• Navega al azar. Pulsa las flechas y deja que la fortuna te dispense un artículo.

    miércoles, 17 de abril de 2013

    Cómo evitar que tu blog hecho con Wordpress sea atacado.

    Wordpress es una plataforma para blogs muy popular. Por tanto, también es susceptible de ser atacada y hackeada mediante sistemas de fuerza bruta. Es sencillo mantener un servidor dedicado exclusivamente a intentar entrar como administrador en blogs de Wordpress. El servidor localizará blogs hechos con Wordpress y ensayará miles o millones de passwords hasta conseguir entrar.

    ¿Cómo protegerse?

    Con sentido común y unas cuantas sencillas herramientas este tipo de ataques pueden minimizarse.

    1) En primer lugar, algo extremadamente sencillo. Cambia el nombre del usuario administrador por defecto. En vez de "Admin" utiliza cualquier otro. Solo con eso ya has dado un gran paso. Esto vale para cualquier otro sistema de gestión de blogs. Una vez creado un nuevo administrador elimina el que se llama "admin".

    2) Utiliza una password o clave fuerte. Para ello, por favor, repasa estas instrucciones y herramientas para crear claves seguras.

    Una vez que has cumplido con los dos puntos anteriores tu blog será casi invulnerable a ataques de fuerza bruta. Pero eso no impide que lo sigan intentando. Y esos intentos pueden ser tantos que lleguen a agotar los recursos disponibles según tu plan de hosting. Incluso pueden hacer que tu blog llegue a no estar disponible para los visitantes.

    Por ello, es necesario tomar una serie de precauciones y utilizar algunas herramientas de seguridad muy útiles.

    3) Limitar los intentos de entrar. Para ello nada más fácil que utilizar este plugin: Limit Login Attempts.

    4) Ocultar wp-admin. Mediante este plugin: Lockdown Wp-Admin la página de entrada a la administración del blog quedará oculta para los posibles atacantes. También puede agregar una autenticación adicional desde el propio wp-admin.

    5) Acceso solo para tu IP. Algunos hostings son fáciles de configurar para que solo acepten intentos de login de determinadas direcciones IP o bien, que no permitan hacer login a ciertas IPs. Si te conectas a Internet desde una IP fija puedes configurarlo. Sin embargo no debes hacerlo si tu IP cambia tras varios días o cada vez que te conectas pues de esta forma tú también tendrías dificultades para entrar. Es una opción a tener en cuenta solo si la IP desde la que te conectas es siempre la misma. O bien, una opción para el caso extremo de estar recibiendo muchos intentos de acceso fraudulento.

    6) Utiliza Cloudflare. La versión gratuita de Cloudflare es muy generosa proporcionando seguridad adicional a tu blog y acelerándolo. Basta con que te des de alta, configures las DNS para tu dominio (es un proceso automático) y cambies los DNS Servers de tu dominio a los que te proporcionará Cloudflare. Luego puedes ajustar el nivel de seguridad que prefieras o necesites.

    7) Monitoriza la actividad de tu blog. Por ejemplo, con el plugin ThreeWP Activity Monitor puedes comprobar cuantos intentos de hacer login han ocurrido, peticiones para cambiar claves, claves de usuario que se han cambiado y alguna cosilla más. Wordfence Security es un plugin imprescindible que monitoriza tu blog para intentar descubrir código malicioso, malware, puertas traseras y muchísimos otros datos que te permitirán darte cuenta de cualquier intento de ataque.

    Finalmente, cuando todo ha fallado y tu sitio ha sido atacado solo hay una cosa que te va a ayudar a volver a la normalidad: que tengas una copia de seguridad reciente de tus archivos y la base de datos. No te lo tomes a la ligera y convierte en una rutina hacer backups de archivos y base de datos

    Puedes programar backups con Online Backup for Wordpress y otros similares que, incluso, te enviarán la copia a tu dirección de correo.

    Por tanto, no hay excusas para mantener un blog seguro.


    2 comentarios:

    El Plus

    Conexiones



    El Twitter