11 consejos para proteger el área de administración de WordPress

Recientemente vimos problemas de seguridad en WordPress. específicamente en las versiones de la rama 2.8, en donde cualquier persona con los conocimientos suficientes, puede reiniciar la contraseña de administrador sin aviso previo. Para evitar ese tipo de incidentes en donde la seguridad del blog se ve comprometida, aquí tienes 11 consejos para mejorar la seguridad en el área de administrador de WordPress:

1. Crear URLs especiales para loguearte. Así evitas el típico wp-admin y haces más difícil encontrar la página de acceso. Se recomienda usar el plugin llamado Stealth Login
2. Elegir un password fuerte; al decir fuerte se refiere a incluir mayúsculas y minúsculas, números y caracteres especiales. No elijas palabras comunes o muy obvias como contraseña o password.
3. Limita el número de intentos de logearse. Si un usuario sobrepasa un número de intentos determinado a la hora de iniciar sesión, dicho usuario será bloqueado. Se recomienda usar el plugin Login Lockdown
4. Usa páginas seguras bajo SSL. La seguridad que ofrece el protocolo es ideal para manejar el área de administración. Hay que verificar antes con la compañía de hosting, para ver si disponemos con certificados SSL disponibles para usar. Se recomienda usar el plugin Admin SSL
5. Proteger el directorio wp-admin con contraseña. Una doble protección no está demás; puedes usar un archivo .htpasswd o un plugin llamado AskApache Password Protect
6. Limitar el acceso vía dirección IP: debes crear un archivo .htaccess en el directorio wp-admin con las siguientes instrucciones:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic
order deny,allow
deny from all
# IP permitida
allow from xx.xx.xx.xxx

Crea tantas entradas como sea necesario

7. Nunca uses el nombre de usuario admin. Ese usuario es el que se crea por default pero puede ser blanco de ataques de fuerza bruta. Lo más sensato es cambiar ese nombre por uno no tan obvio.
8. Remueve los mensajes de error de la página de inicio de sesión; así eliminas pistas que los hackers pueden aprovechar para intentar descifrar tu contraseña. Para remover los errores, tienes que agregar al archivo functions.php en el directorio de tu theme:
   

   add_filter(’login_errors’,create_function(’$a’, “return null;”));

9. Usa contraseñas encriptadas; en el caso de que no cuentes con SSL, este método puede ser útil ya que encripta el password mediante una llave RSA pública. Esto se logra con el plugin Semisecure Login Reimagined
10. Antivirus para WordPress: suena raro, pero esta prueba de concepto realmente ayuda a la seguridad, ya que ofrece protección en contra de exploits e inyecciones de spam.
11. Actualiza la versión de WordPress a la más reciente; de esta forma obtienes mayor protección al corregir bugs y exploits presentes en versiones anteriores

Vía | WP Beginner