WordPress Logo
Hace algún tiempo atrás mi blog fue hackeado y en el código fuente de este aparecía una gran cantidad de información referente a drogas de abuso y otros medicamentos. Dicho texto se encontraba en el meta tag del blog dentro del header y por lo tanto no era visible directamente en el blog, pero lo ralentizaba notoriamente y hacía que el tiempo de procesador usado por mi hosting se disparara y el blog arrojara error 505.
Afortunadamente encontré información que permite asegurar la instalación de WordPress y hacer que sea mucho más difícil de hackear, no imposible por supuesto, pero al menos hacer que el trabajo de estos “chupasangre” sea más complicado.
La información necesaria para asegurar la instalación de WordPress la pueden encontrar en ANieto2k, Pro Blog Dessign y Blog Security bastante bien detallada y por lo tanto sólo comentaré los puntos en que tuve algunas dificultades.
Es importante modificar el prefijo de las tablas de WordPress, pues el no utilizar el prefijo estándar hará más dificil a los hackers ingresar a la base de datos a la fuerza. Esto se puede realizar editando el archivo wp-config.php, pero además requiere modificar la base de datos SQL de WordPress en forma manual, lo cual está explicado en el documento PDF de Blog Security. Una forma sencilla de hacerlo cuando ya tienes WordPress instalado, es usar el plugin WP Prefix Table Changer.
Otra cosa imprescindible de realizar es proteger el acceso a la carpeta wp-admin con contraseña usando htaccess. Andrés Nieto comenta acerca de la existencia de herramientas online que permiten crear los archivos htaccess y htpasswd necesarios, pero en mi caso no funcionaron y la solución final fue utilizar las herramientas que proveía mi hosting en el panel de herramientas. Aparentemente cada hosting tiene un algoritmo propio para la codificación de la información contenida en el archivo htpasswd.
Todos los tutoriales concuerdan en que la utilización de SSL (HTTPS) favorece la seguridad de WordPress, sin embargo en algunos hosting esto tiene un valor adicional, como es mi caso con DreamHost, así que obviamente como ya tengo un servidor virtual privado, deseché dicha opción.
Por supuesto también es imprescindible evitar que puedan listar el contenido de los subdirectorios, y evitar el hotlinking tanto de imágenes como de archivos que tengas alojados en el blog, pues esto evita el abuso de ancho de banda.
Afortunadamente con todo esto el blog ya no tiene código maliciosamente insertado en su fuente, los spam dejaron de ser tan continuos también gracias al plugin Bad Behavior, y el consumo de tiempo de procesador y ancho de banda se estabilizaron en valores normales. Si tienen problemas del mismo tipo les recomiendo seguir las mismas medidas, y si no tienen problemas, pues es mejor prevenirlos que lamentarlo después.
Links:
0 Responses to “Asegura tu instalación de WordPress”