Parte 3 – Guía de seguridad definitiva de WordPress
Si seguiste todos los consejos y pasos que recomendamos en los anteriores artículos, entonces estás por buen camino. Pero, como siempre, hay más cosas que puedes hacer para fortalecer tu seguridad de WordPress. Algunos de estos pasos pueden requerir conocimientos de codificación. A continuación, te mostramos cómo:
Cambiar el nombre de usuario predeterminado “admin”
Antes, el nombre de usuario predeterminado de administrador de WordPress era “admin”. Esta credencial de inicio de sesión, facilitó que los hackers hicieran ataques de fuerza bruta.
Afortunadamente, WordPress ha cambiado esto y requiere que selecciones un nombre de usuario personalizado en el momento de instalar WordPress.
Sin embargo, existen algunos instaladores de un click que siguen configurando el nombre de usuario de administrador como “admin”. En este caso, existen tres métodos que puedes usar para cambiar tu nombre de usuario, estos son:
- Crear un nuevo nombre de usuario de administrador y eliminar el anterior.
- Cambiar el nombre de administrador con la ayuda de un plugin
- Actualizar el nombre de administrador desde phpMyAdmin
Deshabilitar la edición de archivos
WordPress viene con un editor de código incorporado que te permite editar archivos directamente desde tu área de administración. Esta característica puede ser útil, pero también puede ser un riesgo de seguridad, por lo que te recomendamos desactivarla. Puedes hacer esto fácilmente agregando el siguiente código en tu archivo wp-config.php.
//Disallow file editdefine
(‘DISALLOW_FILE_EDIT’, true)
Deshabilitar la ejecución de archivos PHP en ciertos directorios de WordPress
Otra forma de fortalecer tu seguridad de WordPress es deshabilitando la ejecución de archivos PHP en directorios donde no es necesario, como /wp-content/uploads.
Puedes hacer esto abriendo un editor de texto y pegando este código:
<Files *.php>
deny from all
</Files>
A continuación, debes guardar este archivo como .htaccess y subirlo a la carpeta /wp-content/uploads/ de tu sitio web.
Limitar los intentos de inicio de sesión
De forma predeterminada, WordPress te permite intentar iniciar sesión tantas veces como quieras. Esto hace que tu sitio de WordPress sea vulnerable a los ataques de fuerza bruta. Los piratas informáticos intentan descifrar tus contraseñas intentando iniciar sesión con diferentes combinaciones.
Esto se puede solucionar fácilmente limitando los intentos fallidos de inicio de sesión. Para ello puedes instalar un plugin para configurar un firewall, como Login LockDown, este plugin restringirá la cantidad de veces que puedes intentar iniciar sesión, y por defecto bloquea la IP tras la cantidad de veces de intentos fallidos configurados. Obviamente como administrador podrás desbloquear la IP.
Cambia el prefijo de WordPress de la base de datos
Por defecto, WordPress usa wp_ como prefijo para todas las tablas en la base de datos. Si tu sitio de WordPress está utilizando el prefijo por defecto en la base de datos, por tu seguridad te recomendamos cambiarlo.
Para cambiar tu prefijo en la base de datos primero te recomendamos hacer una copia de seguridad de tu base de datos, a continuación realiza lo siguiente:
Abre tu archivo wp-config.php que se encuentra en la raíz de tu directorio de WordPress, cambia la línea del prefijo de la tabla wp_ a otra cosa como por ejemplo wp_c1456_. El cambio se vería así:
$ table_prefix = ‘wp_c1456_’;
Luego, ingresa a tu base de datos, puedes hacerlo desde phpMyAdmin y cambia el nombre de tus tablas, puedes hacerlo manualmente o a través de una consulta SQL.
Siguiendo, busca en la tabla de options cualquier otro campo que esté usando wp_ como prefijo, para poder reemplazarlo, este proceso también puedes hacerlo a través de consultas. Realiza el mismo proceso con la tabla usermeta.
Nota: Si este proceso no se realiza de forma adecuada, puedes llegar a dañar tu sitio, asegúrate de contar con los conocimientos necesarios antes de proceder.
Proteger con contraseñas tu administrador y página de inicio de sesión
Normalmente, los piratas informáticos solicitan tu carpeta wp-admin y la página de inicio de sesión de tu sitio WordPress sin ninguna restricción. Esto permite a los hackers probar sus trucos de piratería o ejecutar ataques DDoS.
Puedes agregar una contraseña adicional de lado del servidor que bloqueará efectivamente esas solicitudes.
Existen más formas para seguir fortaleciendo tu sitio WordPress, en el siguiente artículo seguiremos viendo muchos más consejos.
Neothek ofrece servicios de web hosting para WordPress, registro de dominios, correo electrónico, certificados SSL, diseño de páginas web y diseño gráfico.
