Seguridad básica en WordPress

Seguridad básica en WordPress

Por lo que te recomiendo WordPress como plataforma de desarrollo web es, entre otras cosas, por su seguridad. Tiene fallos de seguridad, sí, pero al tener tantos usuarios en el mundo, en seguida se dan cuenta de estos fallos y se corrigen. Es vital para tu web que siempre esté todo actualizado a la última versión.
Un pero que se le podría poner a WordPress es que, al ser tan utilizado, su estructura es tan conocida que constantemente tratan de atacarla los Hackers. Por esta razón vamos a realizar una serie de modificaciones en nuestro WordPress para mantener la instalación más segura si cabe.

Como proteger a WordPress de los ataques de Fuerza Bruta

Uno de los ataques más comunes de los Hackers a WordPress es al usuario que por defecto instala WordPress. Este siempre es “Admin”, lo que hace muy sencillo el ataque usando la técnica de “fuerza bruta”. Esta técnica consiste en, sabiendo el usuario, comenzar a introducir claves hasta que coincida con la que está configurada.
Para no caer en los ataques de “fuerza bruta” debes asegurarte de tener controlados una serie de puntos:

  • Cambiar el usuario Admin por uno personalizado:

    Para realizar un cambio aún más seguro que simplemente el nombre del usuario, crearemos un nuevo usuario de administrador. De esta forma cerramos 2 puertas de ataque:

      • Ataques usando el nombre de usuario Admin
      • Ataques usando la url del usuario admin. Para entender este tipo de ataques, antes te debo explicar que en WordPress todo gira entorno a la figura de los post y todo tiene un numero de id, como no podía ser menos los usuarios también. Debido a esto el usuario Admin es el post “Id=1” siempre. Esto es bien sabido y los hackers realizan ataques a la url del post “Id=1”. Si creamos un nuevo usuario este Id cambiará y ya no se verá afectado por estos ataques.

    Vamos entonces a crear tu nuevo nombre de usuario, es muy sencillo, en el menú de la izquierda vete a “Usuarios >> Añadir nuevo” . Cubre en esta pantalla los datos que quieras para tu nuevo usuario, lo más importante es que en el último desplegable “Perfil” selecciones “Administrador”.

    Como crear un usuario en WordPress

     

    Ya tenemos creado un nuevo usuario Administrador, por lo que cierra sesión y vuelve a entrar en WordPress, pero esta vez con las credenciales de este nuevo usuario. Una vez dentro vete a “Usuarios >> Todos los usuarios” .  Ya no queda nada, simplemente pon el ratón sobre el usuario “admin” y en cuanto veas el botón “Borrar” haces clic en él.

    Listado de usuarios de WordPress

    Si estás haciendo esta medida de seguridad después de haber publicado algún artículo, a la hora de eliminar te preguntara si deseas borrar el contenido o reasignarlo. Siempre reasígnalo al nuevo usuario.

  • Bloquear intentos masivos de acceso:

    Otra medida a tomar es el bloqueo de fallos de acceso repetitivos. Si vienes haciendo caso a mis recomendaciones y contrataste con SiteGround o Webempresa el hosting, puedes saltarte este punto porque ambos tienen esta medida de seguridad y muchas otras ya activas en su hosting. Estos servidores en caso de 3 intentos fallidos de contraseña, bloquean la ip del ordenador que esta tratando de acceder, por lo que neutralizan los ataques de fuerza.
    Si no seguiste mis recomendaciones, aún estas a tiempo de hacerlo. No obstante en próximos artículos veremos como configurar un plugin de seguridad para WordPress y tendrás el problema resuelto.

Como proteger las tablas de la base de datos de WordPress

Otro de los puntos flacos de la instalación de WordPress es el prefijo de las tablas de la base de datos. Este lugar es donde se almacena todo el contenido de nuestra web y por defecto tiene el prefijo “wp_”. Como ya vimos en el caso anterior, todas aquellas configuraciones por defecto de WordPress comprometen la seguridad de nuestra instalación. Para cambiar este prefijo tenemos dos métodos, el manual y usando un plugin. Mi recomendación rotunda, hasta para el más profesional es usar el plugin.
Vamos a realizar el cambio de prefijos en un momento con el plugin “Brozzme DB Prefix”, es gratuito y lo podemos descargar del repertorio de WordPress.

Instalar Brozzme DB PREFIX

Es sencillo, como ya hicimos con el plugin de mantenimiento, iremos a “Plugins >> Añadir nuevo” y buscamos “Brozzme DB Prefix“. Una vez nos lo muestra en los resultados, hacemos clic en “Instalar ahora” y acto seguido en “Activar”.

Instalar plugin brozzme
Una vez tienes instalado el plugin, en el menú de la izquierda iremos a “Herramientas >> DB PREFIX” para cambiar como se muestra el prefijo. Este cambio es simple, en el campo de arriba te muestra el prefijo existente, en el de abajo te propone uno, si lo quieres cambiar puedes, recuerda que es muy importante no suprimir del prefijo el guión bajo.
Cambiar el prefijo de las tablas de base de datos de WordPress
Una vez decidido el nuevo prefijo, y escrito, simplemente debes hacer clic en “Change DB Prefix” y estará cambiado.

Hay que tener la instalación de WordPress lo más limpia y actualizada posible. Por este motivo, en cuanto acabes el proceso la mejor opción es eliminar el plugin Brozzme DB Prefix, porque no lo volveremos a usar nunca.

Pues ya hemos terminado nuestra configuración de seguridad básica para WordPress, espero que te haya resultado sencillo. Recuerda que si tienes dudas puedes escribirme un comentario y trataré de resolvértelas.

Ahora es momento de seguir avanzando con tu proyecto, así que adelante con el siguiente artículo.

Próximamente “Seguridad avanzada para WordPress”

Deja un comentario