5 pasos para garantizar la seguridad en un blog de WordPress.
WordPress es uno de mis CMS favoritos a la hora de plantear una solución estándar a los proyectos de mis clientes. WordPress me permite abordar estos proyectos a través de una implantación rápida, sencilla y eficaz. Estoy seguro que muchos de vosotros estaréis de acuerdo conmigo y otros para nada de acuerdo, pero que aburrido sería si todos pensáramos igual, ¿No? Otro día con más tiempo hablaremos de estas opiniones encontradas, pero hoy el tema es la seguridad en WordPress.
Al principio, cuando empecé a utilizar WordPress, siempre leía que al ser una solución tan popular era una candidata ideal frente a los ataques y que estos ataques podían provocar paradas de la instalación incluso de horas o días. Esto me tenía muy preocupado y no me atrevía a plantear proyectos más ambiciosos con este CMS, por temor a sufrir este tipo de ataques maliciosos. ¿Cómo podía yo explicar a mi cliente que la culpa era del mismo WordPress? , con mucha naturalidad mi cliente me respondería que yo no debía utilizar un producto que no ofrecía las garantías suficientes para cumplir con sus requisitos y tendría toda la razón.
Desde entonces he leído mucho al respecto y he mejorado mucho la seguridad de mis instalaciones, por suerte, no he sufrido ninguna incidencia. ¡¡Toco madera!!
El otro día cayó en mis manos este artículo de Marco Saric en ‘Social media examiner’, que nos habla sobre de cómo aumentar la seguridad de nuestra instalación de WordPress en cinco sencillos pasos que os resumo a continuación:
1) Borrar o cambiar el nombre al usuario “Admin”.
2) Usar contraseñas “Muy fuertes”. Ejemplo: Abcd!”34 ( Mayúsculas, minúsculas, números y caracteres especiales y 8 dígitos mínimo)
3) Tener siempre instalada la última versión de WordPress.
4) Realizar back-up de la base de datos, si puede ser diariamente y mantener por lo menos 7 días de copias. ( Siempre es bueno tener varias copias, por si falla alguna en el Restore)
5) Limitar los intentos de Login o número de veces que alguien puede intentar entrar con su usuario y contraseña.
Por supuesto en el post de Marco tenéis más detalles.
El plugin ‘All In One WP Security & Firewall’ para WordPress
Pero yo quería enseñaros un plugin de WordPress que nos va a ayudar a implantar estos consejos y otras medidas de seguridad no menos importantes, que no se han mencionado en el post que antes os he recomendado. Se trata de ‘All In One WP Security & Firewall’.
Este plugin está diseñado para que cualquier usuario sin manipular complejos códigos fuente pueda aplicar las últimas buenas prácticas recomendadas por los expertos y de ese modo mejorar la seguridad de nuestra instalación de WordPress.
“All In One Security WP &Firewall”, utiliza un sencillo, o complejo, sistema de puntuación para medir la protección de nuestra instalación de WordPress, en función de las características de seguridad que hemos activado, como vemos en la siguiente ilustración.
A continuación os muestro una lista de las características de seguridad que ofrece este plugin:
1) Seguridad en las cuentas de usuario. (User Accounts)
- Detecta si existe una cuenta “Admin” y nos propone el cambio. Simplemente informamos de un nuevo nombre de usuario y el plugin se encarga de cambiarlo.
- Detecta si el “Nombre a mostrar” de los usuarios es igual al nombre de usuario. Mantenerlo de este modo es dar una pista valiosísima. Nos propone cambiarlo.
- Herramienta para la creación de contraseñas fuertes.
2) Seguridad en el Login de usuario. ( User login)
- Activar el bloqueo de inicio de sesión. Limita a un número que nosotros indiquemos los inicios de sesión y también puede bloquear una IP si detectamos muchos intentos desde esa IP.
- Gestión de la lista de usuarios y direcciones de IP que permanecen bloquead@s.
- Forzar el cierre de sesión de todos los usuarios conectados después de un período de tiempo que nosotros podemos determinar.
- Monitorizar intentos fallidos de inicios de sesión. Usuario, fecha y hora del intento.
- Monitorizar las sesiones de los usuarios. Dia/Hora de conexión y desconexión, Usuario y dirección IP.
3) Seguridad de la base de datos. (Database Security)
- Cambiar el prefijo determinado de la base de datos por otro prefijo que nosotros determinemos con un simple click.
