Algunos trucos para añadir seguridad a WordPress
Hay quien piensa, y no pocos, que hacer una web con una instalación de WordPress y olvidarse de ella es algo normal.
Nada de actualizaciones y mucho menos de mantenimiento. Y de securizar la web ¿para qué? ya nos pide un usuario y contraseña.
Si no eres de los que piensan así y quieres algunos trucos para securizar tu instalación de WordPress y estar un poco más tranquilo puedes tener en cuenta los siguientes puntos:
- Hosting
- Cambiar prefijo base de datos
- Contraseñas seguras
- Doble factor de autenticación
- Mover
wp-config.phppor debajo de/www/ - Cambiar
/wp-admin/ - Limitar los inicios de sesión
- Monitorizar actividad en la zona de administración
- Ocultar versión de PHP
Hosting
La elección de un buen hosting es primordial, en absoluto da igual.
No vayas a precio e infórmate bien de sus características técnicas, rendimiento, capacidad, límites (nada es ilimitado, ya lo deberías de saber), …
Lo mejor es tener un VPN o servidor dedicado que no tiene porque ser más caro ya que puedes ir aumentando los recursos conforme vayas creciendo o necesitándolo.
Cambiar prefijo en la base de datos
Al instalar WordPress es una práctica recomendada cambiar el prefijo de la base de datos de wp_ por otro a tu elección.
Contraseñas seguras
Si, ya sabemos que la contraseña que nos ofrece WordPress después de su instalación no hay quien la recuerde ni con la mejor regla mnemotécnica. Pero es de suma importancia mantener una contraseña compleja y muy segura. La de la base de datos también.
Doble factor de autentificación
Quizás el más importante de todos los puntos o, al menos, el que más tranquilidad te da en el día a día.
Mover wp-config.php
Es recomendable que movamos el archivo wp-config.php por debajo del directorio público, normalmente /www/ o /html/ dependiendo de la versión del sistema operativo que estemos usando.
El código a usar en este punto es el siguiente:
<?php
include('/home/usuario/wp-config.php');Tendrás que modificar la ruta que corresponda en cada caso.
Cambiar el directorio de acceso
Para acceder al panel de control de una instalación se accede a través de /wp-admin/ por lo que es importante que modifiquemos este directorio de entrada.
Existen diversos plugins para ello como por ejemplo WPS Hide Login. También se puede realizar esta operación mediante código.
Limitar el número de inicio de sesión
Limitando el número de veces que se puede uno autenticar nos quitamos de enmedio muchos intentos de acceso por ataques de fuerza bruta.
Al limitar los inicio de sesión también podemos bloquear, durante el tiempo que veamos oportuno, las IPs que superen el límite puesto.
Monitorizar actividad
Se puede decir que es un sistema de seguridad pasivo ya al monitorizar toda actividad en la zona de administración podemos arreglar cualquier «metedura de pata».
Ocultar versión de PHP
Ocultando la versión de PHP que se está usando ponemos más dificil que se sepa cual es la versión y encuentren agujeros de seguridad que le afecten.
Sentido común
Ya, ya sé que no es un punto técnico pero te puedo garantizar que es de suma importancia tener sentido común, en cualquier tema de seguridad informática y no informática.
