La semana pasada hablamos de un nuevo problema de seguridad que afectaba a millones de sitios web creados utilizando Wordpress, algo que es muy común que suceda porque si bien aquel problema se origino en un plugin desarrollado por un tercero este depende del core de Wordpress haciendo que el sistema entero sea vulnerable a un ataque de hackers mal intencionados, un tema muy grave si consideramos que Wordpress es utilizado por mas de 75 millones de sitios en Internet.
Como mejorar la seguridad de Wordpress
Existen muchos plugins y técnicas para mejorar la seguridad de Wordpress, como en todo unas mejores que otras, unas sencillas de aplicar y otras que requieren de conocimientos más técnicos de programación, las practicas más comunes para mejorar la seguridad de un sitio con Wordpress son:
- Cambiar la URL del panel de administración, ejemplo: /wp-admin/ cambiar a /dashboard/
- Evitar utilizar como nombre de usuario ‘admin‘
- Cambiar el número de ID del primer usuario de 1 a cualquier otro número
- Integrar un plugin para bloquear IP’s cuando alguien ingrese incorrectamente el password muchas veces
- El más común y útil, utiliza contraseñas con al menos una letra mayúscula, números y símbolos, créanme es más fácil recordar una contraseña que superar la perdida de información de un sitio.
- Mantener actualizados tus plugins y la versión de Wordpress que utilices
Estos son algunos, quizás los más comunes, en Internet hay muchos plugins para Wordpress que te permiten realizar todos estos cambios, pero en particular les quiero hablar de uno que va mas haya. Se trata de Hide My WP un plugin para ocultar que utilizas Wordpress en tú pagina web.
¿Porque ocultar que utilizas Wordpress?
Considera que uno de los ataques a sitios web más comunes son los SQL Injection ataques que no son tan complejos como podrías imaginar pues requieren de conocimientos básicos de MySQL para literalmente inyectar código a tu base de datos con el fin de extraer o manipular la información de tu sitio, para que los hackers puedan lograr esto existen dos caminos el sencillo y el complicado.
El complicado requiere de paciencia y de realizar varias pruebas hasta encontrar el agujero de seguridad que le permita al atacante penetrar en tú pagina web.
El segundo camino es el sencillo y Wordpress y los desarrolladores de plugins lo facilitan aun mas aunque no de forma intencional, para este basta con descargar el plugin y revisar el código fuente específicamente en las funciones que reciben información a través de variables en la URL o formularios, con el fin de identificar errores en las consultas a la base de datos que permitan hacer ataques SQL Injection.
Entonces teniendo en cuenta esto, sabemos que para complicar la vida al hacker tenemos que ocultar las pruebas que indican que estamos utilizando un sistema que quizás tenga problemas de seguridad, es decir que si ocultamos que estamos utilizando Wordpress el atacante considere tomar el camino difícil y quizás nunca encuentre el problema, claro si es que este existe.
Así que podemos considerar que ocultar que utilizamos Wordpress como sistema para gestionar nuestra pagina web, sería nuestra primera barrera de seguridad, aunque no debe ser la única.
¿Como ocultar que utilizas Wordpress?
Fácil, instalando Hide My WP, es un plugin para Wordpress que se encarga de ocultar Wordpress a la vista de los curiosos, si bien este plugin no es gratuito su costo y beneficio hace que valga la pena hacer una pequeña inversión, digo pequeña porque tan solo cuesta $22 dólares. Lo que Hide My WP hace para ocultar Wordpress es:
- Oculta el directorio /wp-amin/ y el archivo wp-login.php
- Cambia los directorios de los themes, estilos CSS, plugins, archivos subidos como imágenes, el wp-includes, las URL’s de acción AJAX, etc.
- Cambia el enlace permanente de los editores tudominio.com/nombre_del_autor
- Cambia o desactiva los enlaces permanentes de tu Feed, paginas o de la paginación
- Comprime el código HTML, elimina los comentarios HTML y CSS, cambia las URLs de los queries en HTML y CSS, elimina las clases que utiliza Wordpress por default, renombra los plugins y muchos mas.
Literalmente Hide My WP aplica un camuflaje muy efectivo a Wordpress.
Otro plugin que les podría recomendar que es gratuito, que aplica algunos metodos de seguridad a Wordpress, pero no lo oculta y que podría servir de complemento a Hide My WP es iThemes Security, un gran plugin de seguridad para Wordpress gratuito.
Imagen por venimo © | Shutterstock