Con el paso del tiempo ha ido bajando el precio de los nombres de dominio y el servicio de hospedaje, por lo que es más común tener un blog, ya sea personal o de alguna temática. Pero al mismo tiempo que los precios de estos servicios han disminuido, también ha aumentado la cantidad de gente que desea hacer daño, por el simple hecho de hacerlo, y es por ello que es importante tomar en cuenta algunas medidas de seguridad en nuestros blogs.

Esta es una lista de 11 puntos de lo que se puede hacer para evitar sorpresas:

  • Encriptar el acceso
    Siempre que accedemos a WordPress la información va de una manera sin encriptar, eso quiere decir que cualquier persona puede obtener la información con algún programa para detectar esta comunicación. Existe un plug-in que se llama Chap Secure Login que ayuda para que la información viaje encriptada de manera segura.
  • Usar una contraseña fuerte
    No sirve de mucho enviar la información de acceso encriptada si la contraseña no es lo suficientemente fuerte. Ya he hablado en otras ocasiones sobre lo importante que es que la contraseña contenga una combinación de letras mayúsculas, minúsculas y números. Si se quiere agregar una mayor cantidad de seguridad se pueden poner también símbolos. Si no estas seguro de que tan fuerte es tu contraseña, a partir de la versión 2.5 de WordPress tiene incluido un verificador al momento de cambiar la contraseña.
  • Cambia el usuario de administrador
    Ya todos saben que el primer usuario, con privilegios de administrador, es “admin” y obviamente será el primero al que se tratará de atacar. Hay dos formas de evitar esto, la primera es que al momento de la instalación de WordPress se cambie el nombre del usuario. La segunda forma es que si ya está creado el usuario admin, se haga un segundo usuario con todos los privilegios de administrador. Se sale de wordpress y se vuelve a entrar pero con el usuario nuevo, y ahi ya se podrá borrar el usuario admin.
  • Define los privilegios de usuario
    Si tienes varias personas que escriben en el blog debes definir bien que accesos tiene cada quien, no es necesario que todos tengan acceso como administrador al blog.
  • Mantén actualizado WordPress y sus plug-ins
    Wordpress es una plataforma que constantemente está actualizandose con nuevas funcionalidades o arreglando problemas previos. Es muy importante siempre contar con la última versión ya que muchas de las actualizaciones son relacionadas con la seguridad. Lo mismo pasa con los plug-ins, la ventaja es que no es necesario estar entrado a la página de WordPress para revisarlo, actualmente ya cuenta con notificación cuando hay alguna nueva versión.
  • Haz respaldo de la base de datos
    Esta es una de las partes màs importantes, ya que si los hackers deciden atacar tu instalación de WordPress lo más importante es que tengas la base de datos con toda la información, así se puede realizar una recuperación completa. Existen algunos plug-ins que pueden automatizar este proceso, y así evitar tener que hacerlo de manera manual.
  • Quita la información de la versión de WordPress
    Mientras más información se proporcione, es darle herramientas a un hacker para saber como pueden atacar, y es algo que WordPress lo pone por defecto en todas las instalaciones. Para eliminar esta información tienes que entrar a la parte de edición de la aparencia del blog y en la parte del encabezado buscar lo siguiente:
    “<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />”
    Hay que borrar toda la línea y guardar el archivo. De esta manera ya no aparecerá esta información en el código de la página.
  • Protege la carpeta wp-admin
    La carpeta wp-admin dentro de una instalación de WordPress contiene toda la información relacionada con el mismo y por supuesto es la carpeta que menos queremos que sea visible o que pueda entrar alguien más. Se puede poner protección incluso con contraseña por medio de la modificación del archivo .htaccess para que podamos controlar quien tiene acceso y quien no.
  • Esconde la carpeta de los plug-ins
    Si al poner en el navegador http://tusitio.com/wp-content/plugins puedes ver una lista de los plugins que tienes instalados, quiere decir que cualquiera lo puede ver, si asi encontrar alguna vulnerabilidad de alguno de ellos. Para que esto no ocurra simplemente hay que poner un archivo index.html en blanco. Para hacerlo puedes abrir un editor de texto y salvarlo con ese nombre, después por medio de FTP lo puedes poner en la carpeta de los plug-ins y asi cuando alguien trate de entrar verá solamente una página en blanco.
  • Realiza revisiones de seguridad de manera periódica
    Para realizar una revisión de tu instalación de WordPress, puedes usar el plug-in WP Security Scan con el que puedes encontrar posibles fallas de seguridad, e incluso se pueden hacer cambios como el prefijo wp_ que se usa en la base de datos de todas las instalaciones.
  • Detén los ataques de fuerza bruta
    Los hackers pueden obtener la información de acceso al blog por medio de un ataque de fuerza bruta. Para prevenir esto se puede usar el plug-in Login LockDown que va grabando la información de la dirección IP desde la cual se está accesando y pone una marca de tiempo para todos los accesos incorrectos. Una vez que se tengan una cantidad establecida de intentos fallidos, el plug-in bloqueará la página de acceso desde un rango de direcciones IP en el cual se encuentra el ofensor.

Estas son algunas medidas que puedes seguir para evitar algún posible ataque. A lo mejor no todas de ellas las podrás hacer ya que no tienes acceso al servidor o hosting directamente, pero hay algunas que si estara en tus manos el hacerlo.

Y hoy en día con la cantidad de ataques en internet hay que tratar de hacer lo mejor posible para evitarlos.