Blog personal de Helmer Galvis
Seguridad en Wordpress

Seguridad en WordPress

Artículo publicado el Domingo, Abril 14, 2013. Guardado en la categoría: Wordpress

Esta semana ha cundido el pánico en las redes sociales y blogs por un ataque masivo a sitios desarrollados en WordPress. Algunos hosting se tomaron la molestia de bloquear los accesos al panel de administración de sitios para filtrar y repeler este ataque desproporcionado.

El proceso fuerza accesos como administrador a través de la pantalla de login (wp-login.php) mediante scripts de ataque de fuerza bruta, con la intención de inyectar código script malicioso en el tema activo. Estos son los ataques normales con los que se encuentran los responsables de sitios web. Así que si usas nombres de usuario y contraseña típicas, lo más seguro es que puedan acceder a tu sitio.

Afortunadamente todo se puede solucionar, y lo mejor de todo, se puede prevenir. Como verás a continuación no es muy difícil. Con esto no tendrás tu sitio web 100% protegido, siempre hay vulnerabilidades, pero por lo menos será muy muy complicado para los bots que intenten acceder como administradores a tu blog.

Solución mediante plugins

Podemos usar plugins que controlen el acceso a nuestro panel de control. Por lo general bloquean IPs desde donde intentan acceder de forma “bruta” con mucho intentos, además de bloquear usuarios si se intenta acceder con otors que no sea administrador.

Wordfence, es un completo plugin para proteger nuestra instalación de WordPress en muchos aspectos, entre ellas los intentos de acceso masivos.

Login Lockdown, es un sencillo pero potente plugin que cumple su cometido. Bloquea IPs que intentan acceder desproporcionandamente. Puedes variar el numero de intentos a bloquear, tiempo de bloqueo, etc.

Solución mediante htaccess

Puedes añadir reglas de seguridad, desvíos o bloqueos de apache en el archivo .htaccess. En Ayuda WordPress hay una completa guía de varios métodos para asegurar nuestra instalación.

En estos casos de “fuerza bruta” es recomendado activar el mod_security de Apache. En este post hay una explicación de uso bastante detallada en español.

Sentido común y prevención propia

Nosotros mismos podemos asegurar nuestro WordPress sin entrar en muchos detalles técnicos. Es indispensable que sigas estos consejos.

  • No crear usuarios “admin” y si lo tienes como predeterminado, deberías borrarlo.
  • Usar contraseñas difíciles.
  • Actualizar inmediatamente a cada nueva versión de WordPress o de las plugins que usemos.
  • Restringir el acceso a directorios importantes como wp-admin, wp-includes y wp-content.
  • Modificar el prefijo predeterminado de las tablas de la base de datos “wp_” a otro que no sea fácil de adivinar.

En esta guía publicada en Genbeta tratan a fondo algunos de estos puntos anteriores.

Así que ya sabes, prevenir es mejor que lamentar. Ponte las pilas y mejora la seguridad de tu sitio web o blog si aún no lo has hecho porque estos ataques están a la orden del día.