05 Ago Proteger WordPress de ataques y malwares
Como siempre mencionamos, WordPress se ha convertido en uno de los CMS más utilizados en sitios de gestión de contenidos. Gracias a su crecimiento, ha logrado que muchas empresas utilicen WordPress para sus webs oficiales, blogs corporativos y hasta sitios de comercio electrónico. Por desgracia, como consecuencia de ello se ha vuelto objetivo hackers y ataques masivos de sitios webs. Y si crees que esto a ti no te puede pasar, te equivocas, esto no solo ocurre a sitios webs populares, así que para proteger tu WordPress te detallamos algunos aspectos que deberías tener en cuenta.
1. Actualización
Algo que debemos entender es que los ataques son producidos por personas que conocen el CMS. Y uno de los puntos importantes de esto es que con cada actualización WordPress mejora características y bugs de seguridad.
Otra consideración que se debe tener en cuenta es instalar y actualizar temas y/o plugins. Al instalarlos, estamos dando paso al código de estos plugins o temas. Esto puede parecer muy fácil, pero hay que ser cuidadoso con ello. Intenta ver los detalles del plugin o theme, ver el desarrollador, el número de descargas… Este post sobre seleccionar plugins en WordPress te puede ayudar. Además, si tu tema o plugin es de pago, infórmate sobre el compromiso y respaldo por parte del desarrollador ante nuevos ataques o “exploits” y actualizaciones de su producto para mantenerlo a salvo. Esto sin embargo, no suele ser así en temas y plugins gratuitos, pero a veces, son la mejor opción, ya que son los más utilizados por los usuarios.
Nuestro consejo:
- Mantén WordPress actualizado siempre a la última versión. ¡SIEMPRE! Es lo mas importante de todo.
- Mantén los plugins de WordPress actualizados.
- Mantén tu tema o temas actualizados.
2. Datos de acceso
Cambia las contraseñas con cierta regularidad. Lo ideal es que modifiques tus claves como mínimo cada mes, y siempre uses buenas contraseñas, de al menos 12 caracteres que incluyan mayúsculas, minúsculas, números y caracteres especiales.
En las ultimas versiones ya es posible seleccionar el nombre de usuario administrador al instalar WordPress. También puedes cambiarlo al término de la instalación. Esto parece un detalle insignificante pero si dejamos el usuario por defecto de nombre admin, estamos facilitando la mitad de la información para acceder a tu WordPress como administrador, a cualquier intruso que se lo proponga.
Si estos dos factores se combinan el sitio estará más que expuesto a posibles accesos no deseados.
3. Base de datos
Este se ha vuelto el método más empleado últimamente para hackear CMS, incluyendo WordPress.
Para protegerlo, te aconsejamos:
- Cambiar el prefijo de tu base de datos. Que no utilice el que establece por defecto WordPress: wp_
- Proteger el archivo .htaccess
- Usar htaccess como firewall
Teniendo en cuenta estos tres puntos solo nos queda recordar que una de las mejores maneras de estar preparado para estos ataques es SIEMPRE, pero siempre, hacer copias de seguridad periódicas. Esto nos mantendrá en ventajas respecto a ello.
Sin comentarios