Seguridad en WordPress
Seguridad en WordPress
La seguridad es importante, especialmente para las personas que se ganan la vida con páginas web y blogs. En este artículo, le mostraremos algunos ajustes útiles para proteger a su blog de WordPress.
1 – Prevenir información innecesaria.
El problema
Cuando usted no puede acceder a un blog de WordPress, el CMS muestra algo de información que le dice lo que salió mal. Esto es bueno si te has olvidado tu contraseña, pero también podría ser bueno para la gente que quiere hurgar en tu blog. Así que, ¿por qué no prevenir WordPress muestre mensajes de error?
La solución
Para quitar el mensajes de error, basta con abrir el tema de su archivo functions.php y pegue el siguiente código:
2 – Utilizar SSL
El problema
Si usted se preocupa que sus datos sean interceptados, entonces definitivamente puede utilizar SSL. En caso de que usted no sabe lo que es, SSL es un protocolo criptográfico que asegura las comunicaciones a través de redes como Internet.
No todos los servicios de hosting le permiten utilizar SSL, pero si usted está alojado en Wp WebHost o Hostgator, SSL está habilitado.
La solución
Una vez que haya comprobado que el servidor Web puede manejar SSL, basta con abrir el archivo wp-config.php (que se encuentra en la raíz de tu instalación de WordPress), y pegue el siguiente:
3 – Utilizar .htaccess para proteger el archivo wp-config.php
El problema
Como usuario de WordPress, usted probablemente sabe lo importante que es el archivo wp-config.php. Este archivo contiene toda la información necesaria para acceder a su base de datos preciosos: nombre de usuario, contraseña, nombre del servidor y así sucesivamente. Proteger el archivo wp-config.php es crítico
La solución
El archivo. Htaccess se encuentra en la raíz de su instalación de WordPress. Después de crear una copia de seguridad de la misma (es un archivo crítico de que siempre debe tener una copia de seguridad), abrirlo, y pegue el siguiente código:
order allow,deny
deny from all
</files>
4 – Proteja su blog de WordPress de las Inyecciones de secuencias de comandos
El problema
La protección de sitios web dinámicos es especialmente importante. La mayoría de los desarrolladores siempre protege sus peticiones GET y POST, pero a veces esto no es suficiente. También tenemos que proteger a nuestro blog en contra de las inyecciones y cualquier intento de modificar las variables PHP GLOBALS y _REQUEST.
La solución
Pegar en el archivo .htaccess (que se encuentra en la raíz de tu instalación de WordPress). Asegúrese de realizar una copia de seguridad del archivo .htaccess siempre antes de modificarlo.
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
5 – Evitar que utilicen tus imágenes y así ahorrar ancho de banda
El problema
Si tu blog es poco conocido, tal vez, tratarán de utilizar tu contenido en sus propios sitios web sin tu consentimiento
Uno de los mayores problemas es en hot-linking, con enlaces a sus imágenes, que utiliza el ancho de banda de tu servidor
La solución
Para proteger su sitio web simplemente pegar el siguiente código en su archivo .htaccess. Como siempre, no se olvide de hacer copia de seguridad del mismo.
Una vez que hayas guardado el archivo, sólo tu sitio web será capaz de vincular a tus imágenes, o, para ser más correcto, nadie puede enlazar a tus imágenes, porque sería demasiado complicado y consume tiempo. En los sitios webs se mostrará automáticamente la imagen nohotlink.jpg. También puede especificar una imagen inexistente, por lo que los sitios web que tratan de utilizar tus imagenes solo verán un espacio en blanco.
#Replace ?mysite\.com/ with your blog url
RewriteCond %{HTTP_REFERER} !^http://(.+\.)?mysite\.com/ [NC] RewriteCond %{HTTP_REFERER} !^$
#Replace /images/nohotlink.jpg with your "don’t hotlink" image url
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]
6 – Crear un Plug-In para proteger tu blog de URL Request maliciosas
El problema
Algunas “personas” suelen utilizar consultas maliciosos para encontrar y atacar los puntos débiles de un blog. WordPress tiene protección predeterminada buena, pero la mejora es posible.
