Administración > Preguntas Frecuentes - FAQ > Hosting > ¿Cómo proteger y hacer más seguro tu WordPress?


¿Cómo proteger y hacer más seguro tu WordPress?




Uno de los CMS más utilizados a nivel mundial es, sin duda, WordPress y si lo utilizas o si estás pensando en utilizarlo no está de más que conozcas algunas formas para conseguir que la instalación de tu blog esté más segura y protegida.

En la mayoría de los casos verás que es suficiente con la instalación de algún que otro plugin, pero también puedes encontrar trucos que te ayudarán a asegurar tu blog:

One Time Password

One-Time Password es un plugin que, básicamente, hace lo que dice su nombre, crea una contraseña válidad solo para una vez. Especialmente útil si vas a conectarte a tu blog desde un cibercafé, el trabajo o desde una casa ajena. Una vez que has instalado el plugin, se generan una serie de contraseñas de forma aleatoria. Puedes utilizar la que quieras, pero cada vez que uses una de ellas ya no vuelve a servir más. Cuando las has utilizado todas el plugin vuelve a crear más contraseñas. Ideal para mantener a salvo la contraseña original.

WP Security Scan

Este plugin realiza tests de seguridad en tu blog para comprobar si existen posibles errores de seguridad. Luego te ofrece algunas sugerencias para solucionarlas.

AntiVirus WordPress

¿Virus en WordPress? Quizás no tanto desde el punto de vista clásico de lo que es un ‘virus’, pero lo que sí vas a encontrar son exploits, inyecciones de código malicioso y demás. El plugin te avisa en la barra de administración si encuentra algo sospechoso. Realiza una limpieza después de la instalación de nuevos plugins, escaneos diarios con envío de notificaciones a tu email, chequeos de la base de datos de WordPress, temas y plantillas (templates), creación de una lista blanca para evitar avisos repetitivos, etc.

AskApache Password Protect

Añade una capa de seguridad extra para tu blog. Protege todo el directorio wp-admin de WordPress utilizando HTTP Basic Authentication.

Better WP Security

Bajo el poco modesto nombre de este plugin se encuentra una potente herramienta que te ofrece un buen número de opciones de seguridad. Algunas de ellas son: elimina la etiqueta ‘Generator’ del código fuente de las páginas de tu blog, escanea todo el sitio buscando posibles vulnerabilidades, cambia las URLs de login y admin, crea copias de seguridad de la base de datos, elimina bots, elimina la posibilidad de hacer un login a tu blog durante un periodo de tiempo que configures, previene de ataques cuando se realizan demasiados intentos de login erróneos, detecta intentos de ataque, renombra el nombre de la cuenta de admin, activa SSL para las páginas del blog siempre que sea posible. Posiblemente el más completo de los que hemos visto aquí, pero por otro lado también el más pesado en cuanto a contenidos y consumo de recursos.

BulletProof Security

Este es otro plugin potente orientado a mantener algo más seguro tu blog en wordpress y lo cierto es que es uno de los más completos que puedes encontrar. Ofrece protección contra XSS, RFI, CRLF, CSRF, Base64, Code Injection y SQL Injection. Comprueba permisos de carpetas, erorres en la base de datos, protege archivos importantes como wp-config.php. Al igual que Better WP Security, es un plugin grande que consumirá algunos recursos extra en tu servidor.

Semisecure Login Reimagined

Este plugin encripta las contraseñas que utilices para mayor seguridad. Ideal si el servidor donde tienes alojado el blog no acepta SSL.

 

Cambia el nombre de wp-login.php en WordPress

Wp-login.php te da acceso a la página de login de tu instalación de WordPress y ya sabes que es la forma de acceder al panel de control de cualquier blog. Por este motivo, es posible que quieras que solo tú puedas acceder a esta página de login y no cualquiera que la visite casualmente e intente adivinar tus datos de acceso.

Una forma de añadir una capa más de seguridad a tu blog es modificando el nombre de wp-login.php por otro, digamos miblog-entrada.php por poner solo un ejemplo.

Veamos cómo hacer esto mediante un plugin de WordPress o de forma manual.

URLs de Login y Admin personalizadas en WordPress con un plugin

El plugin en cuestión se llama Custom Login and Admin URLs. Simplemente tendrías que instalarlo en tu blog, activarlo y configurarlo en el panel de control de WordPress.

Si te da problemas, no quieres instalar más plugins o, simplemente, no quieres dejar en manos de uno de estos plugins en login en tu blog, tienes la opción manual que vemos aquí:

URLs de Login en WordPress personalizadas manualmente

En primer lugar, antes de intentar realizar ningún cambio, es mejor que realices una copia de seguridad de tu blog para evitar que algún error haga una trastada demasiado gorda. Cuidado con esto porque no nos hacemos responsables si se produce un error y no puedes restaurar el sistema como estaba antes.

En segundo lugar, cambiar el nombre del wp-login.php no es tan directo como acceder a tu servidor y modificarlo desde un programa FTP. Tendrás que hacer algunos cambios sencillos en su contenido. Para ello:

- Descarga vía FTP el archivo wp-login.php.
- Edita el archivo wp-login.php que has descargado localmente utilizando un editor de textos como notepad o similar (no valen procesadores de texto como Word o similares).
- Modifica en el interior del archivo cada vez que aparezca wp-admin.php por el nuevo nombre, miblog-entrada.php en nuestro ejemplo o el nombre que hayas decidido. Si utilizas las herramientas de buscar/reemplazar en el editor de textos que estés utilizando lo harás más rápido.
- Guarda el archivo que has modificado con el nombre miblog-entrada.php o el nombre que hayas elegido.
- Sube vía FTP el nuevo archivo miblog-entrada.php al servidor de tu blog.
- Elimina el antiguo wp-login.php o renómbralo con algún nombre difícil de adivinar, por si alguna vez quieres volver a recuperarlo por algún motivo.

Otra opción que tienes disponible es si el servidor donde tienes instalado el blog dispone de cpanel o similar, puedes encontrar una herramienta que te permite editar y renombrar archivos directamente en el navegador.

Un último paso: Una vez que hemos modificado wp-login.php, tendrías que realizar otro cambio en un segundo archivo. Este archivo se llama general-template.php y es el que llama a wp-login.php cuando vas a des-logearte desde el panel de control de WordPress.

Para no tener problemas, edita este archivo, busca las veces que aparezca wp-login.php y modifícalo por miblog-entrada.php o el nombre que hayas elegido para tu blog. Verás que necesitas realizar alrededor de 5 cambios.

A partir de ahora:

- Si intentas acceder vía misitio.com/wp-login.php no debería funcionarte.
- Si intentas acceder vía misitio.com/miblog-entrada.php o el nombre que hayas elegido deberías acceder normalmente. La ventaja es que alguien que no conozca el nombre de tu nueva página de login tendrá difícil acceder a ella.

Si lo has probado y ves que funciona, deberías comprobar que también puedes desloguearte, sin problemas.

En el caso de tener algún tipo de problema o que el login no funcione, antes renombraste el archivo wp-login.php original, en caso de entrar en pánico solo tendrías que volver a renombrar de vuelta este archivo para que todo estuviera como antes y volver a modificar general-template.php tal como estaba antes de los cambios.

Algo más a tener en cuenta:

Estos cambios funcionarán en la actual instalación de WordPress que tengas activa. Esto significa que si actualizas a una nueva versión ya sea automática o manualmente tendrás que volver a realizar los pasos anteriores.



¿Fue útil la respuesta?

Imprimir éste Artículo Imprimir éste Artículo

Leer también