La seguridad de nuestra web, ya sea creada con WordPress u otro sistema, debe estar siempre en mente. En la presente entrada veremos una serie de recomendaciones simples que debemos aplicar al instalar WordPress para mejorar la seguridad.

Debido a que WordPress es ampliamente conocido, al usarse ampliamente en numerosas webs y blogs, el número de intentos de ataques serán mayores que en una página creada desde cero.

Uno de los problemas con WordPress es que, en muchas ocasiones, se lo ponemos fácil al atacante dejando los valores por defecto en la instalación.

A la hora de instalar WordPress debemos seguir las siguientes recomendaciones:

• Crear una base de datos con un nombre no obvio. Evitar utilizar como nombre de la base de datos ‘wp’. Dependiendo de la empresa de alojamiento utilizarán nuestro nombre de usuario como prefijo del nombre de la base de datos, pero debido a que es posible que se pueda obtener el usuario no debemos utilizar tampoco ‘wp’. Debido a que no es necesario memorizar el nombre de la base de datos (podremos consultarlo en el archivo wp-config.php) podríamos utilizar cualquier nombre.
• Utilizar una clave compleja al crear la base de datos. Esta clave no debemos utilizar más que para configurar WordPress (posteriormente podemos consultarla en el archivo wp-config.php), así que debemos utilizar una clave compleja con caracteres, mayúsculas y minúsculas y números. Si el panel del alojamiento dispone de un generador de claves, como por ejemplo CPanel, es recomendable utilizarlo.
• No utilizar el prefijo ‘wp_’ en las tablas de la base de datos. Si alguien trata de acceder a la base de datos mediante una inyección de SQL se lo pondremos más difícil si desconoce sobre que tabla hacer el ataque. Por ejemplo un ataque sobre la tabla de usuario utilizaría la tabla wp_users pero si hemos cambiado el prefijo no tendría éxito ya que debería primero conseguir el nombre de la tabla.
• No utilizar el nombre de usuario ‘admin’ para el administrador. Al utilizar otro nombre de usuario imposibilita un ataque directo sobre el usuario. Previamente al ataque para obtener la clave el atacante debe conseguir conocer el nombre de usuario; si estamos usando el nombre de usuario ‘admin’ le estamos facilitando el trabajo.
• Utilizar una clave robusta para el usuario del administrador, no utilizar las claves obvias (1234, admin, el nombre del sitio, etc.). Siempre podremos recurrir a la utilizar de resetear clave si la hemos olvidado.

Estas cinco recomendaciones no aseguran que nuestra web se vea comprometida, tratamos de cambiar los valores por defecto de WordPress complicando de esta manera los posibles ataques automatizados.

Es importante además mantener actualizado tanto WordPress como los plugins y el tema en uso; igualmente disponer de una copia de seguridad reciente de la web.

IMPORTANTE: recuerda hacer una copia de seguridad antes de actualizar WordPress.

imagen: norebbo