Contenido

10 pasos para proteger tu panel de administrador

27 ene

+ 17

Smashing Magazine ha hecho una recopilación de 10 pasos con los que proteger tu panel de administración en WordPress.

1. Renombra y sube la carpeta de tu WordPress.

Desde la versión 2.6 es posible cambiar la carpeta wp-content/ de WordPress a otra ruta, haciendo más dificil al localización del mismo, pero wp-admin/ (el lugar donde se encuentra el panel administrador) no es posible por el momento, la sociedad de usuarios de WordPress lo está pidiendo para próximas versiones.

Por defecto al descomprimir WordPress este, se despliega sobre la carpeta wordpress/, este directorio debería ser renombrado siempre, lo ideal sería algo más críptico, y posteriormente ajustaremos el fichero wp-config.php.

wordpress_wordpress_address

2. Extender el fichero wp-config.php

Ya vimos todo lo que el fichero wp-config.php nos ofrecía, pero además podemos añadirle una capa más de seguridad con unas claves personalizadas.

define('AUTH_KEY',        'aO@`@V. F&392KTGHV9+yL%!-Zx-B|>ujz@.SX=^MGE7f98;$`R^M(p97u+bm7Rw');
define('SECURE_AUTH_KEY', '&%O(s14++I|v;P>,[${Rq]nuk!4-MR$kmuU`P+#o%8`2n}Uy]?HRVG2J:RUD5TRU');
define('LOGGED_IN_KEY',   'je!#rS1Ujn66YF*s+Xa#Z+#f|]P$qjJO|q|Zs^PV{+Y9Q<&GH 1W Y_B9%m<&j4{');
define('NONCE_KEY',       'kC)?(.oU9c7jWU#fi8m3#7lVd)?XnakWPi$l/CXU-},Rb0+TpT5>b:|,7:2]`X7{');

Para obtener estos código la gente de WordPress nos ofrecío una url que nos las genera automáticamente y aleatoriamente haciendo más segura las claves. Estas serán usadas a modo de hash para encriptar los passwords que usemos en nuestro WordPress.

Simplemente tendremos que copiarlos dentro del fichero wp-config.php.

3. Mover el fichero wp-config.php

Está muy bien que podamos añadir una capa de seguridad al fichero wp-config.php, pero si este fichero no está debidamente protegido estamos perdidos. Para ello podemos optar por moverlo y ubicarlo en una ruta diferente a la de por defecto.

4. Proteger el fichero wp-config.php

Usando el fichero .htaccess que Apache nos brinda podemos proteger el fichero wp-config.php con 4 líneas que añadiremos dentro del fichero .htaccess.

# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

5. Borrar el usuarios admin

Al igual que en sistemas Unix, el usuario root(admin en nuestro caso) no debería usarse para nada, excepto para configuraciones concretas. Pero para añadir un grados más de seguridad borrarlo podría ayudarnos a proteger nuestro WordPress. 

Para ello previamente crearemos un usuario que asumirá los roles del administrador, de esa forma podremos seguir teniendo un usuario administrador que gestione las cosas que los usuarios editores y/o autores no pueden.

6. Usa contraseñas más seguras

Hay que pensar en contraseñas más complicadas y que sean dificiles de obtener reuniendo información nuestra. El usar carácteres especiales tales como acentos, %, $,¨,… ayudará a complicar la posibilidad de obtenerla mediante fuerza bruta.

Ahora con las versiones actuales de WordPress disponemos de una funcionalidad que nos va informando de la complejidad de la contraseña, de esta forma podemos asegurarnos de que sea complicada y dificil de obtener.

7. Protege el directorio wp-admin/

A la espera de que sea posible mover la carpeta wp-admin/ fuera del directorio público podemos proteger el acceso a dicho directorio con un sistema basado en .htaccess + .htpasswd

Se trata de definir un usuario y un password para acceder a este directorio, podemos usar herramientas que nos generan el contenido  que debería ir dentro del fichero .htpasswd.

8. Elimina información de la pantalla de login

La pantalla de Login es la puerta al panel de administración y eliminando información en caso de error evitamos dar pistas sobre los datos que se han introducido.

Para ello podemos añadir esto al fichero functions.php de nuestro theme.

add_filter('login_errors',create_function('$a', "return null;"));

Esto nos vaciará la salida de errores en el proceso de login.

9. Restringe el número de intentos de login

Para evitar que se puedan probar muchas veces y muchas combinaciones sobre nuestra pantalla login WordPress nos ofrece la posibilidad de definir el número de intentos de login posibles mediante el uso de uno de estos plugins:

  1. Login LockDown
  2. Limit Login Attempts

10. Mantente actualizado

Importantísimo, siempre estar actualizado, no solo a la versión de WordPress sinó a los plugins. Siempre salen versiones mejoradas y más seguras, estar a la última te puede ayudar a solventar un pequeño bug que no sabías que un plugin estaba provocando.

Hay muchas cosas involucradas en un WordPress (apache, php, mysql,…) que pueden estar comprometidas por un bug, y es muy dificil estar siempre al día para evitar posibles problemas. Conociendo algunas pautas generales de todo lo que será involucrado por lo menos lo pondremos dificil :D

Comentar

#

Me reservo el derecho de eliminar y/o modificar los comentarios que contengan lenguaje inapropiado, spam u otras conductas no apropiadas en una comunidad civilizada. Si tu comentario no aparece, puede ser que akismet lo haya capturado, cada día lo reviso y lo coloco en su lugar. Siento las molestias.