7 + 1 Consejos Esenciales que salvarán a nuestro WordPress II

Muchas veces nos hemos preguntado cómo hacer más seguro nuestro WordPress ante posibles infecciones por lo que queremos seguir compartiendo con vosotros los 7 + 1 Consejos Esenciales que salvarán a nuestro WordPress II

Para los fieles seguidores del blog de nerion, para las mentes inquietas que siempre quieren aprender cosas nuevas y para cualquier usuario que su WordPress le reporte quebraderos de cabeza con su web y proveedor, continuamos con el artículo que dejamos abierto de la anterior vez. En este artículo aprenderemos nuevos consejos esenciales a tener en cuenta, a la hora de manejarnos y securizar mejor nuestro blog o web.

7 + 1 Consejos Esenciales que salvarán a nuestro WordPress II

¿Cómo puedo securizar mi página web?


Invitamos leer los consejos de seguridad 1) y 2) recomendados en la Parte 1 de este tutorial en este link

7 + 1 Consejos  Esenciales que salvarán a nuestro WordPress
 

3) Establecer una contraseña suficientemente segura

¡No estamos descubriendo el mundo! Disponiendo de unas contraseñas sencillas o cortas haremos más fácil que puedan descubrir nuestros accesos y que usuarios malintencionados se autentiquen como si fuéramos nosotros. Con esta vulnerabilidad los hackers pueden conseguir acceso directo a nuestra zona de gestión y disponer de datos confidenciales o manipular nuestra web para su beneficio lo cual puede resultar en desastre.

La regla es evitar utilizar passwords o claves que consistan en palabras de diccionario o patrones fáciles de adivinar. (Por ejemplo admin123, dani234 etc). A la hora de crear un password nos aseguraremos que puedan tener al menos un carácter especial como ‘@’, ‘$’, ‘#’ etc. Además se recomienda incluir algún número.

Hablando de un grado óptimo de securización y siguiendo los consejos de administradores de sistemas se puede contemplar el cambiar cada cierto tiempo de contraseña (idealmente meses, o cada año). Esta medida simplemente la exponemos para que la conozcáis, pero no está entre los 7 + 1 Consejos Esenciales que salvarán a nuestro WordPress II. Profundizaremos sobre ella seguramente en nuestros futuros Blogs de ¡los 7 + 1 Consejos de Experto que salvarán a nuestro WordPress!

QUÉ BUSCAMOS:

Principalmente el no ponerles las cosas aún más fáciles a los hackers. Realmente es una medida más y no combinada con otras puede no ser efectiva. Una contraseña por muy fuerte y difícil que sea, si tenemos infectado nuestro ordenador o nos conectamos a una red pública de no confianza nos la pueden “olisquear” y averiguarla de forma íntegra. Así mismo, WordPress no actualizados pueden suponer agujeros de seguridad por otras vías.

Aún con todo se hace imprescindible tener unas contraseñas adecuadas.

DUDA RAZONABLE:

Nos puede quedar la duda de cómo securizar mejor nuestra contraseña de cara a evitar que la descubran de forma sencilla y por tanto evitar accesos no deseados.

Según formulas matemáticas de algoritmos de crackeo (desencriptación) de contraseñas, es mucho más complicado averiguar un password de este tipo: soyDaniEmpleadoDeNerion3, que por ejemplo D4ni_n3r#ion o que una contraseña aleatoria estilo hT5#nPpW. El motivo es sobre todo por la longitud de la misma que es de las principales bazas a favor que tenemos para demorar o evitar lo máximo posible que decodifiquen nuestras claves. Que decir cabe que si ya combinamos ambas técnicas de utilizar una frase que recordemos junto con otros caracteres como “soy_Dani4#Empleado#De_Nerion6” ¡Bravo!, ya de 10.

¡Fijaros que conseguimos no sólo que sea más complicada de averiguar si no mucho más fácil de tenerla presente en la memoria!

NOTA:

Recomendamos encarecidamente ser muy precavidos a la hora de conectar con tus datos personales a través de redes WI-FI públicas, sobre todo de sitios concurridos, desde las que puedan obtener nuestros datos. En caso de duda informarse previamente preguntando al hotel o proveedor de la red WI-FI a la que conectemos.

Se puede ver a al experto Javier Lázaro, CEO de nerion hablando sobre ello en televisión y radio en el siguiente enlace.

4) Limita los Intentos de Acceso de tu WordPress / Blog

No será la primera que nos pueda ocurrir que los hackers intentan “colarse” en nuestra web (generalmente como administrador “admin” con permisos totales de gestión) para tomar el control total o parcial de la misma.

Para intentar parar estos ataques de fuerza bruta en nuestro WordPress (o cualquier otro) es recomendable limitar el número de accesos al mismo. Ante esto se puede limitar el acceso añadiendo una barrera adicional de protección de Usuario y Contraseña mediante reglas HTACCESS, de las que en nerion hacemos uso.

Si se prefiere se puede elegir descargar e instalar el plugin de WordPress llamado “Limit Login Attempts” que nos hará este trabajo. Lo mejor de este plugin es que nos permite configurar y limitar no sólo el número de intentos de accesos a través normal (del famoso /wp-admin) si no también a través del método implementado de auto cookies, pero por otra parte no deja de ser un plugin y conviene revisarlo y actualizarlo siempre que se pueda.

QUÉ BUSCAMOS:

Se consigue que los famosos ataques de fuerza bruta de nuestro WordPress, sean díficiles o incluso imposibles de producirse. Conseguimos el doble efecto de protección e impedir la saturación de un servidor a través de percutir sobre el servidor con múltiples intentos de acceso.

DUDA RAZONABLE:

Si por motivos fortuitos es uno mismo el que acaba siendo bloqueado no pudiendo acceder o visualizar su web, se recomienda deslistar la propia IP y ponerla de confianza o bien accediendo a través de una IP diferente (una conexión diferente), ya sea desde otra oficina o lugar diferente al del bloqueo entrando al administrador web “wp-login.php” (o wp-admin); o bien contactando con la empresa de alojamiento web y proporcionando los datos de entrada del WordPress.

5) Mover el fichero wp-config a un directorio superior y protegerlo

El fichero wp-config.php contiene información importantísima de tu WordPress, como las credenciales de tu base de datos. Esto puede suponer un riesgo importante ya que por defecto se instala en una ubicación de alguna forma accesible para los hackers y con ello pueden hacer sus “travesuras”.

La solución pasa por mover este fichero a un directorio superior fuera de lo que es el ámbito visible de nuestra web. ¿Puede afectar a mi WordPress? Para nada. El propio WordPress se encarga de buscar el wp-config en directorios superiores hasta que lo encuentra y así utilizar los datos en el contenidos para su correcto funcionamiento. Para finalizar con esta securización, es buena idea cambiar los permisos del wp-config.php a 600.

QUÉ BUSCAMOS:

Proteger los WordPress ante ataques a través de navegadores web de lo que es información muy importante de nuestro sitio. Si nuestro sitio web, plugin cuenta con alguna vulnerabilidad (o incluso servidor si permite infecciones por SymLinks) y un usuario malintencionado consigue acceder a este fichero podrían hackear el acceso al administrador o incluso llegar a realizar operaciones sobre nuestra base de datos.

DUDA RAZONABLE:

En caso de disponer de más de un WordPress en el mismo alojamiento y si al efectuar la operación anterior uno de los “wp-config.php” fuera a sobreescribir a otro que anteriormente se subió a un directorio superior para protegerlo, la forma de proceder es la siguiente:

Primero, ubicaremos el fichero “wp-config.php” en el nuevo directorio. Directorio que por supuesto se encuentre fuera del ámbito visible a través de un navegador.

Por ejemplo mover el fichero original al directorio que crearemos /miWebWordpress/wp-config.php para mi primer WordPress (el directorio puede tener el nombre que más nos guste), y para mi segundo WordPress moverlo desde configuración hacia /miOtroWordpress/wp-config.php, todo ello con los permisos y propietarios adecuados.

Para más dudas sobre esta parte estaremos encantados de poder ayudaros como siempre hacemos.

Para finalizar tendremos que crear un nuevo y modificado wp-config.php por sitio web WordPress sustituyendo al original, en el que le indicaremos cómo la aplicación debe acceder al nuevo directorio creado en el anterior párrago y diseñado especialmente para la configuración de este WordPress.

El código de este fichero será el siguiente para el primer ejemplo citado:

<?php

/** Absolute path to the WordPress directory. */

if ( !defined('ABSPATH') )

define('ABSPATH', dirname(__FILE__) . '/');

/** Location of your WordPress configuration. */

require_once(ABSPATH . '../miWebWordpress/wp-config.php');

Aquí concluyen los 7 + 1 Consejos Esenciales que salvarán a nuestro WordPress II (Parte II)

Recordar que estaremos encantados de que conocer vuestras opinionenes además de que os sea interesante leer la primera parte de nuestro tutorial

Enlace  Parte I          7 + 1 Consejos  Esenciales que salvarán a nuestro WordPress

¡Próximamente estaremos de nuevo con vosotros para continuar con la tercera y última sección de este emocionante primer gran tutorial!

7 + 1 Consejos Esenciales que salvarán a nuestro WordPress II

Una idea brillante – Nerion

Comparte este artículo:

No hay comentarios a este artículo

Sé el primero en enviar un comentario: