Recomendaciones para los ataques masivos a WordPress 2013

Desde principios de 2013, se viene advirtiendo un incremento significativo de los ataques de fuerza bruta dirigidos a servidores que hospedan cuentas con wordpress como CMS.

proteccion wordpress 2013

Recientemente, han aparecido vulnerabilidades importantes que pueden subsanarse con una simple actualización del core de wordpress, aunque si lo que pretendemos es asegurar un poco más nuestro blog, es mejor adoptar una serie de recomendaciones de utilidad (algunas de ellas ya salen en el post de los 40 pasos):

  • Suprimir el usuario ADMIN y sustituir los privilegios de administrador con otro nombre de usuario.
  • Asignar una contraseña fuerte, entre 15-20 carácteres ya es suficiente, pero que contenga números, símbolos y alternador minúscula y mayúscula.
  • Actualizar las últimas versiones de WP Super Cache y W3TC ya que las versiones anteriores poseen una grave vulnerabilidad con mfunc. Si los comentarios en tu blog están desactivados, mejor. Si no, actualiza o utiliza un sistema externo tipo disqus o intensedebate.
  • Mínimamente protege tu wordpress con algunos de estos 3 plugins de seguridad: WP BETTER SECURITY, WORDFENCE o BULLETPROOF SECURITY (BPS).
  • Si es posible, asigna mínimo CHMOD 600 a wp-config.php y wp-settings.php, sobretodo si estás en una cuenta shared o utilizas un hosting multisitio con varios wordpress.
  • Refuerza el blindaje de fuerza bruta con uno de estos 2 plugins: Limit Login Attemps o Login Lockdown.
  • Como alternativa, puedes darte de alta en Cloudflare. Cambiar las DNS de tu dominio, apuntar a los nombres de servidores que te indica el sistema y luego instalar el plugin Cloudflare para wordpress. El nivel de seguridad     lo puedes dejar en LOW ya que sino puedes tener algún problema con el tráfico entrante.

Con estos pasos puedes asegurarte un wordpress a prueba de rastreos aunque el 100% no es posible conseguirlo. Si en tu hosting estás trabajando con cPanel, recuerda al administrador la implementación de cpHulk o fail2ban en el sistema. Además de ello, es recomendable ocultar las versiones php, apache y bind.

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *