Pasó hace un par de semanas: uno de mis blogs con código malicioso, la base de datos dañada… reconozco que no tomé apenas precauciones por pura vagancia pues en varios de mis blogs ya lo hago, así que voy a enseñarte a cómo proteger al máximo tu blog en WordPress, paso a paso.
Ten una contraseña segura
Creo que sobra decirlo, pero por si acaso lo pongo en primer lugar: si tu contraseña es algo como ‘perro’ probablemente entrar a tu blog sea más sencillo de lo que crees. Cuidado.
Ten cuidado con lo que instalas y mantén WordPress actualizado
No sería el primer caso que veo de alguien que instala un plugin un tanto ‘extraño’ y éste introduce malware en su blog. Mucho cuidado con ello. Además, mantén WordPress actualizado a la última versión estable en cuanto salga, porque siempre arregla fallos que puede aprovechar cualquiera.
Nunca tengas un usuario admin
WordPress por defecto crea un usuario llamado admin, de tal manera que si un hacker quiere entrar en tu blog intentará reventar la contraseña del usuario admin. Por tanto, si eres el administrador para cambiar el usuario admin por otro tendrás que acceder a la base de datos. Aquí tienes un tutorial interesante al respecto.
Cambia las páginas para entrar a la administración de tu blog
A WordPress se accede normalmente para administrarlo en páginas como wp-login.php o wp-admin/ , y ésto también puedes cambiarlo. Un plugin que te facilita mucho la labor para ésto es Stealth Login, de instalación también recomendada. Echa un ojo también a Login Lockdown.
Revisa constantemente la seguridad de tu sistema WordPress
WP Security Scan es un excelente plugin para WordPress que te permitirá revisar parámetros de seguridad de tu WordPress: ocultará en el código la versión, comprobará si tienes usuario admin, revisará los permisos de todas tus carpetas…
Mantén copias de seguridad
En último caso, cuenta con copias de seguridad siempre a mano de la base de datos de tu blog: WordPress Database Backup te permitirá programar copias de seguridad de tu base de datos, combinarlo con un correo con mucha capacidad con Gmail es una combinación fantástica gracias a sus filtros y siempre te quitará un peso de encima.
¿Y tú? ¿Cómo controlas la seguridad de tu blog?
Yo personalmente tengo los dos últimos plugins, y tampoco tengo como usuario “admin”.
Me ha interesado mucho lo de cambiar la página de login, en cuanto llegue a casa a mediodía lo hago!
Muy buenos consejos 🙂
Estupendas sugerencias Juan.
Yo hago todo eso menos probar el Stealth Login que lo probare luego.
Gracias!
Excelente recopilación. Yo creo que tengo todos :P, pero hoy me ha pasado algo que quiero compartir. Me han hecho un defacement y eso que tenía todos los plugins y contraseñas seguras. Esto quiere decir que la seguridad 100% no existe, por tanto es importante tener dos cosas:
un muy buen hosting, y cuando digo bueno, digo que su servicio técnico sea capaz de solucionarte los errores complicados
y dos, una copia de seguridad contrastada.
Por cierto que, yo me he dado cuenta de que no tenía bien protegida la carpeta wp-admin así que no os olvidéis de limitar por IP el acceso a esta carpeta (http://netaccountant.net/blogs-blogging-for-accountants/how-to-secure-your-wordpress-wp-admin-folder/).
Lo que es seguro es que tarde o temprano tendrás algún problema, por cagada propia (las más de las veces) o por algún indeseable ajeno. Toda precaución es poca.
O permisos por FTP, que los revisa muy bien el WP Security Scan
Gracias Aitor por el enlace.
¿Lo solucionaste bien y rapidito me imagino? menos mal que no fue “peor”
Yo opino que el Hosting y su Servicio Técnico son la clave fundamental en estos casos de seguridad como tu muy bien dices.
Un Saludo!
Interesantes consejos, algunos ya los seguia, otra desde ya!
[…] el la día (bueno mejor dicho la noche) en la que se publicaba en Bloguismo como proteger tu WordPress al máximo, mi propio Blog, Un Cafelito a las Once, sufría el ataque de un hacker (turco parece, pero […]