[gn_heading style=»1″]WP Better Security: Un gran plugin de seguridad[/gn_heading]
Hace un mes WordPress sufría un ataque masivo conocido como «botnet«. Más de 100.000 bots atacaban simultáneamente a usuarios del CMS wordpress. Parece ser que HostGator y CloudFlare fueron las empresas proveedoras de Hosting que más sufieron dicho ataque.
Pero en realidad todos los que usamos WordPress estamos expuestos a este tipo de ataques. Es por ello que debemos tomar una serie de medidas desde el primer momento que instalamos nuestro WordPress para evitar sustos en el futuro.
El éxito del CMS WordPress no pasa desapercibido para los miles de hackers y piratas informáticos. Según W3Techs, hoy mismo, el 18,5 % de las webs del mundo están construidas bajo esta fantástica plataforma.
Cómo atacaron WordPress
Pues de la manera más sencilla, suponiendo que el acceso a las webs es el que se configura por defecto, es decir:
nuestraurl.com/wp-admin.
¿Y el usuario?. Exacto. Seguro que muchos de los que me estais leyendo aún teneis como usuario la palabra «admin»
[gn_pullquote align=»left»]dicho ataque se dirigió a las webs que tenían el acceso mediante wp-admin y el usuario admin[/gn_pullquote]De esta forma, si os fijais, ya le estamos dando demasiadas pistas a los creadores de esos ataques ¿no?. De hecho, dicho ataque se dirigió a las webs que tenían el acceso mediante wp-admin y el usuario admin. A partir de aquí probaron con miles de combinaciones para adivinar el password o contraseña y así poder acceder a la web.
Una vez explicado esto, queda claro qué es lo primero que debemos hacer para proteger nuestro WordPress.
El propio fundador de WordPress, Matt Mullenweg, escribió en su blog:
Esto es lo que yo recomiendo: si todavía utiliza ‘admin’ como nombre de usuario en su blog, cámbielo y utilice una contraseña segura.
Protegiendo nuestro WordPress
Desde Icare os recomendamos que utilicéis un maravilloso plugin llamado Better WP Security.
Hoy vamos a ver cómo cambiar simplemente el acceso y el nombre de usuario, debido a que el plugin trae otras muchas cosas para hacer nuestra web más segura y que requieren un articulo aparte.
- Descargamos el plugin desde el repositorio de wordpress: aquí. O bien desde el buscador de nuestro WordPress.
- Activamos el plugin
- En nuestro panel aparece una nueva pestaña llamada «Seguridad». Le damos clic.
- Lo primero que nos parecerá será una pantalla de inicio que nos pedirá hacer una copia de seguridad de la Base de datos. Podeis decirle que si y el programa lo hará. Si bien es recomendable, desde nuestro punto de vista, que la exporteis vosotros directamente desde vuestro phpadmin.
- La segunda pantalla nos indica que si permitimos al plugin cambiar archivos de wordpress. Le decimos que sí.
- Ahora esta maravilla de plugin nos dice si queremos proteger nuestro sitio ante ataques básicos. Obviamente, le decimos que sí de nuevo.
- Y ahora nos centraremos en la primera pestaña llamada «Dashboard». En esta vamos a centrarnos hoy en los puntos 4, 5 y 11. Recordamos de nuevo tener una copia de seguridad de la base de datos por si sale algo mal.
- Los puntos 4 y 5 no tienen secreto. Haces clic donde te pide y lo cambias. Es importante deciros que al cambiar el nombre de admin tendrás que volver a entrar en tu wordpress.
- El punto 11 debes dejarlo como te mostramos en la foto. Marcar el check de «Habilitar administración oculta» y poner en el «slug de acceso» la palabra nueva con la que se accedera a tu sitio. Es preferible que utilicéis palabras en castellano ya que la mayoría de los ataques a nivel mundial se suelen dar en inglés. De esta forma se lo ponemos un porquito más dificil a los atacantes.
Y ya está. Esperamos que os haya servido. ¡Gracias!