Así como a diario existe una gran cantidad de blogueros que proponen contenido en sus diferentes blogs de WordPress, también hay la presencia de una gran cantidad de hackers que intentan vulnerar todo tipo de seguridades de este entorno de trabajo.
Son diferentes motivos por los cuales un hacker se propondría en vulnerar la seguridad del blog de WordPress, quienes de manera general suelen intentar eliminar todo el contenido de estos sitios web o captar al mismo, para tratar de re publicarlos en otros diferentes; por si esto nos llegase a pasar en un momento determinado, la tarea de realizar una copia de seguridad de todo el contenido de nuestro blog de WordPress tiene que ser uno de los aspectos más primordiales para ejecutar en este mismo momento, algo de lo cual inclusive ya lo mencionamos en un artículo anterior.
Ahora bien, vale la pena mencionar unos puntos aspectos que quizá sean de desconocimiento de muchas personas, pues al haber sugerido que un hacker quiere violentar o vulnerar un blog de WordPress, bajo ningún aspecto estamos tratando de hacer referencia que dicho sitio web ha sido elegido por tal motivo. En la mayoría de los casos esta situación se presenta por un hecho completamente puntual pero no super-puntual.
Lo que un hacker podría llegar a hacer en un momento determinado, es tratar de vulnerar a algún servidor de web hosting, lugar en donde pueden estar alojados una gran cantidad de blogs de WordPress; si este web hosting (sus servidores) no cuentan con una seguridad de cifrado alta, para un hacker sería una de las tareas más fáciles de ejecutar a la hora de intentar ingresar a dicho entorno. Si se ha logrado ingresar a todo este «hotel de apartamentos de blogs de WordPress», entonces quizá sea un poco más fácil también descubrir las contraseñas y otros cuantos aspectos más de cada uno de estos blogs.
Ahora bien, la seguridad de un blog de WordPress puede ser mayor a la de otro que también se encuentra alojado en el mismo web hosting, algo que se diferencia por la cantidad de plugins que pueden llegar a tener aquel que esta protegido (especialmente plugins de protección) y también, las más recientes actualizaciones que se tendrían que realizar para dicho blog. Recordemos que WordPress siempre propone actualizaciones grandes y pequeñas, siendo estas últimas las que en realidad hacen referencia a parches de seguridad para que nadie pueda vulnerar el blog.
Por tal motivo, ahora mismo sugeriremos a unos cuantos consejos que puedes seguir puntualmente o a todos en general, ello con el único objetivo de fortalecer la protección que hayas adoptado para tu blog de WordPress.
1. Iniciar sesión en el blog de WordPress con un correo electrónico
Cuando a un bloguero se le entregan las credenciales de acceso a su blog de WordPress (por primera vez), el administrador del web hosting generalmente coloca el nombre de usuario como «admin» y una contraseña numérica que generalmente es «123456». Estos dos aspectos serán trabajados primordialmente por un hacker cuando encuentre alguna vulnerabilidad blog de WordPress, pues el nombre de usuario y la contraseña no suele ser cambiada por el administrador del blog. Por tal motivo, te recomendamos ahora mismo que intentes realizar este cambio por algo completamente diferente.
Un mejor consejo que podríamos dar en este momento, es que no se utilice al «admin» como nombre de usuario sino más bien, a una cuenta de correo electrónico; la misma puede ser cualquiera que nosotros deseemos, ello a pesar de que la misma no pertenezca a la que usamos regularmente en nuestro trabajo o de forma personal. El correo electrónico que coloquemos como nombre de usuario tiene que ser real, pues en el supuesto caso de que perdamos los privilegios de entrada, a ese correo electrónico será a donde tendrá que enviase la nueva contraseña de acceso. Ahora bien, previamente deberías de mencionar al administrador del web hosting que deseas utilizar un dato específico como credenciales de acceso, pues el primero que se llegue a generar (admin) simplemente no podrá ser eliminado.
