En los últimos tiempos, la frecuencia con la que vemos noticias sobre sitios hackeados o incluso sitios donde navegamos habitualmente que entramos un día y están caídos, se está volviendo mayor. Una buena forma de poner barreras ante este tipo de cosas es asegurar nuesto software, y si utilizamos este sistema seguidamente veremos como mantener seguro wordpress.
Hay infinidad de plugins diseñados para mantener una instalación segura de WordPress ante ataques de cualquier tipo. Esto lo hacen parcheando algunas vulnerabilidades que pueda tener el sistema, chequeando exploits o manteniendo simplemente un ojo abierto sobre todo tipo de cosas sospechosas.
Cada plugin tiene su funcionamiento para una acción específica o varias funcionalidades en uno solo, de todas formas vamos a ver los más interesantes para tener el sistema más seguro posible.
BulletProof Security
Como su nombre indica «A prueba de balas», este es uno de los addons más interesantes que hay en la comunidad WordPress. Está pensado para ofrecer protección contra intentos de hackeo XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL Injection hacking.
Implementa la protección a través del archivo .htaccess, que es cargado antes de que ningún código malicioso tenga la oportunidad de ejecutarse en nuestro sistema, lo que le permite bloquear previo ataque cualquier intento de este tipo. Con este plugin protegeremos tanto la carpeta principal de nuestro sitio como la de administración.
Los archivos protegidos incluyen wp-config.php, bb-config.hpp, php.ini y php5.ini. Además las características básicas incluyen la desactivación de errores en la base de datos y también la eliminación de la versión de WordPress además de otros.
http://wordpress.org/plugins/bulletproof-security/
Wordfence
Otro buen plugin para mejorar nuestra seguridad incluso si tenemos un MultiSite o una versión en red de nuestro WordPress. Incluye protección antivirus y también firewall.
Este plugin comprueba la integridad de los archivos de restauración, el core y los archivos del template que tengamos instalado. Es gratis pero dispone de una versión premium que tiene ciertas funcionalidades extendidas.
El firewall es capaz de distinguir Googlebots falsos para así poder bloquearlos y otros riesgos para la seguridad, incluso es capaz de bloquear redes enteras.
El antivirus es capaz de detectar la gran mayoría de los malwares y también analiza los archivos en busca de backdoors de tipo RootShell, Crystal Shell, Matamu, C99, R57, Sniper, Predator, Jackal, y otros.
También tiene técnicas para poder envitar ataques DDoS.
http://wordpress.org/plugins/wordfence/
Better WP Security
Este plugin trata de esconder que tipo de sistema utilizamos ocultando los comportamientos típicos de WordPress. De esta forma un atacante no necesariamente sabe qué tipo de sistema está atacando
Las cosas principales que cambian para evitar que el atacante conozca demasiado sobre nuestro sitio son:
- Eliminar el meta generator tag
- Cambiando las urls para login, admin, etc.
- Eliminando la información de header relacionada con Windows Live Writer y RSD
- Renombrar la cuenta admin si existe y cambiando su ID para que no sea 1
- Cambiando el prefijo de la base de datos por otro diferente a wp_
- Cambiar la carpeta de wp-content por otra ruta
- Eliminar mensajes de error al conectar
- Haciendo un random de la versión para los no administradores.
Para poder recuperarnos de un ataque, podemos configurarlo para que nos envie por email una copia de seguridad de la base de datos de forma automatizada.
Better WP Security funciona con Apache, LiteSpeed y NGINX además de soportar instalaciones multisite de WordPress.
http://wordpress.org/plugins/better-wp-security/
All In One WP Security & Firewall
Lo primero que vemos en este plugin es que nos va a dar una puntuación de seguridad del sitio basandose en varios puntos a tener en cuenta. Sus funcionalidades son bastante extendidas así que explicaremos un poco de qué se trata.
Podremos cambiar el nombre de usuario de admin si existe. Esto proporciona un punto extra de seguridad ante ataques de crackers (los hackers no van a joder) ya que sus bots no van a saber qué nombre de usuario probar con contraseñas automatizadas.
Cuando hay múltiples intentos de login fallidos, la ip es bloqueada durante un tiempo antes de que pueda volver a conectar. Se puede configurar también para que envíe una alerta a los administradores.
Para facilitar la restauración, se pueden configurar copias automáticas de la base de datos en una tarea programada para que se envíen eventualmente por email. Además es capaz de cambiar el prefijo de la base de datos para evitar que los hackers conozcan el nombre de nuestras tablas y así evitar intentos de acceso o inyecciones.
Lista negra por ip o rango de ips para evitar que ni siquiera accedan a nuestro sitio. Por ejemplo todas esas ips susceptibles de comportamientos extraños, que no van a proporcionar jamás una visita de calidad hacia nuestros sitios.
Bloqueo de código malicioso a través de .htaccess.
Disponemos también de varias herramientas extra que nos pueden resultar muy interesantes y por lo que se convierte en un plugin necesario en nuestro wordpress.
http://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
¿Conoces algún otro plugin para mejorar la seguridad en wordpress que debamos comentar?
