Seguridad Wordpress: Tutorial plugin Better Wordpress Security

Como muchos sabréis, muchas de las instalaciones Wordpress de todo el mundo han sido atacadas por fuerza bruta. El ataque intentaba acceder a la administración mediante reiterados intentos en todas los Wordpress con usuario ‘admin’ y URL de acceso ‘wp-admin’, es decir la mayoría, ya que poca gente es consciente del peligro que suponen tener configuraciones comunes. No hace falta decir, que lo primero que hay que hacer es tener una contraseña con caracteres poco frecuentes, tipo: ()/-_@%&$…., no vale tener ‘admin2013’, ‘00000’, ‘123456’, etc…, ya que estos ataques siempre empiezan con estas contraseñas.

Vamos a poner un poco más difícil el acceso a nuestra administración Wordpress, usando el plugin gratuito ‘Better Wordpress Segurity’ desarrollado por Bit51. Próximamente, escribiremos algo parecido para Joomla!.

Descargamos e instalamos el plugin normalmente usando ‘añadir nuevo’ en la página de plugins de Wordpress.

Nota: El plugin viene traducido al castellano ‘casi’ completamente.

Primer Paso: Al activar el plugin, ahora aparece una nueva casilla en nuestro menú de la administración, con el nombre de Seguridad. Vamos hacia allí para iniciar la configuración. (Este mini tutorial, va dirigido a una configuración básica y apta para principiantes, suficiente para la mayoría)

Lo primero que nos pide es hacer una copia de seguridad. La hacemos si no tenemos otro respaldo. Como yo acostumbro a usar XCloner para estas cosas, me salto el paso. Debéis hacerla sino tenéis una copia.

Segundo paso: Damos permisos de escritura al .htaccess y wp-config.php, para así no tener que hacerlo nosotros. El plugin se encarga de todo. Si tenéis alguna configuración especifica o queréis hacerlo vosotros, denegar los permisos.

Tercer paso: Activamos todas las funciones básicas del plugin y que no alterarán el funcionamiento de nuestro Wordpress.

Ya hemos llegado a la página principal del plugin, donde se describen las funcionalidades básicas que debemos tener activadas. Algunas de las azules y las que están en rojo necesitan de más configuración. En todas ellas tenemos un link al final que nos permite ir al sitio específico para arreglarlo:

1. Como hemos dicho. Es fundamental tener contraseñas fuertes. Corregimos esto antes que nada. A partir de ahora todos los nuevos usuarios deberán establecer un contraseña fuerte como mínimo. Los ya existentes, debemos solucionarlo nosotros yendo a la pestaña usuarios y cambiando la contraseña manualmente.
2. En instalaciones personales, este punto no lo necesitamos.
3. Ok
4. Debemos cambiar el nombre de usuario del usuario principal para que sea diferente a ‘admin’. Si al instalar vuestro Wordpress ya lo habéis hecho, este apartado saldrá en verde. Todos los ataques por fuerza, empiezan a probar contraseñas con el nombre de usuario ‘admin’. Con este simple cambio ya dificultamos mucho el acceso no deseado. Ponemos el nombre que queramos.
5. Debemos cambiar el identificador que usa Wordpress, para el usuario principal que por defecto es siempre 1. Accedemos al link y con un simple botón hacemos el trabajo.
6. Si al instalar Wordpress no hemos tenido en cuenta este apartado, no está de más hacerlo. Incluye un prefijo en nuestras tablas de la base de datos para hacerlas únicas. Antes deberíamos tener una copia de seguridad por si acaso. Otra vez, usando el link de la derecha y luego pulsando el botón indicado, hacemos el trabajo.
7. Siempre debemos tener copia actualizadas de nuestro Wordpress. Nosotros utilizamos XCloner, que permite restaurar todo el Wordpress de manera bastante sencilla.
8. Valorad si debéis restringir la URL de vuestra administración por franjas horarias.
9. Si activáis esta opción, todas las IP maliciosas de la base de datos de HackRepair.com, serán automáticamente bandeadas y no podrán acceder a nuestra web.
10. Parte de la seguridad básica del plugin pero muy importante. Se activa si hemos permito las funciones básicas del tercer paso. Banera la IP si intenta acceder demasiadas veces a la administración con contraseñas erróneas.
11. Aquí podemos cambiar la URL de acceso a la administración de Wordpress, que como sabéis por defecto es ‘wp-admin’. Podéis poner la URL que queráis.
12. No es necesario tocar este apartado ya que plugins o templates de terceros podrían no funcionar bien si necesitan acceso estos ficheros.
13. Activada al aceptar el paso tres.
14. Interesante activar está funciona para saber que archivos han sido modificado sin nuestro permiso en caso de ataques.
15. Podemos limitar el uso de URL’s muy largas, que normalmente intentan utilizar vulnerabilidades de Wordpress. Debemos estar seguros que no utilizamos URL’s muy largas normalmente.
16. No hace falta tocarlo para instalaciones personales.
17. Activa si lo permitimos en el paso dos.
18. No es necesario tocar este apartado ya que plugins o templates de terceros podrían no funcionar bien si necesitan acceso estos ficheros.
19. No hace falta tocarlo para instalaciones personales.
20. Este punto puede romper los enlaces de las imágenes que ya tenemos. No es necesario tocar este punto para sitios sin mucha repercusión o propensos a posibles ataques ya que conlleva bastante trabajo dependiendo del tamaño del sitio.
21. Solo disponible si tenemos contratos en nuestro hosting, conexión SSL.

Si seguimos todos estos pasos podremos estar un poco más tranquilos contra ataques masivos a Wordpress. También es muy recomendable, tener actualizado Wordpress a la última versión y también todos sus plugins.

Si tenéis dudas concretas podéis preguntar en los comentarios. Para configuraciones más avanzadas, os podéis poner en contacto con nosotros aquí.