WordPress es el sistema de gestión de contenidos (CMS, por sus siglas en inglés) más conocido y utilizado entre quienes tienen un blog y, por eso mismo, es también el más atacado por los cibercriminales, que buscan hacerse con su control para, desde el blog capturado, infectar los ordenadores y smartphones de los lectores utilizando diferentes tretas.
Es por ello, además de por la responsabilidad ante los tribunales que podrías adquirir si no proteges bien tu sitio web hecho con WordPress, que debes aprender a protegerlo.
Modificando el hosting
Antes de empezar con las medidas de protección desde el propio WordPress, debes saber que hay algo que puedes hacer desde la base, desde tu hosting, el espacio en el cual está hospedado tu sitio web y sobre cuyo servicio funciona WordPress.
En dicho hosting puedes encontrar el fichero .htaccess (debes acceder vía FTP o, si no sabes cómo hacerlo, deberá encargarse tu técnico), el cual contiene ciertas definiciones para los directorios (carpetas) que conforman el espacio de almacenamiento de tu servidor.
En este fichero, debes definir como protegido por contraseña el archivo wp-login.php, que es el que te permite el acceso a tu gestor WordPress. Para ello añadiremos al fichero .htaccess unas líneas parecidas a las siguientes:
<files wp-login.php>
AuthType Basic
AuthName “contrasena”
AuthUserFile “/home/nombre_blog/.htpasswds/public_html/tu_hosting.es/wp-admin/passwd”
require valid-user
</files>
Suponiendo que tu servidor de WordPress español sea tu_hosting.es. En el archivo passwd deberemos colocar tanto el nombre de usuario como la contraseña, teniendo en cuenta que esta última deberá ir encriptada.
Un movimiento sencillo
Habitualmente, para acceder a la administración de nuestro blog, debemos introducir en el navegador una dirección (URL) similar a www.nombre_de_nuestro_hosting.es/wp-admin. Esto es universal para todo blog con WordPress y, por ello, conocido de sobra por los cibercriminales. Por ello, algo fácil que puedes hacer para incrementar la seguridad es cambiar esta URL de entrada.
Para ello, puedes utilizar un plug-in llamado Move Login, que te facilitará la tarea.
Si prefieres hacerlo de forma manual, deberás acudir también al archivo .htaccess y agregar la siguiente línea de código:
RewriteRule ^NUEVA_ENTRADA$ http://tu_hosting.es/wp-admin.php [NC,L]
En la cual NUEVA_ENTRADA es el nombre que quieres que tenga la URL de acceso, y tu_hosting.es es el dominio que hayas contratado.
Minimizando los vectores de ataque
Y ya que hablamos de plug-ins, también deberás ocuparte de los plugins WordPress y las plantillas WordPress para aumentar la seguridad de tu blog.
En primer lugar, manteniendo estos al mínimo necesario, lo que significa que aquellos de estos elementos que no utilices, mejor desinstalarlos. De esta forma, minimizamos los vectores de ataque que los cibercriminales pueden utilizar.
Del mismo modo, hay que actualizarlos, tanto los plug-ins como las plantillas que utilicemos, ya que ambos son código fuente y, por lo tanto, sujetos a tener agujeros de seguridad explotables remotamente.
Repasa los usuarios por defecto
No debes utilizar como nombre de usuario ni admin, ni root, ni nada que se le parezca, ya que son los más frecuentes. Si combinamos esta medida con el cambio de directorio de acceso, evitaremos ataques por fuerza bruta.
Otra buena idea para evitar los ataques por fuerza bruta es insertar un captcha en la entrada de tu blog, de forma que puedas asegurar que quien se conecta es un ser humano, y no un programa de ordenador.
Las medidas a tomar para proteger tu WordPress son múltiples y sencillas, por lo que ya no tienes excusa para no tomar cartas. Y recuerda que, según la legislación vigente, puedes convertirte en responsable civil subsidiario de daños a terceros ocasionados por los cibercriminales desde tu blog, por lo que podrías tener que pagar una indemnización por ello.