Uno de los problemas que te puedes encontrar en tu blog es que algún hacker intente hacerse con su control y esto puede no ser nada bueno. Hace bastantes años me ocurrió una vez con uno de mis sitios cuyo CMS no estaba actualizado a la última versión. Un día encontré que su página inicial había cambiado radicalmente con un mensaje de aviso, es lo que se llama técnicamente un ‘deface’, es decir, alguien modifica tu sitio web sin que te des cuenta y sin tu permiso.
Afortunadamente, se trató de un hacker blanco que me avisaba de la vulnerabilidad, actualicé el CMS y solucioné el problema fácilmente. En otras ocasiones, la cosa puede no ser tan sencilla como esto e incluso te puedes encontrar con que tu web ha desaparecido totalmente o, peor aún, que se ha convertido en fuente de enlaces a multitud de sitios poco recomendables.
Los métodos básicos que puede utilizar alguien para intentar apoderarse de tu blog son estos:
- Intentar acceder por ‘fuerza bruta’. Esto significa que alguien intenta adivinar qué contraseña estás utilizando para entrar en tu cuenta de administrador del blog y hacerse con su control. Existen programas que realizan esta tarea de forma automática de manera que pueden probar cientos o miles de posibles contraseñas en poco tiempo.
- Acceder a tu sitio a través de otros hospedados en el mismo servidor. Si tienes instalado tu blog en un VPS o un servidor compartido entonces existe la posibilidad de que un hacker aproveche vulnerabilidades en otras webs instaladas en tu mismo servidor para acceder a tu blog.
- Acceder a tu sitio a través de código malicioso. Normalmente, camuflado en plugins no verificados, temas para WordPress de procedencia dudosa o similares.
Una vez vistos estos puntos, veamos unos pasos para conseguir que tu blog sea un poco más seguro. Ten en cuenta que estos consejos no van a blindar tu blog ante estos problemas, fíjate que de vez en cuando encuentras noticias de hackers que se hacen con el control de webs de gobiernos u organizaciones, incluso la NASA, el ejército o la CIA con todos los recursos de que disponen sufren de este tipo de problemas. Sin embargo, la idea es conseguir reducir las posibilidades de que ocurra poniendo todos los obstáculos posibles.
- Actualiza WordPress, temas y plugins lo antes posible. Normalmente, estas actualizaciones tapan agujeros de seguridad de versiones anteriores.
- No utilices versiones en estado beta. Las versiones beta de algunos plugins y temas son a veces un caramelo para muchos que quieren curiosear entre las características que ofrecen. Sin embargo, pueden ser fuente de problemas al no estar testeados al 100%.
- No utilices el nombre de ‘admin’ para la cuenta de administrador, elige un nombre diferente para administrar tu blog y otro más como editor para añadir artículos y páginas. Una táctica que puedes utilizar es crear una cuenta con el nombre ‘admin’ pero que no tenga las capacidades de administrador, de esta manera despistas a posibles hackers que, incluso adivinando la contraseña de esa cuenta, se encontrarían con que se trata de una simple cuenta de editor de WordPress.
- Si dispones de acceso a Internet con IP fija, configúrala como la única posible para acceder al blog. Este plugin te permite conseguir esto, incluso puedes indicar rangos de IP concretos. Si tu compañía de acceso a Internet te ofrece una IP dinámica que cambia cada vez que reinicias el router, siempre lo hará dentro de unos rangos definidos. Con este plugin evitas que alguien fuera de esos rangos tenga acceso al login de tu blog. Como poco, de esta manera eliminas de un plumazo a los posibles intentos de login que se produzcan con IPs de otros países.
- Si es posible, utiliza un servidor dedicado en lugar de uno compartido o VPS.
- Si quieres VPS, utiliza un hosting especializado en WordPress. Estas empresas de hosting suelen disponer de medidas de seguridad especiales para blogs, autodetección de malware o actualizaciones automáticas de temas, plugins o el núcleo de WordPress sin que tengas que preocuparte de ello. En este sentido pueden ser incluso mejores que un servidor dedicado.
- Utiliza un plugin de limitador de logins. Con este plugin solo se permite un número determinado de intentos desde una IP.
- Utiliza captchas para la página de login.
- Evita el uso de temas gratuitos por muy bonitos que sean. Elige temas WordPress premium. El precio no es alto y la seguridad que te dan es mayor, aparte de estar optimizados y actualizarse con frecuencia.
Si tienes comentarios o preguntas, entra en el foro del blog