Wordpress es una de las plataformas más extendidas y utilizadas por los bloggers en el mundo, además de ser completamente open source. Pero, como con toda aplicación libre, siempre es necesario realizar algunas medidas de seguridad que nos eviten algunos dolores de cabeza, casi siempre provocados por los miles de script kiddies que hay en la web.
Es así como Matt Cutts ha publicado un post en su blog, dando a conocer 4 buenos tips para hacer a un blog en Wordpress más seguro:
- Asegurar el directorio /wp-admin/ bloqueando el acceso a todo mundo, salvo a nuestra IP. La manera de hacerlo es mediante el fichero .htaccess. Por ejemplo, podríamos utilizar uno como éste:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# whitelist home IP address
allow from 64.233.169.99
# whitelist work IP address
allow from 69.147.114.210
allow from 199.239.136.200
# IP while in Kentucky; delete when back
allow from 128.163.2.27Recuerden cambiar las IPs por las suyas...
Wordpress es una de las plataformas más extendidas y utilizadas por los bloggers en el mundo, además de ser completamente open source. Pero, como con toda aplicación libre, siempre es necesario realizar algunas medidas de seguridad que nos eviten algunos dolores de cabeza, casi siempre provocados por los miles de script kiddies que hay en la web.
Es así como Matt Cutts ha publicado un post en su blog, dando a conocer 4 buenos tips para hacer a un blog en Wordpress más seguro:
- Asegurar el directorio /wp-admin/ bloqueando el acceso a todo mundo, salvo a nuestra IP. La manera de hacerlo es mediante el fichero .htaccess. Por ejemplo, podríamos utilizar uno como éste:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# whitelist home IP address
allow from 64.233.169.99
# whitelist work IP address
allow from 69.147.114.210
allow from 199.239.136.200
# IP while in Kentucky; delete when back
allow from 128.163.2.27Recuerden cambiar las IPs por las suyas.
- Escribir un fichero wp-content/plugins/index.html, de lo contrario los ficheros de los plugins podrían ser accesibles a cualquiera que quiera hackear tu blog, por ejemplo identificando algún plugin que este desactualizado y que tenga un bug.
- Suscribirse al blog de desarrollo de wordpress http://wordpress.org/development/feed/. Así estarás al tanto de las últimas versiones y patch del CMS.
- Ocultar la versión de Wordpress. Por defecto la versión oficial de wordpress incluye el siguiente código en el header:
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />
Con ello, cualquiera podría identificar la versión del sistema y si no esta actualizada, pues vendrían los problemas. Ese código podríamos cambiarlo por:
<meta content="WordPress" name="generator" />
Así pues, Matt Cutts, quién tiene experiencia con blogs hackeados, comenta estos buenos tips a tener en cuenta.
Si te gustó este artículo también te gustará...
Me parecen buenos tips en general, salvo por el del fichero .htaccess por que si alg
tengo una duda dices q en el .httaces debemos poner nuestra ip pero los que tenemos ip dinamicas como hariamos?
Muy buenas recomendaciones... pero tambien tengo la misma duda... para lo que tenemos ip dinamicas, como le hacemos...