10 pasos básicos para asegurar una instalación WordPress

La seguridad es un punto básico en un blog, portal, red social, foro… o cualquier otra aplicación realizada con WordPress. Os comento 10 pasos básicos, que deberéis realizar para estar seguros de tener una instalación WordPress sin problemas de seguridad (al menos con la menor cantidad de problemas posibles).

Esta entrada es una traducción, adaptación y mejora del original en inglés: 10 Basics Steps To WordPress Security de Designrfix.

Manten el núcleo de WordPress actualizado

El equipo entero de desarrolladores y colaboradores de WordPress hace un gran trabajo para tratar de tener los problemas de seguridad a raya, si no mantenemos actualizado el núcleo, este trabajo servirá para nada. En otros CMS (aún recuerdo las actualizaciones que hacía en Drupal) son más complejos, pero en WordPress con un sólo clic hasta actualizado. No hay excusa.

Manten también los plugins y los temas actualizados

Ídem que el anterior, pero esta vez me refiero a los plugins y a los temas. Si estáis usando un tema propio, en el que partís de otro anterior, recordad usar temas hijos.

Sustituye el usuario administrador que hay por defecto

El usuario administrador de WordPress se llama por defecto “admin”. Desde hace unas versiones, podemos cambiarlo y llamarlo como queramos. Con este simple gesto nos quitamos bastantes amenazas (y de las más gordas) de en medio.

Utiliza una contraseña que sea segura y manten tu password en sitio seguro

De poco sirve tener seguridad a todos los niveles si perdemos la llave de todo esto: el par nombre de usuario y contraseña. El primero lo hemos reforzado en el punto anterior, el segundo debe ser un password con cierta complejidad. Dentro del propio WordPress podéis ver el grado de fortaleza de la contraseña, cuanto más mejor.

Otro tema es el “guardarla”, lo mejor es en la cabeza, pero en caso de no poder usar esta opción por cualquier razón, por favor, que sea en un sitio adecuado, no en plano en el escritorio en un fichero de texto que se llame “contraseñas wordpress”.

Utiliza un prefijo de tablas que no sea wp_

Todos los que veáis datos WordPress a menudo, sabréis las tablas vienen precedidas por un prefijo que por defecto es “wp_”, por ejemplo, wp_posts, wp_options, etc. La idea es que en lugar de ser “wp_” este prefijo, sea otro, de forma que dificultemos aún más la labor a nuestro atacante en caso de, por ejemplo, inyecciones SQL.

Si aún no hemos instalado WordPress, es muy simple. Nos dirigimos al fichero wp-config.php cuando introducimos los datos de autenticación en la base de datos MySQL y sustituimos el valor de la variable $table_prefix  a otro diferente a “wp_”.

Si ya tenemos el sistema instalado, deberemos efectuar además una operación de renombrado de tablas.

Quitar información de la versión

WordPress suele incluir una línea en la cabecera de HTML en la que informa sobre la versión que se está usando, algo así como: <meta name=”generator” content=”WordPress X.X” />.

En los sistemas de producción cuantas menos pistas demos mejor, así que en el fichero functions.php de nuestro tema la siguiente línea, al final del mismo:

remove_action('wp_head', 'wp_generator');

Usar sólo plugins seguros

El gestor de plugins de WordPress nos ofrece una visión de la valoración de los plugins, de la cantidad de descargas… es decir, tenemos algo de valoración objetiva sobre los mismos. La idea es que no instales plugins que apenas han sido usados o estén mal valorados, un plugin puede ser tu agujero de seguridad.

Los más populares, a priori, están exentos de ese tipo de problemas, y en caso de tenerlos, ofrecen actualizaciones.

Busca un buen servicio de alojamiento

WordPress es un CMS que ejecuta sobre un servidor Apache, una base de datos MySQL y un intérprete de PHP. Todos estos elementos, tienen sus propios fallos de seguridad, además del sistema operativo sobre el que residen, así que otra labor importante es esta: cercionarse de contratar un proveedor de hosting serio, de forma que no tengamos problemas debajo de WordPress.

No descuides tampoco tu equipo

¿Desde dónde inicias sesión en WordPress? Desde equipos locales. Aquí hay otro fallo de seguridad, si tenemos por ejemplo, un troyano, será más que posible que nuestras credenciales no sólo de WordPress sino de FTP o MySQL caigan en manos de terceras personas.