La solución
Pega el siguiente código en un archivo de texto, y guardarlo como blockbadqueries.php. Una vez que hayas hecho esto, subí a tu directorio wp-content/plugins y activalo como si se tratara de cualquier otro plug-in. Ahora su blog está protegido contra las consultas maliciosas.
/*
Plugin Name: Block Bad Queries
Plugin URI: http://perishablepress.com/press/2009/12/22/protect-wordpress-against-malicious-url-requests/
Description: Protect WordPress Against Malicious URL Requests
Author URI: http://perishablepress.com/
Author: Perishable Press
Version: 1.0
*/
global $user_ID;
if($user_ID) {
if(!current_user_can(‘level_10’)) {
if (strlen($_SERVER[‘REQUEST_URI’]) > 255 ||
strpos($_SERVER[‘REQUEST_URI’], "eval(") ||
strpos($_SERVER[‘REQUEST_URI’], "CONCAT") ||
strpos($_SERVER[‘REQUEST_URI’], "UNION+SELECT") ||
strpos($_SERVER[‘REQUEST_URI’], "base64")) {
@header("HTTP/1.1 414 Request-URI Too Long");
@header("Status: 414 Request-URI Too Long");
@header("Connection: Close");
@exit;
}
}
}
?>
7 – Quitar el número de versión de WordPress
El problema
Como ustedes saben, WordPress muestra automáticamente la versión que está usando en la cabeza de los archivos de su blog. Esto es bastante inofensivo si tu blog está siempre al día con la última versión (que sin duda es lo que debe hacer de todos modos). Pero si por alguna razón tu blog no está actualizado, pueden utilizar esto para encontrar vulnerabilidades.
La solución
Pegá la siguiente línea de código en el archivo functions.php de tu tema. Guardalo, volver a cargar tu blog, y listo: el número de versión no estará más en el encabezado de WordPress.
8 – Cambiar el valor predeterminado de nombre de usuario “admin”
El problema
La fuerza bruta es una de las maneras más fáciles de descubrir un password. El método es sencillo: tratar con diversas contraseñas hasta que se encuentre la correcta.
Conociendo su nombre de usuario hace más fácil que adivinen la combinación correcta. Por esta razón siempre debe cambiar el valor predeterminado “admin” por algo más difícil de adivinar.
Tener en cuenta que WordPress 3.0 permitirá elegir su nombre de usuario de forma predeterminada. Por lo tanto, este consejo es útil si todavía utiliza versiones antiguas de WordPress.
La solución
Ejecutar la siguiente consulta SQL para cambiar en nombre de usuario de la base de datos. No te olvides de especificar tu nombre de usuario deseado.
9 -Prevenir navegación del directorio
El problema
De forma predeterminada, la mayoría de hosts permite listar los directorios. Así, si se escribe www.tublog.com/wp-includes en la barra de direcciones el navegador, verás todos los archivos en ese directorio. Esto es definitivamente un riesgo para la seguridad, ya que un hacker podría ver la última vez que los archivos fueron modificados y acceder a ellos.
La solución
Sólo tiene que añadir lo siguiente al archivo .htaccess:
Options All -Indexes
Nota: No nos hacemos responsables por los cambios realizados en sus archivos. Siempre, antes de cambiar algo, deben realizar backups.
Si no sabés como cambiar algo o tenés dudas, no lo realices
Tips vistos en Smashing Magazine. Tradución Sessionstudio.
5 comentarios
sandinista!
22 julio, 2010 at 1:31 pm
gracias! estaba buscando algo así.
espero que funque bien
Gustavo
28 marzo, 2011 at 10:48 pm
Hola, Tengo algunas dudas con WP. Si alguien de Rosario me puede asistir sería muy bueno.
admin
29 marzo, 2011 at 11:15 am
Gustavo que dudas tenés? gracias por comunicarte!