Cómo hacer tu blog un poco más seguro
Según cuenta Matthew Mullenweg en su blog, la versión 2.5 de WordPress no contiene vulnerabilidades, al hilo de un posible fallo de seguridad. En cualquier caso, el bueno de Matt nos aconseja adoptar tres medidas básicas para evitar disgustos:
a) Tener el blog siempre en la última versión. Pueden seguir nuestras instrucciones, si tienen dudas. Y para mantenerse al tanto del estado del desarrollo de WP, uno se puede suscribir a WordPress Development Blog.
b) Cambiar, de vez en cuando, la password, tanto del login al panel de administración como la del FTP. Lo medianamente ideal es utilizar una contraseña de letras y números de seis o más caracteres en total.
Pero, ¿cómo saber si hemos sido hackeados?. Puede ser complicado averiguarlo pero hay algunos pasos básicos por donde podemos empezar:
1) Investigar si algún archivo de su instalación de WP ha sido modificado. Matt sugiere también que miremos los posts. Para evitar que se modifiquen los themes se puede eliminar el archivo theme-editor.php, una solución no muy óptima efectivamente, porque obligará al administrador a utilizar el FTP para modificarlos, pero que puede ser efectiva.
2) Una práctica habitual de los spammers es insertar links en los archivos del theme. Podemos verlos, si usamos Firefox, con la opción “Herramientas > Información de la página” en la pestaña “Enlaces”. Si no utilizamos Firefox, entonces abrir el código fuente de la página y buscar enlaces raros (que no sean los propios del blog) en la cabecera y pie de página.
¿Qué más se puede hacer para aumentar la seguridad del blog?
Se pueden adoptar las siguientes medidas para garantizar una cierta seguridad:
Proteger el directorio wp-admin. Para ello habilite la posiblidad de que sólo su IP acceda al directorio. Eso se puede hacer con un archivo htaccess (a incluir en el directorio wp-admin) que contenga lo siguiente:
<Limit GET HEAD POST>
order deny,allow
deny from all
allow from xx.xx.xx.xx
</LIMIT>
Ocultar qué plugins se utilizan. Es posible que se pueda saber eso simplemente listando el directorio wp-content/plugins. Una solución inmediata es crear un fichero index.php vacio, si es que éste no existe. Pero si se quiere ocultar el contenido de los directorios de una forma más general, lo mejor es añadir al archivo htaccess del directorio raiz, la siguiente línea:
Options -Indexes
Ocultar la versión de su WP. Algo elemental que casi nadie hace y que consistiría en eliminar el meta tag de la cabecera.
Control de acceso al panel de administración. El plugin Login LockDown permite bloquear el acceso para aquellas IPs que hayan intentado varias veces entrar al panel de administración sin conseguirlo. Con ello evitaremos los intentos de entrar por la fuerza.
¿Tienes implementada alguna otra medida de seguridad en tu blog? Ayudanos a hacer más segura la instalación de WP.
Actualización 1 (20080425):
Andrés Nieto nos sugiere activar la opción SECRET_KEY del fichero wp-config.php. Una medida de seguridad relacionada con las cookies. Se puede utilizar una secret-key generada aleatoriamente por WP copiándola al archivo wp-config.php.
Actualización 2 (20080516):
Reforzando la seguridad de nuestro Wordpress: una serie de plugins recomendada en microoweb.
Para saber más sobre htaccess:
¿Qué es htaccess?
Generador de htaccess
Ejemplos de .htaccess para programadores en apuros
Para saber más sobre la seguridad en WP:
El Boletín de Seguridad de WordPress 2.5 era Falso
Make Sure Your WordPress is Not Hacked
3 Must Apply Security Tips for WordPress
Minoic.net es un anillo de blogs impulsado desde enero de 2007 por Guillermo Carvajal, Antonio Cambronero, Manuel Almeida y José Luis Orihuela para experimentar nuevas formas de sinergia entre weblogs más allá de los blogs grupales y de las redes comerciales.
May 18th, 2008 a las 3:20 pm
buen post. lo tendré en cuenta.
August 11th, 2008 a las 6:29 pm
vaya muy buenas opcioones para cuidar mas nuestro blog
gracias!