Lineamientos básicos de seguridad para sitios con Wordpress

Wordpress (WP) es un sistema de administración de contenidos (CMS) realizado con el lenguaje de servidor PHP que te permite la creación de un sitio web administrable, su uso principal es la creación de blogs pero también es una herramienta que puede ayudarte a desarrollar sitios completos con características muy particulares (Catálogos en línea, Tiendas virtuales, Sitios webs corporativos y Sistemas de reservaciones de servicios).

Wordpress tiene una instalación muy básica y conocida, por tal motivo es importante implementar medidas de seguridad que te permitan corregir ciertas vulnerabilidades que la misma plataforma pueda tener y que vamos a tratar de resolver desde la instalación del CMS.

No utilizar el prefijo default para la creación de tablas en la base de datos (wp_)

Cuando instalas Wordpress necesitas cierta información previa para configurar tu sitio, una de ellas es definir un prefijo para las tablas que se generarán en la base de datos que va a contener la información del sitio; Para este caso, la recomendación de seguridad es no utilizar un prefijo común, ya que es muy sencillo para los atacantes saber la estructura de tu base de datos y el nombre de las tablas si es que realizaste una instalación estándar, por ejemplo: Si tu sitio tiene un nombre como “Empresa Nueva Era” el prefijo de las tablas para la base de datos podría ser “ene” o “emn”. Lo importante es no comprometer las tablas con algo tan común como “wp_”.

No utilizar el nombre de usuario “admin”

WP por defecto te sugiere asignarle al usuario administrador un nombre de usuario muy común, lo cual es peligroso ya que estarías comprometiendo el 50% de tu información para el inicio de sesión, un ejemplo de nombre de usuario puede ser el nombre del desarrollador, nombre de la empresa que desarrolla el sitio, o el nombre del sitio en separado por guiones medios “-“ o guiones bajos “_” en los espacios entre palabras.

No utilizar contraseñas menores a 5 caracteres entre mayúsculas, minúsculas y números, lo recomendable es utilizar el generador de contraseñas que WP tiene en su proceso de instalación

Ejemplo de contraseñas seguras que provienen del generador de wordpress:
CuChagax4t3uFe ckxFCo1lSNipuEgjOVCmJLG ]4@9+I[NBGLS

Instalar un plugin de reCAPTCHA de Google para el login del administrador

Una recomendación de un plugin sencillo de utilizar es Better WordPress reCAPTCHA, el cual te permite incluir un elemento reCAPCHA en el formulario de acceso al sitio, contribuyendo a impedir que algún código malicioso pueda obtener la información de acceso al administrador de wordpress.

Instalar un plugin de monitoreo de seguridad para WP

Existen muchos plugins que te ayudan a mantener tu sitio en wordpress de manera segura, en el sentido que te ayudan a gestionar los intentos de logueo, la ruta de acceso al formulario del administrador, entre otras cosas.