Pocas veces algo tan sencillo es tan obviado como proteger tu wordpress.

En este pequeño post ofrezco una serie de recomendaciones que hay que seguir para tener protegida tu web en WordPress de ciertas personitas malintencionadas. A saber:

En primer lugar cambia el nombre del usuario “Admin” o da de alta un nuevo usuario con rol de administrador y elimina el que viene por defecto

En segundo lugar, entre tantos plugins como tendrás instalados, que no falte el “iThemes Security”.

En tercer lugar, por favor, mantén actualizados todos los plugins y el tema que uses. Aprovecha que WordPress es OpenSource y que tienes una gran cantidad de gente trabajando para que siga siendo el CMS más usado en el mundo.

 

Veamos con qué sencillos pasos nuestro Wordpress con “iThemes Security” puede ser mucho más seguro:

Recordad guardar los cambios en cada una de las secciones y hacerlo antes de pasar a cambiar la configuración de la siguiente.

  1. Marca la opción “Allow iThemes Security to write to wp-config.php and .htaccess.”
  2. Activa también la casilla “Enable Blacklist Repeat Offender” para añadir la IP de posibles generadores de ataques a una lista negra.
  3. Si quieres que el plugin te avise si alguien ha sido bloqueado, activa “Enable Email Lockout Notifications”. La información que te proporciona es valiosa para conocer datos concretos sobre el ordenador desde el que se realiza el ataque.
  4. Si quieres acotar las horas a las que se puede acceder al panel de tu wordpress, existe la posibilidad activando y configurando la opción en “Enable away mode”.
  5. Si quieres bloquear definitivamente una IP o impedir que cualquier IP que se encuentre en ciertas “blacklist”, puedes hacerlo seleccionando “Enable HackRepair.com’s blacklist featurey “Enable ban users”. Aquí nos permite mediante un cuadro de texto, añadir manualmente aquellas IP que queramos, por ejemplo aquellas que nos llegan en los correos al habilitar la opción 3.
  6. Una de las secciones más importantes es donde configuras la protección para ataques de “fuerza bruta”.
    • En esta puedes y debes activar la opción “Enable local brute force protection.” Y configurar las diferentes opciones que nos ofrece como:
      • El número máximo de intentos por Host
      • El número máximo de intentos por Usuario
      • El tiempo que se va a recordar los malos intentos de login
      • Y por último pero no menos importante sobre todo si hemos eliminado o renombrado el usuario “Admin”, marcar como activa la casilla de “Immediately ban a host that attempts to login using the “admin” username.”
  7. El siguiente paso es activar y configurar la periodicidad de las copias de seguridad de la base de datos y cómo queremos que estas se hagan.
  8. Otra de las opciones más importantes pero que es también una de las más obviadas, es la activación de “Enable the hide backend feature.” Esto permite variar la url por defecto de acceso al panel de administración. Url que podrás personalizar a tu gusto y que no debes olvidar.
  9. Por supuesto, activa la opción “Enable strong password enforcement.” Para que las contraseñas cumplan unos completos requisitos y sean más difíciles de romper.

El resto de opciones se deben de revisar aunque aconsejo dejarlas con la configuración que traen por defecto.

La sección de configuración avanzada permite aumentar la seguridad aunque advierto de que es mejor leer detenidamente los consejos que el propio plugin ofrece al respecto. Una vez hecho esto, la decisión es tuya.

Una vez configurado el plugin, en la sección Dashboard nos permite hacer una radiografía de la seguridad de nuestra web. Es conveniente leer las indicaciones para saber qué problema tenemos y como el plugin lo solucionará. Si tenemos dudas mejor no hacerlo.

 

Post redactado por Francisco Jordán

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies