Cuando creamos un sitio web con WordPress una de las primeras cosas que nos vienen a la mente es saber si nuestro sitio es vulnerable a ataques o por el contrario es un sitio seguro.
Para empezar todos los sitios que están en Internet son vulnerables a cualquier ataque y cualquier CMS puede tener problemas de seguridad, pero una de las ventajas que ofrece por ejemplo WordPress, al igual que otros CMS, es que esos errores son corregidos lo antes posible generando sus correspondientes actualizaciones. La clave es proteger y configurar correctamente el sitio para intentar prevenir en mayor medida problemas de seguridad, no hay mas secreto.
Para empezar hay que tener en cuenta diferentes aspectos, tanto en la instalación como en el uso a diario.
Cosas básicas que tenemos que hacer:
- No utilizar el nombre de usuario admin. Básicamente porque es uno de los primeros que se prueba en ataques de diccionario.
- Utiliza contraseñas robustas. Olvídate del 1234 o cosas por el estilo, que son vulnerables en ataques de fuerza bruta.
- Haz copias de seguridad con periodicidad.
- Elimina el fichero wp-admin/install.php una vez que hayas instalado WordPress puesto que no te va a hacer falta mas. Lo puedes hacer directamente $ sudo rm wp-admin/install.php
- Trabaja con las últimas versiones de WordPress, tanto para el core como para los plugins.
Otra cosa que tenemos que tener en cuenta son los permisos que damos tanto al usuario de la base de datos como a las carpetas de instalación. Normalmente, si hacemos una instalación sin preocuparnos de estas cosas le damos «barra libre» al usuario y a las carpetas, y ahí podemos tener un problema de seguridad. En el codex de WordPress nos viene bien explicado todo lo referente a la seguridad de nuestro sitio, es importante que le echemos un vistazo a esa página.
Resumiendo lo que comenta, por lo menos deberíamos de:
- Permisos de carpetas wp-admin, wp-content y wp-include 755. (El propietario lectura, escritura y ejecución, el grupo y otros pueden leer y ejecutar el archivo). Para ello ejecutamos $ sudo chmod 755 wp-content wp-admin wp-includes
- Permisos de los ficheros 644, para que el propietario pueda escribir y leer, el grupo leer y los demas solo leer. $ sudo chmod 644 fichero
- Al usuario de la base de datos le solemos dar tambien todos los permisos, pero sólo necesita permisos de SELECT, INSERT, UPDATE and DELETE, por lo que podemos hacer mysql> grant select, insert, delete, update, delete on wordpress.* to mi_usuario identified by ‘mi_password’;
Por último vamos a mejorar la seguridad de un fichero muy especial, el fichero wp-config.php
El fichero wp-config es un fichero importantísmo donde aparece la información de nuestro sitio, por ello tenemos que protegerlo al máximo. Una opción es añadir este código a nuestro fichero .htacess para prevenir problemas de seguridad:
<files wp-config.php>
order allow,deny
deny from all
</files>
De esta manera podemos tener nuestro sitio web WordPress un poco más seguro.