordPress y hemos descrito las características del plugin “All In One Security WP &Firewall”, por lo tanto podemos determinar que este plugin es “imprescindible” en todas nuestras instalaciones de WordPress que tengamos en marcha. ¿O no?

Experto en sistemas de información y gran apasionado de las redes sociales.
“Considero más valiente al que conquista sus deseos que al que conquista a sus enemigos, ya que la victoria más dura es la victoria sobre uno mismo.” (Aristóteles)
Aqui encontrareis mis conexiones personales #SMrevolution
Y en los siguientes iconos mis perfiles profesionales:

Facebook Twitter LinkedIn Google+  

Javier Castillo (14 Posts)

Experto en sistemas de información y gran apasionado de las redes sociales. "Considero más valiente al que conquista sus deseos que al que conquista a sus enemigos, ya que la victoria más dura es la victoria sobre uno mismo." (Aristóteles) Aqui encontrareis mis conexiones personales #SMrevolution Y en los siguientes iconos mis perfiles profesionales:


Más sobre Social Media: