Seguridad WordPress, instalación de forma segura desde 0

Una de las cosas que hay que tener en cuenta es que hoy día la información en internet es algo casi ineludible y prima tanto nuestra presencia como la seguridad, por bien nuestro y de todos los que ven nuestras publicaciones.

Aunque en el título hacemos referencia a la instalación de WordPress, estas pautas básicas que vamos a dar, sirven para cualquier web o CMS.

Yo soy de los que piensan que las instalaciones de las webs mejor paso a paso y de forma manual, creando uno mismo la base de datos, nombrándola y gestionando los usuarios y las contraseñas por mi cuenta, esto es, no soy amigo de las instalaciones en dos clicks, llamarlo control o simplemente costumbre, pero siempre lo he hecho así y así lo seguiré haciendo.

El primer paso, es crear en nuestro hosting la base de datos, un usuario para esta y darle una contraseña, el CMS nos pedirá todo eso para crear todas las tablas necesarias de forma automática.

En la mayoría de los hosting  nos dan ya un prefijo para el nombre, tanto de la base de datos como para el usuario, tened en cuenta que si es un host compartido, la IP será la misma y por lo tanto, casi seguro, los prefijos de los nombres de DDBB y de los usuarios serán los mismos para todos los que comparten ese alojamiento.

Un consejo, antes de contratar un hosting para vuestra web, mirad, indagad y preguntad siempre sobre los sistemas de seguridad, normalmente estos van en relación al precio del host.

instalación segura img1

  • No hay que poner nunca el nombre que viene predefinido para la base de datos, aunque lleve prefijo. En el caso de wordpress, la base de datos viene nombrada con este mismo nombre. Procurad cambiarlo y si usáis símbolos y números mejor.
  • En el nombre de usuario nos olvidaremos de poner cosas como root, ADMIN, admindb, bd_admin, dbuser, etc…  ser creativos.
  • Para el password usar siempre contraseñas largas con números, símbolos y mayúsculas. Sobre todo evitad las palabras lógicas que puedan estar en el diccionario.
  • Y para finalizar (esto es algo que poca gente hace) cambiad el prefijo de las tablas de la base de datos. Si alguien intenta introducir una tabla con el prefijo por defecto, nunca tendrá acción.

Guardad estos datos e un lugar seguro y que recordéis.

instalación segura base de datos img2

 

 

Una vez creada la base de datos y conectada, pasamos a crear el perfil de administrador.

Los pasos son los mismos.

  • Creamos un nombre de usuario y evitamos admin o user y sus derivados. Algunos CMS como WordPress dan la opción de elegir el nombre público diferente al de registro, así aunque pongáis un nombre poco atractivo para el logueo, podéis usar para al nombre público uno más sencillo y “vistoso”, esto evitará también dar pistas del usuario de registro. Otra opción es la petición de entrada con la dirección de correo de forma obligatoria y los correos solo son públicos si queréis o también podéis usar como público una dirección de correo diferente, por ejemplo en el caso del CMS Zikula.
  • Pondremos una contraseña rígida y pero que sea fácil de recordar, en la imagen os damos una idea de cómo hacerlo, pero os dejo un vídeo de cómo crear contraseñas seguras y fáciles de recordar, el método es sencillo y efectivo. También deciros, que WordPress acepta espacios en los nombres de usuario y en las contraseñas como un carácter más.

instalación segura administrador

 

Como crear una contraseña fácil de usar y recordar gracias a Pablo Tijera de Shophos

 

Una vez instalado iremos a la parte de la seguridad usando elementos adicionales como plugins, módulos o aplicaciones.

En el caso de WordPress, ya que lo hemos puesto de ejemplo, no por nada, sino porque es uno de los sistemas CMS más populares.

  • Plugin seguridad.

    Wordfence

  • Plugin escaneo del sistema.

    Sucuri Security

  • Plugin escaneo themes.

    Theme Check

Otra pauta preventiva bastante buena, es usar un cambio en la dirección de las páginas de admin y/o login y dar la orden de no indexación de estas para los robots de búsqueda. Esto se hace en el archivo robots.txt.

Lo podemos hacer mediante pluins o directamente desde nuestro archivo .htacces colocando esta línea de código

 

También es conveniente (si lo deseáis) ocultar la versión del CMS, esto lo podemos hacer desde el archivo del theme functions.php.

 

 

Una buena idea  es también, quitar la posibilidad de edición tanto de los themes como de los plugins y de la carga e instalación, esto evitará dar facilidades si nuestro admin ha sido vulnerado. En mi caso no lo he desactivado, pero si requiere autenticación con contraseña de la FTP el CMS para la carga de plugins o themes.

Podemos hacerlo en el archivo wp-config.php

 

Para deshabilitarlo es tan facil como editar desde el panel de control del host o vía FTP al archivo y poner false en lugar de true.

Ahora vamos con los permisos CHMOD de las carpetas y archivos.

  1. Carpetas wp-admin, wp-content y wp-includes con permisos 755 – rwx r-x r-x.
  2. Archivos con permisos 644 – rw- r- r-.

Podéis cambiarlo a través del panel o del programa de transferencia según la necesidad, pero una vez terminado, dejadlos de nuevo según se indica.

Para terminar, mi recomendación es que uséis un tipo de registro en dos pasos. No son muy populares los captchas, pero creo que es una buena alternativa en caso de registro abierto a todos los usuarios y para protección del loging.

Si los usuarios son pocos o hay un único usuario, podéis usar estas aplicaciones o usar un formato de autenticación desde apache añadido al del mismo CMS. Este último la especificaremos con más detalle en el próximos post.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Uso de cookies

Este sitio web utiliza cookies, tanto propias como de terceros (Google Analytics), para recopilar información estadística sobre su navegación generada a partir de las pautas de esta. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

- SÁQUEME DE AQUÍ - CERRAR