Mejorar la seguridad de nuestro WordPress

Matt Cutts, el blogger de Google, nos cuenta una serie de tips para mejorar la seguridad en el wordpress para evitar sucesos desagradables en nuestros blogs.

Lo primero que hay que hacer es eliminar del código fuente del wordpress toda relación que apunte a la versión que estamos utilizando en el blog. Si conocen nuestra versión, resultará más fácil descubrir que agujeros de seguridad tiene la versión que estamos corriendo y atacarlos. Si no eliminamos esta referencia, cualquier persona puede ver el código que genera nuestra página y ver una etiqueta de este estilo :

<meta name="generator" content="WordPress 2.3.2" /> 

Se puede eliminar esta referencia accediendo al archivo header.php dentro de la carpeta theme de nuestra instalación (wp-content/themes) donde habrá que editar la siguiente linea:

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />

Y quitar la referencia de la versión. Podemos dejarlo de este modo:

<meta name="generator" content="WordPress" />

El segundo paso puede ser proteger la carpeta de plugins para que no puedan ver que plugins tenemos bajo la carpeta. Esta parte es tan sencilla como crear un archivo index.html vacio dentro de tu directorio de plugins. De este modo evitas cosas como estas

Por último, y lo más importante sería proteger nuestra carpeta de administración (wp-admin). Una forma sencilla sería incluyendo un fichero .htaccess dentro de la carpeta wp-admin para protegerlo por IP. De este modo solo podrán acceder a esta carpeta aquellos usuarios que tengan la IP de acceso:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from 80.56.235.43
</LIMIT>

Y eso es todo. Bastante sencillo y mejor protegidos

8 comentarios

  1. Gracias por la data!! Muy valiosa

  2. Lo que funciona muy bien es agregar al .htaccess principal:

    Options -Indexes

  3. pero lo de la IP no sirve solo si tenes IP Fija?

  4. En este post (http://www.anieto2k.com/2007/10/31/las-paginas-blancas-de-la-seguridad-wordpress/) Andrés explica varios temas interesantes sobre seguridad en WordPress que vale la pena tener en cuenta en nuestro WP.

    Saludos!

  5. Tengo la misma duda que Mariano, si la IP es dinámica el tercer paso no funciona ¿no?

    Saludos, ya voy a aplicar las 2 primeras 😉

  6. Si no tienes la IP fija no funcionará

  7. Gracias por los consejos

  8. Bueno, no podemos pasar por alto la gestión correcta de los permisos de las carpetas, un 777 por ahí es una puerta habierta para las intrusiones.

Los comentarios están cerrados.

© 2020 Online

Tema por Anders NorénSubir ↑