Seguridad básica: instalación de WordPress

Hoy seguiremos nuestro tutorial sobre Seguridad en WordPress con el segundo apartado, Seguridad básica: instalación de WordPress. La instalación de WordPress es la base de nuestra seguridad y, aunque es extremadamente fácil de hacer, lo mejor es tomársela  con calma y prestar atención a todos sus detalles, que no siempre son tenidos en cuenta.

  1. Usuario de la base de datos: lo ideal es crear un usuario destinado exclusivamente a nuestro blog, con permisos exclusivos para trabajar con las tablas de WordPress. Es por eso que no debemos utilizar nunca el usuario root. En general, los permisos que daremos al usuario destinado a acceder a la base de datos de nuestro blog serán SELECT, INSERT, UPDATE, DELETE (para datos) y CREATE, ALTER, DROP (para estructuras), pudiendo descartar el CREATE y el DROP si comparte su base de datos con otros proyectos.
  2. Cambia el prefijo de tus tablas: WordPress por defecto utiliza wp_ como prefijo para las tablas correspondientes a nuestro WordPress, pero siempre se debería cambiar esta opción en nuestra instalación. De esta forma alguien que quiera acceder a nuestros datos deberá conocer ese prefijo antes. Lo mejor, pues, es utilizar un prefijo aleatorio que no sea de fácil deducción.
  3. Elimina los ficheros de instalación: en /wp-admin/, install.php, upgrade.php e installer-helper.php. También puedes eliminar los importadores (wp-admin/import/), que sirven para importar contenido y modifican la base de datos.
  4. Fichero wp-config.php: es nuestro fichero más importante para la configuración de WordPress y, por lo tanto, para nuestra seguridad. Con él conectamos a la base de datos, así que hay información confidencial. Por este motivo, tenemos que darle permisos 644, es decir, tenerlo como fichero de sólo lectura.
  5. Cambia tu usuario Administrador. Ya tenemos nuestro WordPress instalado, es hora de configurarlo. Lo mejor es crear otro usuario para utilizarlo como administrador (puedes configurarlo desde el panel de administración) e inhabilitar (ponerlo como suscriptor) el administrador que nos crea nuestro WordPress.
  6. No utilices tu usuario de administración. Aunque lo acabemos de crear, no lo utilices. En general no necesitarás ser administrador de tu blog, sólo querrás escribir y cambiar cuatro cosas. Así que puedes crearte otro usuario editor o autor, con tu nick y nombre, y configurarlo a tu manera para utilizarlo habitualmente para escribir. Así, si perdieras la contraseña o te la descubrieran, solamente podrían modificar unas pocas cosas de tu instalación. Puedes instalar Role Manager para marcar qué permisos quieres que tenga el usuario que utilizarás para escribir habitualmente.
  7. Restringe los directorios que tus usuarios no verán: wp-content, wp-includes y wp-admin son los directorios más usados por WordPress, es por eso que debemos limitar el uso de estas carpetas.  En una próxima entrada haremos especial hincapié en este punto, explicando cómo configurar nuestros archivos .htaccess
  8. Crea un archivo en blanco: por defecto, las carpetas de plugins son completamente visibles. Si creas un documento en blanco y lo guardas allí como index.html, ya no serán tan fácilmente visibles.
  9. Bloquea las carpetas a los motores de búsqueda. No es necesario que los bots accedan a nuestros archivos de WordPress, así que podemos bloquearlos con el archivo robots.txt. Añade la siguiente línea: Disallow: /wp-*

Espero que estos consejos en la instalación os hayan servido. Si hay alguna duda, o queréis que hable sobre algún tema de seguridad concreto que no haya quedado claro, por favor, comentad.

Fuentes: anieto2k, Online Tech Tips, sigt.


Via http://feeds.todowp.org/~r/todowordpress/~3/bReG5ZMX5W8//a>

Related Posts with Thumbnails
Digg Delicious

Tagged with:  

Comments are closed.

Free WordPress Themes