- Programación de las copias de seguridad de la base de datos y envío de una notificación por correo electrónico. Copia de seguridad instantánea con solo un click.
4) Seguridad del sistema de archivos. (FileSystem Security)
- Identifica archivos y carpetas que no tienen bien configurados los permisos y nos recomienda valores seguros de permisos, con solo un click.
- Protege el código PHP deshabilitando la edición de archivos desde el área de administración de WordPress.
- Monitorización de los logs del sistema para disponer de la información sobre problemas ocurridos con el servidor y poder gestionar las incidencias.
- Impedir el acceso a los ficheros readme.html, license.text y wp-config-sample.php de nuestra instalación de WordPress.
5) Copia de seguridad y restauración de los ficheros htaccess y wp-config.php. (htaccess and wp-config.php File Backup and Restore)
- Sencillas copias de seguridad de los archivos wp-config.php y .htaccess para poder realizar una restauración rápida de los ficheros originales.
- Modificar el contenido de ambos ficheros en activo desde el dashboard con unos sencillos clics.
Dispone de muchas más utilidades, Blacklist de IP, WhoIs Lookup, Gestión de cortafuegos, constantes actualizaciones sobre nuevos aspectos de seguridad, Utilidades adicionales, etc.
Para que no todo sea positivo y bonito, simplemente me gustaría advertir a los más ‘aventureros’ que quieran profundizar en el uso de este plugin, que se mantengan alerta. Mi consejo es que cada vez que activéis una característica, sobre todo si está clasificada como avanzada, comprobéis el buen funcionamiento de vuestro WordPress. Al ser un CMS estándar existen plugins y temas de muchos fabricantes, es inevitable que podamos encontrarnos con algún conflicto. Pero los desarrolladores de este plugin piensan en todo y han dispuesto de un “deshabilitador” de su plugin para que no te veas forzado a desinstalarlo o volver inmediatamente a una situación estable de tu wordpress. En la siguiente ilustración puedes ver donde se encuentra este botón.
Concluyendo, hemos leído los 5 consejos imprescindibles para garantizar la seguridad de nuestro blog de WordPress y hemos descrito las características del plugin “All In One Security WP &Firewall”, por lo tanto podemos determinar que este plugin es “imprescindible” en todas nuestras instalaciones de WordPress que tengamos en marcha. ¿O no?
5 pasos para garantizar la seguridad en un blog de WordPress. http://t.co/XZwhtFO04L @SM_revolution
#SMrevolution 5 pasos para garantizar la seguridad en un blog de WordPress.: WordPress es uno de mis CMS favor… http://t.co/6qoIgCUEr3
5 pasos para garantizar la seguridad en un blog de WordPress.: WordPress es uno de mis CMS favoritos a la hora… http://t.co/JvYNLCIrxC
5 pasos para garantizar la seguridad en un blog de WordPress. http://t.co/SVffddlxw3
5 pasos para garantizar la seguridad en un blog de WordPress | SMrevolution – http://t.co/RoX7zEQQsK
5 pasos para garantizar la seguridad en un blog de WordPress | SMrevolution http://t.co/Kdoeiw7eii
5 pasos para garantizar la seguridad en un blog de WordPress. – http://t.co/KpEYPfHe6O
Nuevo post en el blog de #smrevolution: 5 pasos para garantizar la seguridad en un blog de WordPress – http://t.co/HRWC3U3Cm1 por @castilja
5 pasos para garantizar la seguridad en un blog de #WordPress. http://t.co/liq6T5KZjS vía @SM_revolution
5 pasos para garantizar la seguridad en un blog de WordPress. http://t.co/c9UN6Q0tiA #SMrevolution
5 pasos para garantizar la seguridad en un blog de WordPress. http://t.co/lTw7eQL0XX vía @SM_revolution
Ya tenemos tarea. http://t.co/Gr9GwtFTP8
5 pasos para garantizar la seguridad en un blog de WordPress http://t.co/kkMBi3N3Ba
5 pasos para garantizar la seguridad en un blog de WordPress http://t.co/oDfQEcFgw9 #WordPress #Seguridad
