Breves recomendaciones de seguridad en WordPress

seguridad wordpressEn un artículo anterior se explicó por encima la actualización que dio lugar a la versión 3.0.4 de WordPress. Ésta fue de seguridad, acerca de filtrado de código hacia el cliente XSS.

Si algo nos ha enseñado la historia es que cuando un software tiene un propósito tan amplio como WordPress y un uso masivo a nivel global despierta más interés por parte de personas sin escrúpulos que desean aprovecharse y atacar las páginas y clientes que usan este sistema.

La enorme variedad de plugins que existen y que nos permiten hacer prácticamente cualquier sitio web también es el principal problema de seguridad, Recordemos que los plugins de WordPress se ejecutan directamente y el core del mismo no es responsable por la ejecución de los mismos. Si un plugin está corrupto no hay nada que el CMS pueda hacer al respecto, y por esta razón es importante tener algunas buenas practicas al momento de utilizar plugins y temas en nuestros sitios web. Esto me da pie a dar algunas recomendaciones de seguridad en WordPress.

actualiza wordpress

Actualiza regularmente WordPress y los plugins instalados

Cuando ocurren estos descubrimientos de fallos seguridad son prontamente solucionados. Siempre es recomendable usar la ultima versión.

actualiza wordpress

Buscar plugins

En internet existen miles de plugins disponibles para hacer casi cualquier cosa que uno se imagine, sin embargo mi recomendación es escogerlos del sitio oficial que wordpress.org tiene para tal fin. Está claro que WordPress no se hace responsable de éstos, pero al estar allí podemos ver la calificación del plugin, su autor y más información de manos de terceros.

actualiza wordpress

Borra plugins que no uses

Para hacer nuestros sitios más dinámicos y cambiantes en ocasiones instalamos nuevos plugins y nuevas características. Por eso es importante que primero desactives y luego borres los plugins viejos que no uses, porque si aún existen en el servidor pueden ejecutarse sólo conociendo sus rutas.

actualiza wordpress

No te confíes por tener un sitio pequeño

Cuando comencé en la web, escuché mucho “soy pequeño, a mí qué me van a querer atacar”. ERROR: la gran mayoría de los ataques se hacen a sitios pequeños. Olvidemos la imagen del hacker sentado frente al PC pensando mil y una formas de entrar al banco para robar millones, ahora existen bots sin sentimientos o miramientos escaneando en internet alguna presa y alguna vulnerabilidad en los sitios. En ocasiones los ataques sólo se hacen como parte de un ataque más grande.

actualiza wordpress

Permisos sobre las carpetas y archivos

Los ataques que he sufrido siempre han sido por este motivo. Por descuido o por necesidad del servidor y la aplicación, estas carpetas quedan con posibilidad de ser escritas o modificables por cualquier usuario del servidor, esto permite que los atacantes suban sus propios programas. Es importante que siempre y cuando no sea absolutamente necesario, nuestros archivos y carpetas tengan sólo permisos de lectura.

actualiza wordpress

Copia de respaldo Copia de respaldo Copia de respaldo

Esto se dice mucho pero vale la pena. Si tienen un sitio en producción y éste es importante, es vital que se hagan copias de los uploads de WordPress y de la base de datos. En algunos casos, la única forma de resolver un ataque es hacer borrón y cuenta nueva; obviamente hay que verificar que ni en la base de datos ni en los uploads hayan rastros de ataques previos.

Por último en esta breve lista, usar algunos plugins de verificación como TAC (Theme Authenticity Checker), y algunos de aseguramiento del sitio como es BulletProof Security que, mediante los archivos htaccess, asegura el sitio ante muchos tipos de ataques.

¿Qué hacen ustedes en cuestión de seguridad?

Comentarios
  1. Hola, yo también añadiría algunos consejos relativos a cambiar las rutas por defecto de administración, así haremos más difícil su detección.

    Escrito el25/04/2011
  2. Muy buena observación :) gracias

    Escrito el25/04/2011
  3. como se cambian las rutas por defecto de la administración?

    Escrito el14/05/2011
  4. Para cambiar la dirección de ingreso se puede usar este plugin
    http://wordpress.org/extend/plugins/stealth-login/

    Escrito el14/05/2011
  5. I think this is a real great post.Much thanks again. Will read on..

    Escrito el18/05/2011
  6. It looks very nice. I like.

    Escrito el18/05/2011
  7. Siempre aprendiendo. . . .

    Escrito el11/07/2011
  8. Muy buenas sus recomendaciones, le seguire leyendo. Un saludo y muchas gracias.

    Escrito el18/10/2011
  9. mbt

    very good, i very like.

    Escrito el04/02/2012
  10. Siempre es bueno leer recomendaciones sobre medidas de seguridad para WordPress. Es importante tenerlas en cuenta.

    Gracias
    Diego

    Escrito el20/03/2012
  11. Shape

    Unos cuantos consejitos más, que siempre vienen bien :)

    Consejos para mejorar la seguridad de WordPress

    Escrito el12/08/2012

DEJA TU COMENTARIO