WordPress es una plataforma magnífica que tenemos la suerte de disfrutar gratuitamente. Los desarrolladores merecen un premio por su constancia y esfuerzo. Aún así, nadie es perfecto y yo el primero. Por más que deseamos pulir un trabajo para que quede perfecto siempre nos quedará algo pendiente. Verbi gratia, el otro día estando con mi jefe descubrimos un fallo de WordPress por accidente. Esto demuestra que trabajando meses con una plataforma uno siempre está aprendiendo nuevas cosas cual padawan. El segundo fallo de seguridad que comentaré lo descubrimos al borrar una base de datos en un WordPress, el resultado fue curioso y la vez lógico.
Básicos
Realizar unos ajustes básicos y fáciles para incrementar la seguridad de nuestro blog es importante. Comentando muy brevemente: el nombre del usuario que no sea común, contraseñas con caracteres especiales, prefijo de la base de datos distinto al por defecto con wp, actualizaciones constantes de WordPres y plugins junto con mejoras en el fichero .htaccess conviene modificarlos para mejorar la seguridad. Además, la recomendación en el codex de WordPress sobre permisos en el servidor es: ficheros 644, directorios 755, .htaccess 644 y wp-config.php 440 o 400. Los permisos indican si los archivos pueden ser leídos, escritos y ejecutados por quién por medidas de seguridad.
Borrar readme.html, upgrade.php e install.php
En el proceso de instalación, WordPress no indica en ningún momento borrar el fichero install.php dentro de wp-admin. Pues es un error. Como comentaba al principio, hicimos la prueba vaciando la base de datos dando como resultado una nueva instalación desde cero. Es decir, si por cualquier motivo la base de datos queda vacía, todo el que entre en nuestra web puede volver a instalar el WordPress y ponerse como administrador. Por ende, nos puede hacer la puñeta bien grande si nos quiere hackear o nos quiere jorobar.
Además, no está de más renombrar o, incluso, borrar el fichero upgrade.php dentro del directorio wp-admin ya que informa sobre la base de datos de WordPress. En caso de que un futuro tengamos que actualizar WordPress manualmente si no funciona automáticamente conviene tenerlo a mano.
Por último, también es recomendable borrar el fichero readme.html en la raíz de nuestro directorio. En función de la configuración del servidor y archivo podrá accederse o no públicamente. Aquí aparece la versión WordPres del sitio. Para los hackers es ayuda para conocer vulnerabilidades dependiendo de la versión que empleamos.
Resumiendo: eliminar ficheros install.php y readme.html; upgrade.php renombrar.
Backups
Las copias de seguridad no pueden faltar. Las tenemos que realizar sobre los ficheros del servidor y de la base datos. Ambos dos. Para el primer caso depende el plan del hosting contratado para realizar más o menos copias de los archivos del servidor. Para automatizar el proceso de copiar la base de datos tenemos los plugins Backup, Backup Scheduler o WP Database Backup.
Plugins de seguridad
Aparte de algunos plugins de seguridad que ya comento en un post anterior, si tenéis algún otro de confianza y queráis compartir con la comunidad, dejad vuestra experiencia. Estas aplicaciones nos ahorran tiempo y esfuerzo en cuestiones técnicas para mejorar la seguridad de un WordPress que un recién llegado al mundo web no conoce. Asimismo, todos los plugins antispam para evitar los comentarios con enlaces llenos de publicidad y contenido pésimo inunden nuestro preciado blog con tonterías.
Sentido común
Muchas ocasiones es una herramienta muy útil que no sabemos usar. En Internet existen muchos gurús e iluminados que nos ilustran con su gran saber. Si tenemos dudas, preguntamos en soportes oficiales o sitios de gran reputación. Ya no somos niños en la escuela con miedo a las preguntas del profesor. Además, pasar el antivirus antes de subir cualquier archivo sospechoso a nuestro servidor es una buena práctica. Es más de una ocasión los ataques vienen desde dentro y no desde fuera.
Obviamente nadie nace sabiendo y muchos usuarios preferirán centrarse en contenido como Dios manda en un blog, dejando a un lado estos temas de seguridad. Por otro lado, están algunos chicos malos que pueden darnos un buen susto y perder gran parte de nuestro trabajo. La prudencia es una virtud para estar en el término medio, pero eso implica ni pasarse ni quedarse corto.
Muchas gracias por el artículo, cada año se incrementan los ataques en Wordpress y otras plataformas, la esencial es fundamental.