Seguridad en Wordpress

Seguridad en WordPress

Esta semana ha cundido el pánico en las redes sociales y blogs por un ataque masivo a sitios desarrollados en Wordpress. Algunos hosting se tomaron la molestia de bloquear los accesos al panel de administración de sitios para filtrar y repeler este ataque desproporcionado.

El proceso fuerza accesos como administrador a través de la pantalla de login (wp-login.php) mediante scripts de ataque de fuerza bruta, con la intención de inyectar código script malicioso en el tema activo. Estos son los ataques normales con los que se encuentran los responsables de sitios web. Así que si usas nombres de usuario y contraseña típicas, lo más seguro es que puedan acceder a tu sitio.

Afortunadamente todo se puede solucionar, y lo mejor de todo, se puede prevenir. Como verás a continuación no es muy difícil. Con esto no tendrás tu sitio web 100% protegido, siempre hay vulnerabilidades, pero por lo menos será muy muy complicado para los bots que intenten acceder como administradores a tu blog.

Solución mediante plugins

Podemos usar plugins que controlen el acceso a nuestro panel de control. Por lo general bloquean IPs desde donde intentan acceder de forma «bruta» con mucho intentos, además de bloquear usuarios si se intenta acceder con otors que no sea administrador.

Wordfence, es un completo plugin para proteger nuestra instalación de WordPress en muchos aspectos, entre ellas los intentos de acceso masivos.

Login Lockdown, es un sencillo pero potente plugin que cumple su cometido. Bloquea IPs que intentan acceder desproporcionandamente. Puedes variar el numero de intentos a bloquear, tiempo de bloqueo, etc.

Solución mediante htaccess

Puedes añadir reglas de seguridad, desvíos o bloqueos de apache en el archivo .htaccess. En Ayuda Wordpress hay una completa guía de varios métodos para asegurar nuestra instalación.

En estos casos de «fuerza bruta» es recomendado activar el mod_security de Apache. En este post hay una explicación de uso bastante detallada en español.

Sentido común y prevención propia

Nosotros mismos podemos asegurar nuestro WordPress sin entrar en muchos detalles técnicos. Es indispensable que sigas estos consejos.

  • No crear usuarios «admin» y si lo tienes como predeterminado, deberías borrarlo.
  • Usar contraseñas difíciles.
  • Actualizar inmediatamente a cada nueva versión de WordPress o de las plugins que usemos.
  • Restringir el acceso a directorios importantes como wp-admin, wp-includes y wp-content.
  • Modificar el prefijo predeterminado de las tablas de la base de datos «wp_» a otro que no sea fácil de adivinar.

En esta guía publicada en Genbeta tratan a fondo algunos de estos puntos anteriores.

Así que ya sabes, prevenir es mejor que lamentar. Ponte las pilas y mejora la seguridad de tu sitio web o blog si aún no lo has hecho porque estos ataques están a la orden del día.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información básica sobre protección de datos Ver más

  • Responsable: Helmer Galvis Rojas.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento:  No se ceden o comunican datos a terceros para prestar este servicio.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.