martes, 13 de septiembre de 2011

PostHeaderIcon Cómo proteger tu blog WordPress de hackers

9:41 | Editar entrada

Para todos aquellos blogueros, y principalmente para los centrados en Wordpress tened claro que mientras vuestro blog va adquiriendo popularidad es inevitable que gente con mala fé pueda atacarlo, intentar recuperar información privada o simplemente fastidiártelo por diversión.
Antiguamente el único propósito de los hackers era deshabilitar tu web/blog, pero ahora utilizan entre otras técnicas, SQL Injection, con lo que podrán insertar código malicioso en nuestras páginas.
A veces resulta imposible prevenir según qué ataques, pero lo que sí es cierto es que podemos proteger WordPress y así ponérselo más difícil.
Desde nos dan una serie de consejos para que tu blog wordpress sea más seguro.

  • Instala plugins y themes de sitios seguros, principalmente desde WordPress.org y actualizalos regularmente.
  • Usa un password seguro: No uses fechas de nacimiento, tu DNI. Tienes que utilizar carácteres numéricos y alfanuméricos, incluso alternar entre mayúsculas y minúsculas
  • Crea un usuario seguro: No dejes como usuario "admin" que es el que viene por defecto en WordPress, así lograremos que los hackers tengan que averiguar un campo más para tener acceso a nuestro panel de configuración. Existen 2 maneras de cambiar el usuario:
    • Si tenemos acceso en nuestro hosting a phpMyAdmin o alguna aplicación por el estilo, una forma de cambiar el usuario de WordPress sería:


PLAIN TEXT
MySQL:
1.  UPDATE wp_user_login='new user' WHERE user_login='admin'

    • Donde "new user" es el usuario que queráis asignar a vuestra cuenta.
    • Si no tienes acceso a aplicaciones como phpMyAdmin puedes hacerlo de la siguiente manera:
    • Crea un usuario nuevo con un nombre único
    • Asígnale una cuenta de administrador
    • Haz deslogueate y vuelve a loguearte con el nuevo usuario
    • Borra la cuenta Admin anterior

  • Algunos plugins recomendados:
    • WP Security Scan
    • WordPress Exploit Scanner
    • WordPress File Monitor
    • Login Lockdown
  • Crea permisos en tus carpetas mediante tu propio hosting (si tienes esa función habilitada) o por FTP, dándole permisos 644 a los ficheros y 755 a las carpetas.
  • Modifica el prefijo de las tablas de tu WordPress (_wp). Esto se puede moficiar antes de instalar WordPress en el archivo wp-config.php
  • Mueve el archivo wp-config.php: Desde WordPress 2.6 es posible mover el archivo wp-config.php a otro directorio para que así el usuario malintencionado no lo encuentre fácilmente y pueda modificar datos de configuración muy valiosos. El archivo lo podremos mover al directorio padre, por ejemplo:

public_html/wordpress/wp-config.php
Puede moverse a:
public_html/wp-config.php


Rango de ip en .htaccess: Una buena costumbre es indicar en el archivo.htaccess un rango de ip que pueden acceder al panel de control de WordPress, con lo que usuarios que entren con distintas ips no podrán modificar ni ver nada.


AuthUserFile/dev/null
AuthGroupFile/dev/null
AuthName “Access Control”
AuthType Basic
order deny, allow
deny from all
#IP address to Whitelistallow from xxx.xxx.xxx.xxx

Formas conexión segura SSL: Esto lo puede configurar en la instalación, pero si no lo has hecho tienes otras formas añadiendo en el archivo wp-config.php de las siguientes lineas:



Para la página de login:
PLAIN TEXT
PHP:
1.  define('FORCE_SSL_LOGIN', true);
o    
P  Para la página de administración:
PLAIN TEXT
PHP:
1.  define('FORCE_SSL_ADMIN', true);
Con estos consejos ya tendrás tu blog un poco más seguro de ataques de usuarios maliciosos






Etiquetas: , , , , , , ,

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Blog Archive

Blogs Interesantes

Secti Tecnología, S.L. Con la tecnología de Blogger.

Secti Tecnología, S.L