Seguridad en WordPress

04/23/2013

Durante los últimas semanas hemos recibido varios intentos de ataques dirigidos hacia sitios que usan WordPress ya sea como su sistema de administración de contenidos o como blog del sitio web, los ataques han sido de hackers provenientes de la costa norte del este de Estados Unidos y del centro de Francia, afortunadamente hemos podido localizarlos y bloquearlos a tiempo.  Después de vivir estas experiencias queremos compartir los tips de seguridad para WordPress que utilizamos como estándar en GeneraWeb.

Temas y plugins
Cuando instalamos un nuevo WordPress nos gusta personalizar su apariencia y funcionamiento, y se nos ofrece una gran variedad de temas tanto gratuitos como en venta para ello, sin embargo hay muchos temas y plugins (sobretodo presente en los gratuitos), que al instalarlos dejan abiertas ciertas vulnerabilidades que son aprovechadas por los hackers para atacar nuestro sitio, e incluso apropiárselo y cometer delitos cibernéticos, o esparcir virus y software mal intencionado.  Es importante cuando elijamos un tema o un plugin checar su popularidad y calificación, así como ver que su autor sea confiable y su portafolio de temas o plugins es amplio, y con buenas reseñas.

Plugins de seguridad
Lo primero que tenemos que hacer después de realizar la instalación de WordPress es instalar plugins que nos permitan bloquear ataques, y corregir posibles vulnerabilidades de nuestro blog, en GeneraWeb utilizamos los siguientes:
Akismet – Instalado por default en WordPress, bloquea los comentarios realizados por robots en nuestras publicaciones, basándose en una lista negra de servidores que realizan spam en comentarios de publicaciones por medio de robots.  Para activarlo es necesario obtener una clave registrándote en la página de Akismet.
Better WP Security –  Ofrece de manera automática la corrección de vulnerabilidades comunes encontradas en WordPress, una vez instalado y configurado te da una lista de focos rojos, los cuáles puedes corregir simplemente dando clic sobre ellos y siguiendo las instrucciones que te proporciona.
Theme Authenticity Checker (TAC) –  Es un plugin que califica la autenticidad de los temas que tienes instalados en tu blog, así puedes detectar si el tema que instalaste es malicioso.
Limit Login Attempts –  Es un plugin que guarda un historial de intentos de acceso a la administración del blog, a la hora de detectar que existen varios intentos fallidos desde una misma IP en un periodo de tiempo corto, en automático bloquea el acceso a dicha IP, bloqueando los posibles ataques.

Recuerda que es importante además de instalar los plugins activarlos, y revisar su configuración si es que cuentan con opciones configurables.

Usuarios y Contraseñas
Muchos ataques se logran cuando el hacker adivina la contraseña de un usuario, por eso es importante que nuestras contraseñas sean seguras, en lo posible que contengan mayúsculas, minúsculas, números, y símbolos no alfanuméricos, así como que sean de al menos 8 caracteres, y no sean de facil deducción, por ejemplo si nuestro usuario es «GeneraWeb», y ponemos de contraseña «G3n3rAW3b» , aunque cumplimos con la mayoría de las reglas sugeridas, es una contraseña que fácilmente se puede adivinar.

Actualiza
Tanto los desarrolladores de WordPress como los desarrolladores de Temas y Plugins constantemente están publicando actualizaciones de su código, estas actualizaciones contienen mejoras en funcionalidad, correcciones de errores, y correcciones a hoyos de seguridad que son detectados, actualizar en WordPress es muy sencillo, tan sólo es cuestión de fijarse en las notificaciones de actualización que se localizan en la barra superior de tu administrador, y dar clic en los botones de actualizar pendientes.

Siguiendo estas sencillas recomendaciones podemos proteger nuestro sitio, y sobretodo tener una muy buena reputación, con lo cuál nuestra página dejará de ser ignorada y bloqueada, para poder convertirse en una referencia.