Tips para proteger una instalación de WordPress

wordpress-logo.jpgActualmente, existe una infinidad de blogs circulando por la red, y la gran mayoría de ellos son gestionados por uno de los mejores CMS que existen: WordPress, una auténtica maravilla en cuanto a blogging se refiere.

Y es por eso, que al ser el CMS más famoso y usado, es el que mayor riesgo sufre de ser víctima de ataques. Razón por la cual aquí en Código Geek hemos recopilado algunos consejos y tips para aumentar la seguridad de cualquier blog que sea gestionado bajo WordPress.

  1. Después de haber instalado, es necesario que borres el archivo install.php, que se encuentra en la carpeta /wp-admin/. No querrás saber lo que puede pasar si alguien ajeno a tu blog accesa a este archivo.
  2. Proteger el directorio /wp-admin/ (si haces esto, no será necesario borrar el install.php). Una alternativa para ello es colocar un archivo .htaccess en esa carpeta para impedir que otras computadoras puedan acceder a dicha sección; la protección puede ser tan específica que se puede dejar el acceso libre sólo a una dirección IP. Este es un ejemplo de cómo quedaría el archivo .htaccess (cambiando las IP’s por las suyas)

    AuthUserFile /dev/nullAuthGroupFile /dev/nullAuthName “Access Control”AuthType Basic<LIMIT GET>order deny,allowdeny from all# whitelist home IP addressallow from 64.233.169.99# whitelist work IP addressallow from 69.147.114.210allow from 199.239.136.200# IP while in Kentucky; delete when backallow from 128.163.2.27</LIMIT>

  3. Colocar un archivo index.php en blanco en el directorio /wp-content/plugins/, con el fin de evitar que cualquier persona accese a ver el contenido de esta carpeta y vean tus plugins, ya que algunos de ellos pueden tener agujeros de seguridad que pueden ser aprovechados por algún lammer.
  4. Estar al tanto del Blog de Desarrollo de WordPress: Es primordial que cada vez que haya alguna actualización de seguridad, la instalemos, con el fin de evitar ataques o situaciones incómodas.

Fuentes: Bitperbit | WordPress Publisher Blog

 

Hernan Cabrera

Argentino, blogger y laburante de Internet desde 2005, tengo el placer de vivir de lo que me gusta. Hoy ocupo mi tiempo en mantener una red de sitios multitematica y buscar nuevos nichos de mercado. Me pueden seguir en Twitter @HernanMDQ

18 comentarios en «Tips para proteger una instalación de WordPress»

  • el 20/01/08 a las 14:42
    Enlace permanente

    Gracias por los consejos, nunca viene mal una repasada, en cuanto a: “pueden tener agujeros de seguridad que pueden ser aprovechados por algún lammer.” que bien dicho 😀
    Saludos!

  • el 20/01/08 a las 16:29
    Enlace permanente

    Jajaja si…
    pensaba escribir hacker, pero ellos no hacen esas barbaridades… solo los lammers. 😛

  • el 20/01/08 a las 17:27
    Enlace permanente

    Cheque la fuente de esto, y vi que en la carpeta de plugins mencionan que hay que crear index.html… No se si habría diferencia… Saludos

  • el 21/01/08 a las 7:03
    Enlace permanente

    sobre el punto 3, crear un “index”. La cuestión es así (nunca está de más saberlo): por casi defecto los host vienen configurado para que al rutearse un directorio se busque cualquier pagina llamada index

    o sea: si se escribe
    midominio.com (directorio raiz)

    o bien dominio.com/carpeta
    o bien dominio.com/wp-content/plugins

    en todos los casos, el servidor busca un archivo index y devuelve ese archivo como “contenido”. Generalmente empieza por index.htm, sigue por index.html, y también los index.php index.asp index.dthml etc…

    sino encuentra ninguno, y está permitido listar su contenido, directamente lista el contenido del directorio, visualizando todos los archivos del mismo…

  • el 21/01/08 a las 16:06
    Enlace permanente

    Gracias por la información, la verdad es que hoy en día, es importante tener el WordPress lo más protegido posible.
    PD: el archivo install.php que mencionáis como tan peligroso, no lo tenéis borrado.
    Saludos

  • el 21/01/08 a las 16:45
    Enlace permanente

    bauer: LA nota la hizo Alan y el no tiene acceso a esa parte, pero ya lo soluciones. Gracias

    Salu2.

  • el 21/01/08 a las 17:22
    Enlace permanente

    @Alan Rodriguez: Ah bueno, es que me quedé no sabía xDD.. jaja =P, pero siempre se aprende algo nuevo en el día 😉 Saludos

  • Pingback: Como protejer la instalacion de Wordpress » Nierox - El Blog De Todos

  • Pingback: Protege tu instalación de WordPress

  • Pingback: Esta lista SÍ es la buena: 100 tips, trucos, hacks, howtos, formas de… ¡whatever! | Blog en Serio

  • el 14/03/08 a las 20:08
    Enlace permanente

    Cuando pongo el index.php (html, htm) funcion; efectivamente no se puede listar el directorio de plugins, pero tambien genera un pequeño desperfecto / error: cuando entro a la administración del sitio, clic en el menu “escritorio” no muestra el contenido (el index en blanco hace efecto aquí). Ridículo, pero cierto, lo acabo de probar.

  • Pingback: 10 plugin de seguridad para Wordpress | Codigo Geek

  • Pingback: Listado de 100 trucos, consejos y manuales para blogs « Helektron.com

  • Pingback: Siguen las vulnerabilidades en WordPress 2.6.2 « Chorradas que llegan al email

  • el 15/09/09 a las 17:59
    Enlace permanente

    Orale, gracias por los consejos aunque sea de hace 1 año (:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.