Seguridad Wordpress: Tutorial plugin Better Wordpress Security

Com molts sabreu, moltes de les instal·lacions Wordpress de tot el món han estat atacades per força bruta. L’atac intentava accedir a l’administració mitjançant reiterats intents en totes els Wordpress amb usuari ‘admin’ i URL d’accés ‘wp-admin’, és a dir la majoria, ja que poca gent és conscient del perill que suposen tenir configuracions comuns. No cal dir, que el primer que cal fer és tenir una contrasenya amb caràcters poc freqüents, tipus: () / -_ @% & $ …., no val tenir ‘admin2013’, ‘00000’, ‘123456 ‘, etc …, ja que aquests atacs sempre comencen amb aquestes contrasenyes.

Anem a posar una mica més difícil l’accés a la nostra administració Wordpress, usant el connector gratuït ‘Better Wordpress Segurity‘ desenvolupat per Bit51. Properament, escriurem alguna cosa semblant per Joomla !.

Descarreguem i instal·lem el connector normalment usant ‘afegir nou’ a la pàgina de plugins de Wordpress.

Nota: El connector ve traduït al castellà ‘gairebé’ completament.

Primer Pas: En activar el connector, ara apareix una nova casella en el nostre menú de l’administració, amb el nom de Seguretat. Anem cap a allà per iniciar la configuració. (Aquest mini tutorial, va dirigit a una configuració bàsica i apta per a principiants, suficient per a la majoria)

El primer que ens demana és fer una còpia de seguretat. La fem si no tenim un altre suport. Com jo acostumo a fer servir XCloner per a aquestes coses, em salt el pas. Heu de fer-la sinó teniu una còpia.

Segon pas: Donem permisos d’escriptura al .htaccess i wp-config.php, per així no haver de fer-ho nosaltres. El connector s’encarrega de tot. Si teniu alguna configuració especifica o voleu fer-ho vosaltres, denegar els permisos.

Tercer pas: Activem totes les funcions bàsiques del connector i que no alteraran el funcionament del nostre Wordpress.

Ja hem arribat a la pàgina principal del connector, on es descriuen les funcionalitats bàsiques que hem de tenir activades. Algunes de les blaves i les que estan en vermell necessiten de més configuració. En totes elles tenim un link al final que ens permet anar al lloc específic per arreglar-:

1- Com hem dit. És fonamental tenir contrasenyes fortes. Corregim això primer de tot. A partir d’ara tots els nous usuaris hauran d’establir un contrasenya forta com a mínim. Els ja existents, hem de solucionar nosaltres anant a la pestanya usuaris i canviant la contrasenya manualment.
2- En instal·lacions personals, aquest punt no ho necessitem.
Ok
3- Hem de canviar el nom d’usuari de l’usuari principal perquè sigui diferent a ‘admin’. Si en instal·lar el vostre Wordpress ja ho heu fet, aquest apartat sortirà en verd.
4- Tots els atacs per força, comencen a provar contrasenyes amb el nom d’usuari ‘admin’. Amb aquest simple canvi ja dificultem molt l’accés no desitjat. Posem el nom que vulguem.
5- Hem de canviar l’identificador que utilitza Wordpress, per a l’usuari principal que per defecte és sempre 1. Accedim al link i amb un simple botó fem la feina.
6- Si en instal·lar Wordpress no hem tingut en compte aquest apartat, no està de més fer-ho. Inclou un prefix en les nostres taules de la base de dades per fer-les úniques. Abans hauríem de tenir una còpia de seguretat per si de cas. Una altra vegada, usant el link de la dreta i després prement el botó indicat, fem la feina.
7- Sempre hem de tenir còpia actualitzades del nostre Wordpress. Nosaltres fem servir XCloner, que permet restaurar tot el Wordpress de manera bastant senzilla.
8- Valoreu si heu restringir la URL de la vostra administració per franges horàries.
9- Si activeu aquesta opció, totes les IP malicioses de la base de dades de HackRepair.com, seran automàticament bandejades i no podran accedir a la nostra web.
10- Part de la seguretat bàsica del connector però molt important. S’activa si hem permeto les funcions bàsiques del tercer pas. Banyera la IP si intenta accedir massa vegades a l’administració amb contrasenyes errònies.
11- Aquí podem canviar l’URL d’accés a l’administració de Wordpress, que com sabeu per defecte és ‘wp-admin’. Podeu posar la URL que vulgueu.
12- No cal tocar aquest apartat ja que plugins o templates de tercers podrien no funcionar bé si necessiten accés aquests fitxers.
13- Activada l’acceptar el pas 3.
14- Interessant el JavaScript està funciona per saber que arxius han estat modificat sense el nostre permís en cas d’atacs.
15- Podem limitar l’ús de URL molt llargues, que normalment intenten utilitzar vulnerabilitats de Wordpress. Hem d’estar segurs que no utilitzem URL molt llargues normalment.
16- No cal tocar-lo per a instal·lacions personals.
17- Activa si ho permetem en el pas dos.
No cal tocar aquest apartat ja que plugins o templates de tercers podrien no funcionar bé si necessiten accés aquests fitxers.
18- No cal tocar-lo per a instal·lacions personals.
19- Aquest punt pot trencar els enllaços de les imatges que ja tenim. No cal tocar aquest punt per a llocs sense gaire repercussió o propensos a possibles atacs ja que comporta prou feina depenent de la mida del lloc.
20- Només disponible si tenim contractes en el nostre hosting, connexió SSL.
21- Si seguim tots aquests passos podrem estar una mica més tranquils contra atacs massius a Wordpress. També és molt recomanable, tenir actualitzat Wordpress a l’última versió i també tots els seus connectors.

Si teniu dubtes concrets podeu preguntar en els comentaris. Per configuracions més avançades, us podeu posar en contacte amb nosaltres aquí.