Tips para proteger una instalación de WordPress
Actualmente, existe una infinidad de blogs circulando por la red, y la gran mayoría de ellos son gestionados por uno de los mejores CMS que existen: WordPress, una auténtica maravilla en cuanto a blogging se refiere.
Y es por eso, que al ser el CMS más famoso y usado, es el que mayor riesgo sufre de ser víctima de ataques. Razón por la cual aquí en Código Geek hemos recopilado algunos consejos y tips para aumentar la seguridad de cualquier blog que sea gestionado bajo WordPress.
- Después de haber instalado, es necesario que borres el archivo install.php, que se encuentra en la carpeta /wp-admin/. No querrás saber lo que puede pasar si alguien ajeno a tu blog accesa a este archivo.
- Proteger el directorio /wp-admin/ (si haces esto, no será necesario borrar el install.php). Una alternativa para ello es colocar un archivo .htaccess en esa carpeta para impedir que otras computadoras puedan acceder a dicha sección; la protección puede ser tan específica que se puede dejar el acceso libre sólo a una dirección IP. Este es un ejemplo de cómo quedaría el archivo .htaccess (cambiando las IP’s por las suyas)
AuthUserFile /dev/nullAuthGroupFile /dev/nullAuthName “Access Control”AuthType Basic<LIMIT GET>order deny,allowdeny from all# whitelist home IP addressallow from 64.233.169.99# whitelist work IP addressallow from 69.147.114.210allow from 199.239.136.200# IP while in Kentucky; delete when backallow from 128.163.2.27</LIMIT>
- Colocar un archivo index.php en blanco en el directorio /wp-content/plugins/, con el fin de evitar que cualquier persona accese a ver el contenido de esta carpeta y vean tus plugins, ya que algunos de ellos pueden tener agujeros de seguridad que pueden ser aprovechados por algún lammer.
- Estar al tanto del Blog de Desarrollo de WordPress: Es primordial que cada vez que haya alguna actualización de seguridad, la instalemos, con el fin de evitar ataques o situaciones incómodas.
Fuentes: Bitperbit | WordPress Publisher Blog
Gracias por los consejos, nunca viene mal una repasada, en cuanto a: «pueden tener agujeros de seguridad que pueden ser aprovechados por algún lammer.» que bien dicho 😀
Saludos!
Jajaja si…
pensaba escribir hacker, pero ellos no hacen esas barbaridades… solo los lammers. 😛
Nunca esta de más saber esto xD… =P
Cheque la fuente de esto, y vi que en la carpeta de plugins mencionan que hay que crear index.html… No se si habría diferencia… Saludos
@ Lorenzo: Es lo mismo, da igual. Pero poner un index.php le da más estilo xD
sobre el punto 3, crear un «index». La cuestión es así (nunca está de más saberlo): por casi defecto los host vienen configurado para que al rutearse un directorio se busque cualquier pagina llamada index
o sea: si se escribe
midominio.com (directorio raiz)
o bien dominio.com/carpeta
o bien dominio.com/wp-content/plugins
en todos los casos, el servidor busca un archivo index y devuelve ese archivo como «contenido». Generalmente empieza por index.htm, sigue por index.html, y también los index.php index.asp index.dthml etc…
sino encuentra ninguno, y está permitido listar su contenido, directamente lista el contenido del directorio, visualizando todos los archivos del mismo…
Gracias por la información, la verdad es que hoy en día, es importante tener el WordPress lo más protegido posible.
PD: el archivo install.php que mencionáis como tan peligroso, no lo tenéis borrado.
Saludos
bauer: LA nota la hizo Alan y el no tiene acceso a esa parte, pero ya lo soluciones. Gracias
Salu2.
o_0 no lo habías borrado? chales…
Yo apenas empiezo con paraisogeek.com y ya lo borre xD
@Alan Rodriguez: Ah bueno, es que me quedé no sabía xDD.. jaja =P, pero siempre se aprende algo nuevo en el día 😉 Saludos
Pingback: Como protejer la instalacion de Wordpress » Nierox - El Blog De Todos
Pingback: Protege tu instalación de WordPress
Pingback: Esta lista SÍ es la buena: 100 tips, trucos, hacks, howtos, formas de… ¡whatever! | Blog en Serio
Cuando pongo el index.php (html, htm) funcion; efectivamente no se puede listar el directorio de plugins, pero tambien genera un pequeño desperfecto / error: cuando entro a la administración del sitio, clic en el menu «escritorio» no muestra el contenido (el index en blanco hace efecto aquí). Ridículo, pero cierto, lo acabo de probar.
Pingback: 10 plugin de seguridad para Wordpress | Codigo Geek
Pingback: Listado de 100 trucos, consejos y manuales para blogs « Helektron.com
Pingback: Siguen las vulnerabilidades en WordPress 2.6.2 « Chorradas que llegan al email
Orale, gracias por los consejos aunque sea de hace 1 año (: