WordPress es uno de los CMSs más utilizados tanto para usuarios como para desarrolladores, y la seguridad es algo que pasamos desapercibida muy a menudo. Cuando un CMS como este se encuentra usado por una gran comunidad de usuarios se convierte el objetivo de los cibercriminales.
Es por ello que considero importante prestar cierta atención a la seguridad, y aunque las actualizaciones de WordPress ya tengan en cuenta esto, toda seguridad es poca.
1. Añade códigos de encriptación SALT al fichero wp-config.php
Si editas el fichero wp-config.php veras ocho códigos definidos por constantes como estos:
001 define(‘AUTH_KEY’, ‘pon aquí tu frase aleatoria’); // Cambia esto por tu frase aleatoria. 002 define(‘SECURE_AUTH_KEY’, ‘pon aquí tu frase aleatoria’); // Cambia esto por tu frase aleatoria. 003 define(‘LOGGED_IN_KEY’, ‘pon aquí tu frase aleatoria’); // Cambia esto por tu frase aleatoria. 004 define(‘NONCE_KEY’, ‘pon aquí tu frase aleatoria’); // Cambia esto por tu frase aleatoria. 005 define(‘AUTH_SALT’, ‘pon aquí tu frase aleatoria’); // Cambia esto por tu frase aleatoria. 006 define(‘SECURE_AUTH_SALT’, ‘pon aquí tu frase aleatoria’); // Cambia esto por tu frase aleatoria. 007 define(‘LOGGED_IN_SALT’, ‘pon aquí tu frase aleatoria’); // Cambia esto por tu frase aleatoria. 008 define(‘NONCE_SALT’, ‘pon aquí tu frase aleatoria’); // Cambia esto por tu frase aleatoria.
WordPress usa cookies, por lo que no esta nada mal prestar atención a la mejora de la seguridad de estas y de las contraseñas de usuario. Estos ocho códigos se introdujeron en WordPress para encriptar mejor los datos almacenados en las cookies de usuario.
2. Cambiar el prefijo por defecto de las tablas de la base de datos
Por defecto, en el fichero de configuración wp-config.php viene una constante definida con “wp_” como prefijo para el nombre de las tablas de la base de datos. Cámbialo por otro (por ejemplo, “wow_”), así aquel que intente hacer maldades no tendrá esta información.
3. Cambiar el nombre de usuario de administrador por defecto
Es importante no poner el típico nombre de administrador que se suele usar como admin oadminitrador, ya que en la mayoría de lo ataques por fuerza bruta se usan esos nombres.
4. Elige una buena contraseña
Es recomendable que la contraseña tenga al menos 8 carácteres, mezclando letras mayúsculas y minúsculas, números y carácteres especiales. De este modo se dificulta mucho la tarea de encontrar la contraseña.
5. Ocultar la versión de WordPress
Una de las cosas que un hacker suele mirar para llevar a cabo sus ataques es la versión del sistema al que quiere atacar, ya que así puede usar los agujeros de seguridad que contenga esa versión. WordPress automáticamente genera en el encabezado de la página web un metatag con la versión actual de WordPress. Simplemente tendrás que eliminar esta meta etiqueta y ya está.
001 function wpt_remove_version() {
002 return "";
003 }
004 add_filter("the_generator", "wpt_remove_version");
6. Mantener las actualizaciones al día
Las actualizaciones que van saliendo no sólo son para tener nuevas funcionalidades, sino para corregir fallos de seguridad. Es recomendable hacer una copia de seguridad antes de cada actualización, aunque no suele haber ningún problema.
