WordPress se ha convertido en una de las soluciones de creación de sitios web más populares y utilizadas del mundo. Entre muchas razones para que esto sea así podemos nombrar la facilidad en la implementación y utilización del propio sistema, la gran cantidad de aplicaciones adicionales (llamadas plugins) y plantillas (diseños predefinidos) que existen en Internet y que permite que WordPress sea la aplicación perfecta tanto para una bitácora personal pasando por un sitio web corporativo como para un medio informativo de gran alcance (periódico online).
Pero no todo es oro lo que reluce, dice la frase. WordPress, por ser una de las aplicaciones más utilizadas en el mundo de las aplicaciones web, WordPress es una de las aplicaciones más atacadas y frecuentemente vulneradas de toda Internet. Los ataques globales de fuerza bruta hacia las instalaciones antiguas o instalaciones que contienen plugins vulnerables son cada vez mayores día tras día, de ahí que en ADW hagamos incapié en la necesidad de implementar medidas de seguridad en WordPress y llevar un mantenimiento periódico sobre nuestro sitio web.
A nivel de red,
y más concretamente hablando de protecciones perimetrales, ADW ha invertido fuertemente por la seguridad de sus clientes y por eso es el único proveedor español que ofrece una protección a nivel perimetral que detiene hasta 20.000 ataques y vulnerabilidades tipificadas, entre los cuales se incluye ataques de denegación de servicio (DoS), ataques DDoS, ataques de fuerza bruta sobre FTP/SSH, accesos con usuarios prohibidos o no recomendables, entre muchos otros filtros de protección. Si te preocupa la seguridad de tu sitio web entonces no dudes en echar un ojo a nuestros planes de Hosting WordPress que, montados en discos SSD y con sistemas cache a nivel de servidor web, te garantizan la mejor experiencia para tu blog en WordPress.
Volviendo a la temática inicial del artículo, hoy vamos a repasar una serie de medidas básicas sobre las cuales conviene hacer incapié para hacer nuestro WordPress más seguro. Si conoces cualquier otro punto sobre el cual deberíamos invertir un poco de nuestro tiempo a la hora de instalar WordPress y hacerlo más seguro, no dudes en publicarlo en los comentarios del artículo.
.
Paso 1) Cambiar el login de WordPress
.
Por defecto la ruta de acceso de WordPress es el famoso archivo wp-login.php. El hecho de que todas las instalaciones de WordPress comparten este nombre y es lo que aprovechan los bots o botnets que lanzan ataques de fuerza bruta global contra WordPress de todo el mundo.
Así que el primer paso para hacer más seguro un WordPress es cambiar su dirección de login.
En este artículo vamos a explicarte cómo cambiar el login de WordPress en pocos pasos y sin que debas editar ningún archivo. Sigue leyendo…
El primer paso es pulsar en Plugins → Añadir nuevo, para empezar la instalación de nuestro plugin
estrella en cuestión de seguridad, iThemes Security.
En el recuadro de búsqueda de la derecha debemos escribir este nombre, a lo cual veremos una
pantalla muy similar a la que sigue a continuación:
Pulsamos en el botón Instalar ahora y esperamos a la confirmación de que la instalación ha sido
exitosa.
¡Todo ha salido bien! Ahora pulsa en Activar plugin y a partir de este momento podrás gestionar
iThemes Security desde el panel de la izquierda, verás que aparece una nueva opción llamada
Security.
¡Es hora de configurar nuestro plugin! Pulsa en Security → Settings y, como es la primera vez que
accedes, te aparecerá una pantalla muy similar a la que mostramos ahora:
En este caso lo único que recomendamos es que presiones el botón Allow File Updates, acto
seguido pulses Dismiss y sigamos mejorando la seguridad de nuestro blog. Sigue leyendo…
Si ahora estás en el Dashboard, es hora de que pulses en Settings (la pestaña) y en el campo Go to
selecciones la opción “Hide login area”, como aparece a continuación:
Al hacerlo, bajarás directamente a la sección que es más relevante para nosotros ahora.
Observa la imagen a continuación y completa los campos como te indicamos:
En esta pantalla debes cambiar el Login Slug a cualquier otro nombre, por ejemplo, mipanel y darle
a Save All Changes.
¡Listo!
A partir de este momento podrás iniciar sesión usando esta nueva
dirección (http://www.tudominio.com/mipanel/) o cualquiera que hayas definido, pero no a través
de wp-login.php o wp-admin, reduciendo así el 90% de ataques de fuerza bruta para WordPress.
………………………………………………………………………………………………………………………..
En esta primera parte de la serie ¿Cómo hacer nuestro WordPress más seguro? te hemos
enseñado a cambiar el login de acceso a WordPress, reduciendo así el 90% de ataques de fuerza
bruta, pero aún queda mucho más por hacer.
En las siguientes partes de esta serie te explicaremos cómo configurar un sistema de detección de cambios, un sistema de copia de seguridad nativo (para
resguardar tus datos), un sistema de ataques de fuerza bruta, cómo cambiar el usuario administrador, bloquear subidas en directorios importantes y ocultar (o dar falsa información) sobre la versión de WordPress que tienes instalada.
¿Quieres hacer tu WordPress más seguro?
Presta especial atención a las siguientes entregas de nuestro artículo que publicaremos en los siguientes días, y a partir de ahora, de manera regular en el
blog de ADW, sobre el uso de WordPress, Joomla, Magento, PrestaShop, entre muchas otras aplicaciones web.
Gracias por leernos y…¡hasta la próxima!