Maximizar la seguridad de una instalación de WordPress
Justo el día de ayer dimos a conocer una pequeña lista con algunos plugins de WordPress recomendados, los cuales nos ayudan a maximizar las funcionalidades de un blog que corre sobre esta plataforma, la más extendida del mundo y que recientemente alcanzó la magnífica cifra de 3 millones de descargas.
Sin embargo, como todo sistema conocido, WordPress ha sido víctima de hackers que gracias a sus amplios conocimientos en PHP y MySQL han descubierto algunas formas de atacar y hackear blogs con instalación propia de este CMS, esto con el único objetivo de robar información del blog o colocar publicidad no perteneciente al dueño del sitio y ganar dinero con ello.
Para evitar situaciones como las descritas en el párrafo anterior, es recomendable establecer medidas de seguridad extra a las que ya incorpora WordPress, las cuales sin duda ayudarán a que en un futuro surjan problemas de este tipo. Algunas medidas que se deben tomar muy en cuenta para aumentar la seguridad de un blog que corre sobre WordPress son:
- Inmediatamente después de haber instalado WordPress, es necesario y fundamental borrar el archivo install.php, que se encuentra alojado en la carpeta /wp-admin/.Las consecuencias de dejarlo pueden ser desastrosas si alguien accede a éste archivo, ya que podría sobreescribir el blog y su base de datos, con lo cual un blog puede quedar inservible.
- Cambiar el nombre de usuario de administrador. Por todos es conocido (hasta por los hackers) que el nombre de usuario por default de WordPress es “admin”, lo cual facilita mucho a la hora de atacar un blog, ya que solo se necesita descifrar la contraseña. La mejor forma de evitar esto es regisrar un nuevo usuario con privilegios administrativos, y una vez creado, borrar la cuenta de “admin”, o por lo menos reducirle los permisos, para que en caso de que sea hackeada, el atacante no podrá hacer gran cosa cuando acceda al blog. Existe también otra forma de cambiar el usuario “admin”, a través de la base de datos MySQL del blog, y en Ayuda Wordpress nos explican como hacerlo.
- Si el blog no requiere que los visitantes o usuarios se registren, desactivar el registro de nuevos usuarios. En algunas versiones antiguas de WordPress era posible que desde el rango más bajo de usuario (Suscriptor) se tuviera acceso a opciones administrativas, así que si no se requiere la opción, es mejor suprimirla.
esta muy bueno el post, a mi me paso algo muy estraño, parece que me hicieron una denegacion de servicio contra mi wordpress, pero ni idea como, hicieron qeu al base de mysql se comiera mas del 85% de los recursoso del sitio
a mi los spammers me han invadido y han logrado inutilizar la forma de actualizar la versión de wordpress que utilizo en uno de mis blogs, a tal punto que no puedo actualizar plugins ni nada, ni siquiera escribir nuevos post, estoy tratando de ver como soluciono esto, he hecho algunos ajustes, pero todavia no logro desactivar esto, tal vez migrando el blog a otro servidor me ayude a solucionar este problema, podria ser?