Has creado tu blog o tu web bajo wordpress y llevas ya varios meses o años trabajando en él cuando un buen día descubres que has desaparecido de las búsquedas. Miras en las herramientas de webmaster de Google y te dicen que tu blog está infectado de malware y ha sido marcado por ello. Cientos de horas de redacción, de SEO, de linkbaiting tirado por la borda en unos instantes. Cierto que puedes limpiar la web, pero volver a recuperar tu posición te va a llevar meses. Para intentar evitarlo vamos a ver algunas pautas de seguridad para proteger el blog.
Acceso
La primera barrera la tienes que poner en la puerta de entrada. Para ello es interesante que crees un usuario nuevo para la administración del blog y elimines el usuario «admin» que wordpress crea por defecto. Asimismo, usa contraseñas fuertes que combinen mayúsculas, minúsculas y números y cámbialas periódicamente y no te olvides de eliminar los “meta” de tu sidebar.
.htaccess
La siguiente barrera la tenemos en este fichero. Si tu sitio corre bajo Apache el fichero .htaccess se encarga, entre otras cosas, de establecer los niveles de seguridad del directorio en el que se encuentre, así como de los subdirectorios que cuelguen de él.
Una de las acciones que podemos hacer es editar este fichero y añadirle el código que puedes encontrar aquí.
Asimismo, y para proteger al propio fichero de accesos no autorizados puedes añadirle los códigos indicados en esta web.
Para rizar el rizo puedes incluir lo indicado en esta otra web para añadir una contraseña y proteger el directorio «/wp-admin». Si usas esto no te olvides crear tu propio fichero .htpasswd en la otra web que te indica.
Plugins
La tercera barrera la tenemos en los plugins. Existen una buena lista de plugins que nos pueden ayudar para prevenir ataques y para actuar en caso de tener que corregir el problema. Entre ellos podemos destacar:
Firewalls
- Wordfence.
- WordPress Firewall 2
- All In One WP Security
Backup
- BackUpWordPress
- WP-DBManager
Comportamiento
Finalmente, nada de esto sirve si no se tiene un poco de cuidado a la hora de trabajar el sistema. Por ello te recomiendo que:
- Mantengas tus contraseñas protegidas.
- Mantén actualizado tu sistema.
- Descarga los plugins y las actualizaciones de wordpress de los repositorios oficiales y no uses plugins que lleven tiempo sin actualizarse.
- Vigila que los enlaces que colocas en tu web sean de sitios seguros y que llevan tiempo activos.
- Realiza copias de seguridad de la base de datos y de los contenidos periódicamente y almacena las últimas 5 ó 6 versiones.
- Crea una cuenta en las herramientas para webmasters de Google y registra tu blog.
- Si te es posible, utiliza un buen proveedor de hosting especializado en wordpress.
Conclusión
Evidentemente aún se puede rizar mucho más el rizo, pero siguiendo estas pautas le estarás complicando el trabajo al hacker de turno y podrás dormir un poco más tranquilo por las noches.
¿Utilizas algún otro plugin o técnica para proteger tu blog o vas «a pecho descubierto» (si es así mejor no lo digas)?
Me gustaría que nos dejes tus opiniones o comentarios, también puedes suscribirte gratis al blog para no perderte ningún artículo y, si te ha gustado, ayúdame a difundirlo compartiéndolo en tus redes.
Foto por MlhRadio en Flickr (CC)