5 pasos para garantizar la seguridad en un blog de WordPress http://t.co/owc0kw05WE #Utilidad #Informática
5 pasos para garantizar la seguridad en un blog de WordPress. – http://t.co/8EMfj0QT8j vía @verescreer
5 pasos para garantizar la seguridad en un blog de WordPress http://t.co/S88goI2gzU
Unos consejos para garantizar la seguridad de un blog en WordPress http://t.co/z5Rh8zP9Dt
5 pasos para garantizar la #seguridad en un #blog de #Wordpress | SMrevolution – http://t.co/cemZWSPNUu
5 pasos para garantizar la seguridad en un blog de #Wordpress ▶ http://t.co/O784ocYRxf por @JoseanVera en @SM_Revolution #SMrevolution
5 pasos para garantizar la seguridad en un blog de WordPress. – http://t.co/NKeaoQPzVD #smrevolution
5 pasos para garantizar la seguridad en un blog de WordPress #SMrevolution http://t.co/iHKkT5Uzki por @castilja http://t.co/GTMxrKIfzK
5 pasos para garantizar la seguridad en un blog de WordPress. – @SM_revolution http://t.co/124P3cdmJP
5 passos per a garantir la #seguretat del teu blog en #WordPress http://t.co/c1nREI1Chb (via @sm_revolution) #blogging
5 pasos para garantizar la #seguridad en un blog de #Wordpress http://t.co/BU5pgBlPjQ vía @SM_revolution #smrevolution
5 pasos para garantizar la seguridad en un blog de WordPress http://t.co/LQEgDx4q6F vía @SM_revolution
@castilja da buenos consejos en #SMrevolution sobre seguridad en #wordpress http://t.co/j4QHtfgaPG
Cinco pasos para garantizar la #seguridad en un #blog de #Wordpress | http://t.co/tx9pLUyxdb
5 pasos para garantizar la seguridad en un blog de WordPress. – http://t.co/Y9AVfXnzUd Voy a probarlo!!
5 pasos para garantizar la seguridad en un blog de WordPress. http://t.co/JOJgpTLs1a #consejos #blogging
5 pasos para garantizar la seguridad en un blog de WordPress: http://t.co/aZzACIlLiV De: @castilja Vía: @SM_revolution
5 pasos para garantizar la seguridad en un #blog de #Wordpress | #seguridad http://t.co/u4MYnHwoCZ
5 pasos para garantizar la seguridad en un blog de #Wordpress http://t.co/IRlSsjpNaL @SM_revolution @castilja
La #seguridad es importante en tu blog. Aquí tienes unos consejos para WordPress http://t.co/kAsiJIt7zj (vía @castilja y @sm_revolution)
5 pasos para garantizar la seguridad en un blog de #Wordpress | SMrevolution http://t.co/H2tOchiR4v
Nuevo post! 5 pasos para garantizar la seguridad en un blog de WordPress. http://t.co/EyCRlgf28v
5 Pasos para garantizar la seguridad en un blog de WordPress.- http://t.co/8drrqdkpMI #WebDeveloper
RT @SM_revolution 5 pasos para garantizar la seguridad en un blog de WordPress. – http://t.co/Cpkt3H2vcO
@castilja http://t.co/F61DoqMW4e. Grandísima información y útil!
5 pasos para garantizar la #seguridad en un blog de #WordPress. http://t.co/fY3IR6aYaM via @JavierCastillo
5 pasos para garantizar la seguridad de un blog en WordPress http://t.co/2ApETVt1xJ vía @SM_revolution
Muchas que no sabía. 5 Pasos para garantizar la seguridad en un blog de WordPress http://t.co/pVPuxdtG4q #in
5 pasos para garantizar la seguridad en un blog de #WordPress. – http://t.co/WrO5Bdnk9i
5 pasos para garantizar la seguridad en un blog de #WordPress http://t.co/tZF2MMuPzS RT @SM_revolution #socialmedia
5 pasos para garantizar la seguridad en un blog de wordpress http://t.co/KzTcB4Ln8g
#empresa #communitymanager #SocialMedia
[…] os comenté hace un par de meses en el post “5 pasos para garantizar la seguridad en un blog de WordPress” este CMS en una plataforma de desarrollo de blogs/webs muy aceptada y popular por su […]
Hola Javier, quisiera felicitarte por tu post que encuentro es una estupenda recopilación, llena de consejos y buen contenido para mejorar nuestra seguridad como bloguers. Lo pondremos como ejemplo para el curso de WordPress de Aula CM será de gran utilidad para todos los alumnos y compañeros. Un saludo