Seguridad para tu Wordpress

De vez en cuando todos tenemos un poquito de miedo  de cierta vigilancia por parte de hacker’s de nuestros blog’s. Todos podemos tener al típico usuario cabreado con el mundo que sepa un poquito de cómo colarse en ciertos sistemas. Mirando un poco algunas páginas de Internet me he encontrado sobre todo con dos acciones muy buenas para proteger WordPress y el panel de Administración.

   1.- Login LockDowm un simple plugin que he encontrado en Anieto2K para WordPress creado con la idea de ayudarte y proteger un poquito mas el panel Login de administración. Lo que nos permite configurar este plugin es:  ” determinar la cantidad de intentos que se pueden realizar cuando el password es erróneo, y en que periodo de tiempo podemos volver a intentar (ej cada 5 minutos). En caso de que por ejemplo hemos especificado que solo se pueden realizar 3 intentos como máximo, y los tres inténtenlos han sido erróneos, automáticamente se bloquea el panel por un tiempo que nosotros podremos determinar (ej, debes volver a intentar dentro de 1 hora)“  Por tanto bloquea la IP de aquellos intentos de acceso fallidos que se suceden durante un determinado período de tiempo que nosotros especifiquemos.

  2.- Tip’s para proteger tu Worpress:  Que nos ayudan a tener una vigilancia menos férrea sobre todas nuestras subcarpetas y tener un poco más de seguridad de que no nos van a meter las narices donde no deben . Los cuatro tip’s que nos da son:

• Asegurar el directorio /wp-admin/ bloqueando el acceso a todo mundo, salvo a nuestra IP o a la de todas las personas que si conozcan el blog y lo usen desde el admin. La manera de hacerlo es mediante el fichero .htaccess. Por ejemplo, podríamos utilizar uno como éste:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# whitelist home IP address
allow from 64.233.169.99
# whitelist work IP address
allow from 69.147.114.210
allow from 199.239.136.200
# IP while in Kentucky; delete when back
allow from 128.163.2.27

• Escribir un fichero wp-content/plugins/index.html, de lo contrario los ficheros de los plugins podrían ser accesibles a cualquiera que quiera hackear tu blog, por ejemplo identificando algún plugin que este desactualizado y que tenga un bug.
• Suscribirse al blog de desarrollo de wordpress http://wordpress.org/development/feed/. Así estarás al tanto de las últimas versiones y patch del CMS.
• Ocultar la versión de WordPress para que no sepan a lo que se enfrentan. Por defecto la versión oficial de wordpress incluye el siguiente código en el header:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />

• Con ello, cualquiera podría identificar la versión del sistema y si no esta actualizada, pues vendrían los problemas. Ese código podríamos cambiarlo por:
  
  

<meta content=”WordPress” name=”generator” />

 ————————–

Nota:  H ay muchos más sistemas de protección de tu wordpress y archivos, pero la mejor contra-vigilancia es tener la suerte de no haber dado con un buen piratilla

LINK | Descara Login LockDown