Recomendaciones de seguridad en WordPress (Shared Hosting)

Tras mi último incidente con Rusos y Ucranianos en estas fiestas, decidí escribir este post, más bien por las limitaciones que te puedes encontrar a la hora de mitigar este tipo de ataques, en hostings compartidos, y sin la opción de poder utilizar IPtables + Fail2Ban, para poner fin al intento de ataque con una par de comandos linuxeros.

CUENTA DE ADMINISTRADOR

Esta cuenta solo se utilizara para tareas de administración, actualizaciones, instalación de plugins, etc… y como siempre una contraseña fuerte y un nombre de usuario que no indique su rol o tenga algo que ver con el nombre del blog, sus editores, o cualquier asunto relacionado con el blog.
Todas las entradas o páginas creadas, deben ser de un autor diferente al administrador.

ACCESO AL BACKEND DE WORDPRESS

La ruta de acceso debe cambiarse, podemos utilizar un plugin como WPS Hide Login o similar, la mayoría de ataques se realizan casi siempre con el nombre de usuario por defecto de wordpress, o algunos de los que se puedan encontrar en el blog, y utilizando la ruta por defecto de inicio de sesión (www.domino.es/wp-login.php).
Con este plugin lo que hacemos es cambar dicha ruta a otra, como por ejemplo, www.dominio.es/chiquilicuatre , y así evitar ataques automatizados.

LIMITE DE INTENTOS DE LOGIN

Una de las medidas más habituales es limitar los intentos de acceso/error a nuestro wordpress, para ello podemos utilizar Wp limit login attempts, así evitaremos ataques por fuerza bruta, fácil de usar y configurar.

 

BLOQUEO POR PAÍS

Otro plugin que nos puede venir muy bien es ip geo block, una pequeña joya muy completa y útil en este tipo de escenarios, pero recomiendo antes de utilizarlo echar un vistazo a su codex, para saber cómo configurar el plugin y sacarle el mayor provecho.

Con este plugin podemos bloquear el acceso por país, rangos o excluir o agregar ip`s  , además de crear listas (blanca o negra), una vez bloqueado el acceso, puedes redirigir el tráfico hacia una página 503, o una URL de tu elección, muy útil la verdad.

FIREWALL O SUITE DE SEGURIDAD

Otra medida importante es utilizar algún tipo de Firewall o suite de seguridad, podemos encontrar varias muy completas y que además, incluyen algún tipo de protección como los plugins indicados anteriormente.
Entre ellas podemos destacar 3, iThemes Securitysucuri-security, y All in one wp security and firewall.


Las opciones de estas 3 suites son muy amplias, y además nos pueden guiar a la hora de securizar nuestro wordpres con sus recomendaciones, scanners de malware, virus o firewall, si a esto le unimos algún tipo de Backup automático como Updraftplus, y mantenemos los plugins y wordpress actualizado, le pondremos las cosas un poco mas difícil, a los chicos malos en sus ataques automatizados a nuestro hosting compartido.

2 opiniones en “Recomendaciones de seguridad en WordPress (Shared Hosting)”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *