Es muy común escuchar a voces críticas de WordPress mencionar que no es un CMS seguro, que es muy fácil de explotar o que no cuenta con la seguridad necesaria. Todo esto puede ser cierto, al igual que para casi cualquier otro CMS o aplicativo web, si lo instalamos con las opciones por defecto y no realizamos los ajustes requeridos para fortalecer la seguridad e integridad de nuestro aplicativo. En este artículo les dejamos los principales ajustes, de los muchos que se pueden realizar, para asegurar un sitio web WordPress.
Asegurarse de cambiar el nombre del usuario admin (o eliminarlo y hacer otro) y utilizar una contraseña segura
El usuario admin es el super-usuario por defecto de WordPress, y por eso mismo, es conocido por todos los atacantes potenciales. La primera forma de proteger tu sitio web es NO utilizar el nombre de usuario admin, sino por ejemplo utilizar tu correo electrónico como nombre de usuario.
Es importantísimo complementar este cambio con el uso de una contraseña segura. Podemos generar una contraseña segura utilizando el Strong Password Generator pero nuestra recomendación es usar contraseñas que podamos recordar como Lpdpppcthctf1979. ¿Cómo que es fácil de recordar? Claro que sí. La generé utilizando la inicial de cada palabra de la conocida canción infantil “Los pollitos dicen pío, pío, pío, cuando tienen hambre, cuando tienen frío” y mi año de nacimiento. Una contraseña generada con este método es fuerte y a la vez es muy fácil de recordar.
Utilizar los roles correctos para nuestros usuarios
WordPress ofrece múltiples roles de usuarios por lo que es importante saber crear cada usuario según los permisos que realmente se requiere que tenga. Crear por comodidad a todos los usuarios como administradores no es una buena opción nunca.
Habilitar el 2FA (Autenticación en 2 factores)
Por medio del Plugin Shield podemos habilitar la autenticación en dos factores o 2FA, que consiste en la utilización de una aplicación en el móvil que proporciona un código que cambia cada 30 segundos y que se debe insertar una vez que se haya colocado el nombre de usuario y la contraseña al momento de a autenticación.
Este tipo de ajuste asegura que incluso teniendo tu usuario y tu contraseña, nadie se podrá autenticar usándolos, ya que no contará con el segundo factor, que es código obtenido desde la app externa. Puedes utilizar el app Google Authenticator o Authy.
Cambiar la dirección de ingreso de WordPress y colocar protección contra ataques de fuerza bruta
Por defecto, WordPress utiliza la url de ingreso http(s)://tudominio.algo/wp-login.php. Utilizando el plugin shield se puede cambiar fácilmente esta url y colocar algo como /acceder, /acceso, /entraporaqui, de manera que un atacante potencial no pueda encontrarla al conocer el valor por defecto.
Además, limitar la cantidad de intentos de autenticación que pueden realizarse en un cierto tiempo, es una gran idea para proteger tu sitio de ataques de fuerza bruta. En un ataque de fuerza bruta, el atacante intenta entrar usando un script o bot que utiliza de forma rápida y repetitiva una lista de contraseñas intentando “adivinar” la que haz colocado.
Cambiar los valores de las SALT Keys del archivo wp-config.php
Estos valores ayudan a dificultar grandemente la posibilidad de obtener información de un sitio web WordPress. Es importante que estos valores se ingresen ya que por defecto vienen en blanco. Además, es una buena práctica el cambiarlos de forma periódica para dificultar aún más su obtención por medios ilícitos. Estos valores los encuentras en el archivo wp-config.php y lucen como esto:
Puedes generar el bloque de salt keys utilizando la api de WordPress en este enlace. El Plugin Denfender de WPMUDEV permite incluso programar este cambio de forma periódica de forma muy fácil.
Cambiar el prefijo de base de datos por defecto
Una forma efectiva de proteger un sitio web WordPress contra ataques directos a la base de datos es cambiar el prefijo por defecto de la base de datos “wp_” por uno de tu propia creación como “art_” ó “x1r_”. Esto debe hacerse al momento de la instalación del WordPress ya que si lo cambias posteriormente en nuestro archivo wp-config.php puedes provocar errores.
Estas son algunas recomendaciones básicas para fortalecer la seguridad de tu sitio web WordPress, pero hay mucho más que puede hacerse.
¿Qué opinas sobre este tema? ¿Conoces alguna otra recomendación de seguridad para los sitios web WordPress?
Si deseas más información sobre nuestros servicios de seguridad para tu sitio web puedes escribir tu comentario en la parte de abajo o consulta con nuestro equipo de [email protected].
Imagen de perspec_photo88 vía Flickr.com bajo licencia creative commons.