Cuando un hacker o robot intenta atacar una web, un primer paso sería averiguar qué tipo de herramienta estás usando para su desarrollo. Puede ser un CMS como WordPress, Joomla, Drupal, etc. o una web desarrollada a «mano».
Una vez que se ha detectado el tipo de herramienta se podrá aprovechar el conocimiento que se tiene de su estructura de archivos para comenzar con el ataque.
Existen diversos archivos que pueden comprometer la seguridad de WordPress. Por un lado, hay algunos archivos que se añaden con la instalación de WordPress, que son meramente informativos, pero cuya información puede ser útil para los atacantes.
Por ejemplo, podría mostrar información sobre la versión de WordPress que estamos utilizando, algo muy útil si no tenemos la último versión disponible.
Por otro lado, existen algunos archivos necesarios para el funcionamiento de WordPress, que no podemos eliminar, y que contienen información sensible. Es conveniente proteger estos archivos.
Empecemos con los primeros. En la raíz de la web solo deberíamos tener archivos con extensión php y el archivo .htaccess. El resto de archivos, con extensiones txt o html deberían ser eliminados, a menos que los hayamos añadido nosotros para algún cometido en particular, o se hayan instalado con algún plugin (normalmente ningún plugin debería dejar archivos en la raíz, pero puede que haya excepciones).
Los archivos que deberíamos eliminar son los siguientes (puede que no lo tengas todos):
- license.txt
- licencia.txt
- readme.html
Si, por seguridad, no los quieres eliminar, puedes crear un directorio nuevo donde mover estos archivos o también puedes renombrarlos. Por ejemplo, puedes cambiar el nombre license.txt por license_oculto.txt. En todo caso, sin estos archivos tu WordPress también funcionará perfectamente.
También se ha de tener en cuenta que cada vez que actualicemos WordPress a una nueva versión es posible que estos archivos eliminados se vuelvan a añadir, por lo que deberemos estar atentos, una vez finalizada la actualización, si es necesario volver a borrar los ficheros sobrantes.
Pasemos ahora a los archivos que pueden contener información sensible. Serían los archivos wp-config.php y .htaccess, ambos situados en la ráiz de nuestro WordPress. El archivo wp-config.php contiene diversa información de la configuración de WordPress, como el nombre de la base de datos que se está utilizando o el usuario y contraseña que se utiliza para conectarse, además de otra información que conviene mantener segura. El archivo .htaccess también es importante porque puede ser utilizado por los atacantes para debilitar la seguridad de nuestra web.
A priori, estos archivos no serían accesibles para usuarios externos, pero nunca viene mal añadir una capa de seguridad adicional. Para ello deberemos editar el archivo .htaccess y añadir al principio del mismo el siguiente código:
# proteger wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# proteger htaccess
<files .htaccess>
order allow,deny
deny from all
</files>
De esta manera, indicamos que se bloquee el acceso a ambos archivos de forma externa, solo siendo accesibles desde el propio servidor, que es justo lo que necesitamos.
Con estos sencillos trucos estamos mejorando la seguridad de nuestros WordPress, aunque recuerda que hay otras medidas a tomar, de las que hemos hablado en este mismo blog.