Consejos de seguridad para WordPress

23 01 2008

Matt Cutts, el blogger de Google, ha publicado 3 tips para mejorar la seguridad de WordPress. Rubén de Online.com.es los ha traducido, así que os dejo la traducción tal cual porque está muy bien detallada:

QuoteLo primero que hay que hacer es eliminar del código fuente del wordpress toda relación que apunte a la versión que estamos utilizando en el blog. Si conocen nuestra versión, resultará más fácil descubrir que agujeros de seguridad tiene la versión que estamos corriendo y atacarlos. Si no eliminamos esta referencia, cualquier persona puede ver el código que genera nuestra página y ver una etiqueta de este estilo :

<meta name=“generator” content=“WordPress 2.3.2″ /> 

Se puede eliminar esta referencia accediendo al archivo header.php dentro de la carpeta theme de nuestra instalación (wp-content/themes) donde habrá que editar la siguiente linea:

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />

Y quitar la referencia de la versión. Podemos dejarlo de este modo:

<meta name="generator" content="WordPress" />

El segundo paso puede ser proteger la carpeta de plugins para que no puedan ver que plugins tenemos bajo la carpeta. Esta parte es tan sencilla como crear un archivo index.html vacio dentro de tu directorio de plugins. De este modo evitas cosas como estas

Por último, y lo más importante sería proteger nuestra carpeta de administración (wp-admin). Una forma sencilla sería incluyendo un fichero .htaccess dentro de la carpeta wp-admin para protegerlo por IP. De este modo solo podrán acceder a esta carpeta aquellos usuarios que tengan la IP de acceso:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from 80.56.235.43
</LIMIT>

Y eso es todo. Bastante sencillo y mejor protegidos.

Lo que aún no sé es si el tercer truco es válido para los que tengan IP dinámica. Creo que no, cuando lo sepa seguro lo aviso.

También tenéis los que Anieto2k tradució cuando Blog Security (PDF) publicó varios trucos que mejoraban las seguridad de WordPress.

Vía – Mangas Verdes


Acciones

Information

5 responses

24 01 2008
Elena

Esta muy bien esos consejos, pues gracias a un hacker me acaba de meter el muy hijo de…. un virus en mi pagina web.
Ya tienen ganas de hacer daño.
Un saludo a toda la peña

24 01 2008
Javyer

Menuda putada Elena, odio a esos cabrones que lo único que hacen es joder el trabajo de los demás. A ver si se entretienen haciendo otras cosas, o mejor aún, que no hagan nada…

El servidor donde está tu blog usa PHP/4.4.7. No es la última versión y lo más conveniente en temas de seguridad es usar las última versiones, en este caso PHP 5. A ver si puedes contactar con el servidor para que te orienten. Por si pueden repararte el blog.

Puedes contactar con el dueño de milworm.es o como se llame, que precisamente tiene una web para explotar vulnerabilidades y también casualmente está en venta. Te dejo algunos enlaces (pégalos en la barra de direcciones si quieres acceder a ellos, no voy a darle posición):

milw0rm.es/index.php (en esta web está el email del dueño del dominio al que tu blog es redirigido ilegalmente)
demene.com/discussion/7568/
Este enlace no pude ponerlo tal cual porque se cortaba

No he encontrado nada para solucionar tu problema, lo siento. Ya nos cuentas cómo te fue. Por si te sirve, cuando entres en tu blog pulsa la tecla ESC y no te redireccionará a la otra web.

Suerte y saludos!

25 01 2008
Elena

Muchísimas gracias, ya iré contando según la marcha.
Lo que si que quiero es saber como puedo pillarlo, porque se va a enterar.
Gracias por la información de lo de ESC no la sabia.
Por cierto enhorabuena por tu web, esta genial y me tendrás mucho por aquí.
No entiendo como no se puede hacer nada cuando te secuestran la pagina web como en mi caso, lo que daría por poder pillarle.
Un saludo.

28 01 2008
Zappiando links con Lindsay Lohan | Chuchesuma

[…] El retrete ideal para que las damas vayan a hacer de las suyas al baño [8400] No esta demás tener un poco de cuidado en la web [Un poco de Mucho] […]

31 01 2008
Elena

Hola solo quería decirte que al final la web esta ya en funcionamiento, si quieres pasar a verla.
Un saludo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s