Prevenir ataques en WordPress – Parte II

Prevenir ataques en WordPress – Parte II
15 noviembre, 2014 Leandro Padula

En la primera parte de esta serie de artículos he explicado algunos conceptos básicos sobre los probables ataques a WordPress y cómo prevenirlos. En esta ocasión ampliaré el tema, y daré una serie de recomendaciones para evitar ser hackeados o infectados con algún virus.

Cosas a tener en cuenta para prevenir hackeos.

Hosting de Calidad

La experiencia me ha marcado que sin tener un hosting que garantice cierta seguridad, no habrá medida que podamos tomar para evitar un hackeo. Para eso hay que elegir dónde alojar nuestra web en base a recomendaciones y buscar empresas con prestigio o una buena reputación online.

Obviamente eso no va a garantizar que no suframos un ataque y nuestro sitio termine hackeado, por eso a continuación siguen las recomendaciones.

Actualización de WP y sus plugins

Este punto es clave. Muchas personas, agencias o empresas terminan de desarrollar su sitio web y lo dejan desactualizado, sin mantenimiento. Hoy por hoy nadie puede darse ese lujo, y para evitar problemas lo mejor es mantener actualizado WordPress y todos sus plugins, ya que las actualizaciones suelen corregir posibles problemas de seguridad.

No usar plugins o templates pirateados

En reiteradas ocasiones he tenido que arreglar sitios que le fueron hackeados o tenian un virus, y cuando empiezo a investigar por dónde vino el problema, resulta ser que habían instalado un template o plugin pirateado. Estos recursos que se pueden conseguir de manera gratuita, pero que son en realidad pagos, suelen contener scripts maliciosos que instalan virus en el sitio en cuestión.

Usar passwords seguros

Esto pareciera una obviedad, pero mucha gente usa passwords muy débiles. Lo ideal es que las contraseñas contengan más de 8 caracteres y tengan números y letras.

Deshabilitar usuario ‘admin’

Si cuando se instaló WordPress se creó el usuario ‘admin’, lo ideal es eliminarlo, ya que suele ser el usuario que cualquier algoritmo de fuerza bruta intentará descifrar.

Deshabilitar la ejecución de archivos .php en ciertas carpetas

Prinicipalmente en las carpetas uploads y wp-includes.

¿Cómo hacemos esto? Simple, creamos un archivo .htaccess en la raíz de las carpetas donde no queremos que se ejecute php con lo siguiente:

<Files *.php>
deny from all
</Files>

Deshabilitar la edición de archivos del template o plugins desde el Administrador de WP

En caso de que un hacker haya logrado tener acceso a un usuario de WordPress, podemos evitar un desastre mayor deshabilitando la edición de templates y plugins.

Para deshabilitarlo editamos el wp-config.php y agregamos la siguiente linea al final del archivo:

define('DISALLOW_FILE_EDIT',true);

¡Hacer backups!

Tanto de archivos como de base de datos. Siempre es ideal tener backups a mano ante cualquier problema que surja, ya que nunca podremos estar 100% seguros.

En Resumen

Mantener un sitio seguro lleva su tiempo, aunque existen algunos plugins que nos pueden alivianar la tarea. En las próximas entregas de esta serie de artículos hablaremos de estos plugins y de que pasos seguir cuando nuestro sitio ya fue hackeado.

Passionate about the web, entrepreneur, gamer and co-founder of Broobe.

0 Comentarios

Dejar una respuesta

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

*