Bajo esta situación, a dicha cuenta de «admin» en el blog de WordPress se la puede dejar sin uso y más bien, generar otra diferente con permisos de administrador. Si por alguna razón no puedes crear una nueva cuenta de administrador, ello no debería ser ningún tipo de problema, ya que en dicho caso se debería crear una cuenta de «colaborador» con privilegios de «administrador», siendo esta última la que utilizaremos únicamente para ingresar al blog. Si todo ello te parece demasiado conflictivo, entonces te recomendamos utilizar un sencillo plugin que te ayudará a crear un correo electrónico basado en el nombre de autor que utilizarás en cada uno de tus posts.
El plugin tiene el nombre de «WP Email Login» y al mismo lo puedes ubicar dentro del repositorio de WordPress; también podrías descargarlo, aunque ello representará tener que subir al plugin bajo la modalidad nativa del Gestor de Contenido. Lo único que necesitas hacer, es instalar y activar a este plugin, debiendo posteriormente cerrar la sesión e iniciarla nuevamente utilizando al correo electrónico que esta vinculado al blog de WordPress.
2. Ocultar el número de versión de WordPress que utilizas en el blog
Una gran cantidad de personas suelen colocar este dato dentro de la información de su blog de WordPress, algo que generalmente puede estar contemplado en la parte final del sitio web a manera de un «pie de página»; si un hacker especializado esta intentando vulnerar la seguridad de tu blog de WordPress específicamente, este dato de la versión de WordPress que dispongas le será de mucha utilidad, pues sabrá qué herramientas utilizar para descifrar las credenciales de acceso.
Para este tipo de situaciones, la eliminación del dato de la versión de WordPress que dispongamos en nuestro blog es algo muy sencillo de realizar; solamente deberíamos de ingresar hacia el entorno de nuestro sitio web utilizando un cliente ftp, ello para ubicar al archivo readme.html, al cual debemos eliminar.
3. Cambiando el nombre del prefijo en las tablas de WordPress
Las opciones por defecto de WordPress cuando se lo ha instalado deben ser modificadas, pues caso contrario, se mantendrán determinados prefijos que puede ser fácilmente detectables por un hacker. De manera primordial estamos haciendo referencia a los prefijos wp_post o wp_users, mismos que podrían ser hallados y vulnerados fácilmente por este hacker.
Una manera idónea de poder cambiar dicho prefijo es utilizando al plugin de nombre «Change DB Prefix«, mismo que nos ayudará con tal tarea cambiando al prefijo «wp_» por otro diferente. Nosotros somos quienes podrán personalizar a este nuevo prefijo, debiendo ser inteligentes a la hora de definir los caracteres que formarán parte del mismo para que nadie los pueda identificar o descifrar en ningún instante.
4. Evitar que nuestros visitantes naveguen por la estructura del blog
Si no hemos protegido correctamente al blog de WordPress, un usuario puede llegar a reconocer la estructura de nuestro blog de WordPress; por ejemplo, con sólo saber ubicación de una imagen que está formando parte de nuestro post, un hacker especializado podría empezar a descifrar la estructura del blog para descubrir, el lugar en donde se encuentran las imágenes, fotografías, vídeos, plugins, temas y otros cuantos elementos más. Si esto se llegase a dar de tal manera, el hacker intentará secuestrar a la plantilla de WordPress que estés utilizando (sólo por dar un pequeño ejemplo de ello) y posteriormente, usarla o venderla en el mercado negro de la web. Hablamos específicamente de plantillas de WordPress de pago o también de plugins que hemos adquirido comprándolos en diferentes tiendas online.
Para evitar este tipo de situaciones, un sencillo truco nos ayudará a ocultar toda la navegación que forme parte de la estructura de nuestro blog de WordPress; el truco menciona, tener que abrir el archivo .htaccess y agregar la siguiente línea en la parte superior del documento:
Con ello, toda la estructura de nuestro blog de WordPress (en cuanto a la navegación) permanecerá oculta, lo cual quiere decir que será invisible para todo el mundo exterior a nuestro sitio web.
5. Cambiar las claves de seguridad de nuestro blog de WordPress
Esta viene a ser otra excelente alternativa que podríamos llegar a contemplar sin la necesidad de usar plugins. Para ello, solamente tendríamos que buscar al archivo wp-config.php que se ubica dentro del directorio de WordPress; allí mismo tendremos la posibilidad de admirar a las claves, las cuales al tener valores por defecto deberían ser cambiadas por otras completamente nuevas.
