10 Formas de proteger y hacer más seguro tu blog en WordPress

Tener un blog hoy día es algo relativamente sencillo y barato gracias a que existen los servicios de hosting económicos e incluso gratuitos. Sobre todo hay que agradecer la proliferación de blogs a los diferentes sistemas CMS que tienes disponibles para utilizar de forma libre y que te facilitan tremendamente el hecho de tener una página web o un blog.

Uno de los CMS más utilizados a nivel mundial es, sin duda, WordPress y si lo utilizas o si estás pensando en utilizarlo no está de más que conozcas algunas formas para conseguir que la instalación de tu blog esté más segura y protegida.

En la mayoría de los casos verás que es suficiente con la instalación de algún que otro plugin, pero también puedes encontrar trucos que te ayudarán a asegurar tu blog:

Plugins para proteger y hacer más segura tu instalación WordPress

Una pequeña colección de plugins para WordPress que podrías ver útiles:

One Time Password


One-Time Password es un plugin que, básicamente, hace lo que dice su nombre, crea una contraseña válidad solo para una vez. Especialmente útil si vas a conectarte a tu blog desde un cibercafé, el trabajo o desde una casa ajena. Una vez que has instalado el plugin, se generan una serie de contraseñas de forma aleatoria. Puedes utilizar la que quieras, pero cada vez que uses una de ellas ya no vuelve a servir más. Cuando las has utilizado todas el plugin vuelve a crear más contraseñas. Ideal para mantener a salvo la contraseña original.
One-Time Password

WP Security Scan


Este plugin realiza tests de seguridad en tu blog para comprobar si existen posibles errores de seguridad. Luego te ofrece algunas sugerencias para solucionarlas.
WP Security Scan

AntiVirus WordPress


¿Virus en WordPress? Quizás no tanto desde el punto de vista clásico de lo que es un ‘virus’, pero lo que sí vas a encontrar son exploits, inyecciones de código malicioso y demás. El plugin te avisa en la barra de administración si encuentra algo sospechoso. Realiza una limpieza después de la instalación de nuevos plugins, escaneos diarios con envío de notificaciones a tu email, chequeos de la base de datos de WordPress, temas y plantillas (templates), creación de una lista blanca para evitar avisos repetitivos, etc.
Anti Virus WordPress

AskApache Password Protect


Añade una capa de seguridad extra para tu blog. Protege todo el directorio wp-admin de WordPress utilizando HTTP Basic Authentication.
AskApache Password Protect

Better WP Security


Bajo el poco modesto nombre de este plugin se encuentra una potente herramienta que te ofrece un buen número de opciones de seguridad. Algunas de ellas son: elimina la etiqueta ‘Generator’ del código fuente de las páginas de tu blog, escanea todo el sitio buscando posibles vulnerabilidades, cambia las URLs de login y admin, crea copias de seguridad de la base de datos, elimina bots, elimina la posibilidad de hacer un login a tu blog durante un periodo de tiempo que configures, previene de ataques cuando se realizan demasiados intentos de login erróneos, detecta intentos de ataque, renombra el nombre de la cuenta de admin, activa SSL para las páginas del blog siempre que sea posible. Posiblemente el más completo de los que hemos visto aquí, pero por otro lado también el más pesado en cuanto a contenidos y consumo de recursos.
Better WP Security

BulletProof Security


Esta es otro plugin potente orientado a mantener algo más seguro tu blog en wordpress y lo cierto es que es uno de los más completos que puedes encontrar. Ofrece protección contra XSS, RFI, CRLF, CSRF, Base64, Code Injection y SQL Injection. Comprueba permisos de carpetas, erorres en la base de datos, protege archivos importantes como wp-config.php. Al igual que Better WP Security, es un plugin grande que consumirá algunos recursos extra en tu servidor.
BulletProof Security

Utiliza SSL en WordPress

Admin SSL


Admin SSL fuerza el uso de SSL en las páginas de administración, login o las que quieras configurar.
Admin SSL

Semisecure Login Reimagined


Este plugin encripta las contraseñas que utilices para mayor seguridad. Ideal si el servidor donde tienes alojado el blog no acepta SSL.
Semisecure Login Reimagined

Cambia el nombre de wp-login.php en WordPress

Wp-login.php te da acceso a la página de login de tu instalación de WordPress y ya sabes que es la forma de acceder al panel de control de cualquier blog. Por este motivo, es posible que quieras que solo tú puedas acceder a esta página de login y no cualquiera que la visite casualmente e intente adivinar tus datos de acceso.

Una forma de añadir una capa más de seguridad a tu blog es modificando el nombre de wp-login.php por otro, digamos miblog-entrada.php por poner solo un ejemplo.

Veamos cómo hacer esto mediante un plugin de WordPress o de forma manual.

URLs de Login y Admin personalizadas en WordPress con un plugin


El plugin en cuestión se llama Custom Login and Admin URLs. Simplemente tendrías que instalarlo en tu blog, activarlo y configurarlo en el panel de control de WordPress.

Si te da problemas, no quieres instalar más plugins o, simplemente, no quieres dejar en manos de uno de estos plugins en login en tu blog, tienes la opción manual que vemos aquí:

URLs de Login en WordPress personalizadas manualmente

En primer lugar, antes de intentar realizar ningún cambio, es mejor que realices una copia de seguridad de tu blog para evitar que algún error haga una trastada demasiado gorda. Cuidado con esto porque no nos hacemos responsables si se produce un error y no puedes restaurar el sistema como estaba antes.

En segundo lugar, cambiar el nombre del wp-login.php no es tan directo como acceder a tu servidor y modificarlo desde un programa FTP. Tendrás que hacer algunos cambios sencillos en su contenido. Para ello:

- Descarga vía FTP el archivo wp-login.php.
- Edita el archivo wp-login.php que has descargado localmente utilizando un editor de textos como notepad o similar (no valen procesadores de texto como Word o similares).
- Modifica en el interior del archivo cada vez que aparezca wp-admin.php por el nuevo nombre, miblog-entrada.php en nuestro ejemplo o el nombre que hayas decidido. Si utilizas las herramientas de buscar/reemplazar en el editor de textos que estés utilizando lo harás más rápido.
- Guarda el archivo que has modificado con el nombre miblog-entrada.php o el nombre que hayas elegido.
- Sube vía FTP el nuevo archivo miblog-entrada.php al servidor de tu blog.
- Elimina el antiguo wp-login.php o renómbralo con algún nombre difícil de adivinar, por si alguna vez quieres volver a recuperarlo por algún motivo.

Otra opción que tienes disponible es si el servidor donde tienes instalado el blog dispone de cpanel o similar, puedes encontrar una herramienta que te permite editar y renombrar archivos directamente en el navegador.

Un último paso: Una vez que hemos modificado wp-login.php, tendrías que realizar otro cambio en un segundo archivo. Este archivo se llama general-template.php y es el que llama a wp-login.php cuando vas a des-logearte desde el panel de control de WordPress.

Para no tener problemas, edita este archivo, busca las veces que aparezca wp-login.php y modifícalo por miblog-entrada.php o el nombre que hayas elegido para tu blog. Verás que necesitas realizar alrededor de 5 cambios.

A partir de ahora:

- Si intentas acceder vía misitio.com/wp-login.php no debería funcionarte.
- Si intentas acceder vía misitio.com/miblog-entrada.php o el nombre que hayas elegido deberías acceder normalmente. La ventaja es que alguien que no conozca el nombre de tu nueva página de login tendrá difícil acceder a ella.

Si lo has probado y ves que funciona, deberías comprobar que también puedes desloguearte, sin problemas.

En el caso de tener algún tipo de problema o que el login no funcione, antes renombraste el archivo wp-login.php original, en caso de entrar en pánico solo tendrías que volver a renombrar de vuelta este archivo para que todo estuviera como antes y volver a modificar general-template.php tal como estaba antes de los cambios.

Algo más a tener en cuenta:

Estos cambios funcionarán en la actual instalación de WordPress que tengas activa. Esto significa que si actualizas a una nueva versión ya sea automática o manualmente tendrás que volver a realizar los pasos anteriores.

En definitiva

Utilizar estas técnicas y plugins harán algo más seguro tu blog en WordPress. Obviamente, utilizarlos todos no es una buena idea, así que elije las que más se adecuen a tus necesidades dividiéndolo básicamente en tres zonas: URLs de login, ssl para acceder a las páginas y seguridad interna del blog.

Deja un comentario