¿Cómo saber si mi WordPress es seguro?

wordpress es seguro

WordPress es un CMS de código abierto totalmente gratuito y durante un periodo de tiempo (e incluso aún ahora se cree) muchos desarrolladores lo repudiaban por negar que WordPress es seguro.
Que una web hecha con un CMS gratuito no era profesional.

Pues se equivocaban y se equivocan.

 

Es cierto que puede ser vulnerable a ataques siempre y cuando dejes la configuración por defecto de la instalación, ya que tiene una estructura abierta y muy conocida en la comunidad.

Ahí es donde reside el error.

 

Me aventuraría a decir que el 70% de las páginas hechas con WordPress se dejaron tal que así después de la instalación estándar, siendo así expuestas a numerosos ataques e inyecciones.
La gran diferencia de un profesional del sector es ver como ha tratado y configurado WordPress después de la instalación.

 

¿Tienes dudas si tu WordPress es seguro? ¿Has sido victima de numerosos ataques de fuerza bruta o inyecciones?
En Anaislab te explicamos como analizar nuestra instalación y detectar posibles fallos y como remediarlos.

 

El archivo readme.html

el archivo readme

Este archivo, aparentemente inofensivo, puede dar al atacante información valiosa de nuestra instalación. Como por ejemplo la versión en la que se encuentra WordPress.
Si el atacante viese que la versión está muy por debajo de la actual llegaría a la conclusión de que la web no está actualizada correctamente, o podría estar abandonada y sería más fácil de atacar.

Cuanta menos información se muestre sobre nuestro servidor o instalación mejor.


¿Cómo saber si tengo ese archivo? Es sencillo escribe en el navegador http://tudominio.com/readme.html

 

Prefijo de la base de datos

El prefijo de las tablas de la base de datos es “wp-“. Este prefijo es el que viene por defecto en la instalación. Cambiarlo nos ayudará a añadir una nueva capa de seguridad para impedir a posibles atacantes usar técnicas de inyección de SQL

 

El archivo wp-config-sample.php

Debemos procurar que el archivo wp-config-sample.php no esté en nuestro servidor.
Ya que un atacante con ciertos conocimientos podría ejecutar este archivo y reinstalar WordPress, perdiendo toda nuestra información y creando él nuevas credenciales de acceso.

 

No mostrar errores en el login

wordpress es seguro

 

Por defecto WordPress nos muestra los errores en el login.
En el ejemplo de la imagen el atacante sabría que ha acertado con el nombre de usuario admin (por favor, no me lo uséis nunca como nombre de usuario!) y solo le quedaría averiguar vuestra contraseña.

 

Cambiar dirección de login

Todos los que conocemos a WordPress sabemos que para acceder a él debemos ir a http://tudominio.com/wp-login.php.
Sería recomendable cambiar esa url por defecto.

 

Cuenta de administrador

Esta cuenta es la más importante y a la que irán dirigidos todos los ataques, por eso hay que prestarle especial atención y evitar esta lista:

  • Procurar que la ID de la cuenta de administrador no sea 1, como estipula WordPress por defecto.
  • El nombre de la cuenta administrador no debe llamarse “admin” o “administrador”, ni tampoco “1234” (de verdad, insisto).
  • Solo debe existir un administrador.
  • No escribir contenido, tal como posts y páginas, desde la cuenta de administrador, ya que podría ofrecer información necesaria para el atacante.
  • Usar contraseñas largas, con números y caracteres especiales. No usar como contraseña cualquier información personal.

Si haces una búsqueda rápida en tu web añadiendo “?author=1” al final de tu url podrás ver la gravedad del asunto.
Con una instalación estándar de WordPress, un atacante podría saber rápidamente el nombre de tu cuenta de administrador y su ID, quedando solo por descubrir la contraseña para poder atacarla y acceder a ella.

http://tudominio.com/?author=1

Https

https

Habilitar el acceso por https, de tal forma que el acceso tanto de usuarios como del administrador no pueda verse capturado o expuesto por un posible atacante en la red

 

Hosting

Una buena empresa de hosting también es una pieza clave para la seguridad de nuestra Web.
Intentemos evitar esas empresas que nos ofrecen hostings gratuitos. 

Pensadlo bien: Nadie da duros a cuatro pesetas.

 

Voy a ser clara: contrata con SiteGorund.

Web Hosting

 

 

Si después de leer el artículo has descubierto que tu sitio Web está mal configurado e indefenso ante ataques ponte en contacto con Anaislab.

 

Tenemos planes de optimización desde 99€

¡Estaremos encantados de ayudarte y que tu web sea inexpugnable!

One comment on “¿Cómo saber si mi WordPress es seguro?

Comments are closed.