Al realizar esta operación, nuestra contraseña de acceso al blog de WordPress quedará mejor resguardada, no siendo posible que alguien las pueda descifrar aún cuando haya conseguido «nuestros cookies» de navegación. Recordemos que estos pequeños elementos pueden ser capturados por un hacker especializado, quien descifrará la contraseña de acceso a un entorno específico. Al haber operado como lo hemos sugerido en el párrafo superior estaremos fortaleciendo la seguridad de estas contraseñas.
Verificar la integridad de los plugins que hemos instalado en WordPress
En el repositorio de WordPress existe una gran cantidad de plugins que podríamos estar descargando, instalando y ejecutando en el blog de WordPress, mismos que tienen que pasar por determinadas normativas para estar presentes en este entorno. De todas maneras, siempre podría existir la posibilidad de que alguien (un hacker) haya integrado algún plugin dentro de este repositorio de WordPress, ello con el objetivo de que su código malicioso quede registrado dentro del entorno del blog y así, sea más fácil vulnerar su seguridad. Por tal motivo, ahora sugeriremos a unos cuantos plugins y trucos que podríamos estar utilizando para conocer si los «plugins instalados en el blog de WordPress» tienen algún tipo de «código malicioso» en su entorno.
1. Exploit Scanner
Este es un interesante plugin que podríamos utilizar para detectar si existe alguna anomalía dentro del entorno del blog. Lo que primero hará Exploit Scanner es buscar en cada una de las entradas (los posts) y archivos en general, a algún tipo de código malicioso. El plugin también tiene la posibilidad de detectar enlaces spam, bloqueando su función si la misma es perjudicial para sitio web.
2. Wordfence Security
Este es uno de los plugins de protección para el blog de WordPress más poderosos que existen en la actualidad, debiendo por tal motivo tratar de adquirirlo para que siempre mantenga a salvo la información que con tengamos en el sitio web. Wordfence Security simplemente realiza una pequeña comparativa entre los archivos que forman parte de la base de datos de WordPress, con aquellos archivos originales. Si estamos hablando de un plugin que hemos descargado, instalado y activado desde el repositorio de WordPress, Wordfence Security detectará si existe algún tipo de diferencia o anomalía en el que tenemos instalado dentro de nuestro Gestor de Contenido.
3. WordPress Sentinel
A pesar de que este plugin no ha sido actualizado en dos años aproximadamente, pero quienes lo han utilizado confirman que viene a ser una excelente alternativa para proteger la seguridad de nuestro blog de WordPress. Aquí también se hará una comparación entre nuestros archivos instalados, y aquellos que están en el repositorio.
4. WP Updates Notifier
Lo primero que vemos cuando ingresamos al blog de WordPress, es al «panel de administración»; algunas personas suelen programar al sitio web para saltarse esta área, lo cual es perjudicial ya que no sabremos si en un momento determinado existe una nueva actualización del «gestor de contenidos» o de alguna plantilla de WordPress. Lo único que tenemos que hacer, es instalar el plugin WP Updates Notifier y listo, cada vez que lleguen mensajes o notificaciones sobre una nueva versión de WordPress, o del tema que tenemos instalado en el sitio web, un mensaje de correo electrónico se enviará hacia nosotros para que procedamos con las respectivas actualizaciones.
5. VIP Scanner
Hay ocasiones en las cuales nuestro tema de WordPress podría llegar a fallar, si en un momento determinado hemos eliminado algún archivo que forme parte de esta plantilla. VIP Scanner es un plugin que nos ayudará a revisar si existe algún tipo de problema o incompatibilidad en la Plantilla; si se ha insertado algún código de publicidad, este plugin también lo llegará a detectar para recomendarnos, su eliminación.
WordPress es un excelente «gestor de contenido cms» abierto al público, pues caso contrario no tendríamos la posibilidad de difundir contenido que hemos publicado en cada uno de los posts. Dentro de este «gran público» que es nuestra audiencia, bien podría estar un hacker especializado y que intentará, vulnerar la seguridad de nuestro blog de WordPress. Por tal motivo, cada uno de los plugins y consejos que hemos sugerido anteriormente pueden ser de mucha utilidad para ti, debiendo elegir de entre todos ellos, aquel que se ajuste a tus necesidades y también, conocimientos.
