Cómo proteger tu blog de los ataques

Publicado el 27 mayo 2014 por David Gomez @davidgomez_r

Has creado tu blog bajo wordpress y llevas ya varios meses o años trabajando en él cuando un buen día descubres que has desaparecido de las búsquedas. Miras en las herramientas de webmaster de Google y te dicen que tu blog está infectado de malware y ha sido marcado por ello. Cientos de horas de redacción, de SEO, de linkbaiting tirado por la borda en unos instantes. Cierto que puedes limpiar la web, pero volver a recuperar tu posición te va a llevar meses. Para intentar evitarlo vamos a ver algunas pautas de seguridad para proteger el blog.

Foto por MlhRadio en Flickr (CC)

Acceso

La primera barrera la tienes que poner en la puerta de entrada. Para ello es interesante que crees un usuario nuevo para la administración del blog y elimines el usuario “admin” que wordpress crea por defecto. Asimismo, usa contraseñas fuertes que combinen mayúsculas, minúsculas y números y cámbialas periódicamente y no te olvides de eliminar los “meta” de tu sidebar.

.htaccess

La siguiente barrera la tenemos en este fichero. Si tu sitio corre bajo Apache el fichero .htaccess se encarga, entre otras cosas, de establecer los niveles de seguridad del directorio en el que se encuentre, así como de los subdirectorios que cuelguen de él.

Una de las acciones que podemos hacer es editar este fichero y añadirle el código que puedes encontrar aquí.

Asimismo, y para proteger al propio fichero de accesos no autorizados puedes añadirle el siguiente código:

#proteger el archivo htaccess
htaccess>
order allow,deny
deny from all
</files>

Para rizar el rizo puedes añadir lo indicado en esta web para añadir una contraseña para proteger el directorio /wp-admin. Si usas esto no te olvides crear tu propio fichero .htpasswd en la otra web que te indica.

Plugins

La tercera barrera la tenemos en los plugins. Existen una buena lista de plugins que nos pueden ayudar para prevenir ataques y para actuar en caso de tener que corregir el problema. Entre ellos podemos destacar:

Firewalls

  • Wordfence.
  • WordPress Firewall 2
  • All In One WP Security

Backup

  • BackUpWordPress
  • WP-DBManager

Comportamiento

Finalmente, nada de esto sirve si no se tiene un poco de cuidado a la hora de trabajar el sistema. Por ello te recomiendo que:

  • Mantengas tus contraseñas protegidas.
  • Mantén actualizado tu sistema.
  • Descarga los plugins y las actualizaciones de wordpress de los repositorios oficiales y no uses plugins que lleven tiempo sin actualizarse.
  • Vigila que los enlaces que colocas en tu web sean de sitios seguros y que llevan tiempo activos.
  • Realiza copias de seguridad de la base de datos y de los contenidos periódicamente y almacena las últimas 5 ó 6 versiones.
  • Crea una cuenta en las herramientas para webmasters de Google y registra tu blog.
  • Si te es posible, utiliza un buen proveedor de hosting especializado en wordpress.

Conclusión

Evidentemente aún se puede rizar mucho más el rizo, pero siguiendo estas pautas le estarás complicando el trabajo al hacker de turno y podrás dormir un poco más tranquilo por las noches.

¿Utilizas algún otro plugin o técnica para proteger tu blog o vas “a pecho descubierto” (si es así mejor no lo digas)?

Me gustaría que nos dejes tus opiniones o comentarios, también puedes suscribirte gratis al blog para no perderte ningún artículo y, si te ha gustado, ayúdame a difundirlo compartiéndolo en tus redes.