Seguretat a Wordpress per protegir la nostra feina diària.
WordPress s’ha convertit en un dels gestors de continguts més utilitzats al món per moltes agències de disseny web. Tenir un ampli espectre d’usuaris amb diferents graus de coneixement pot portar a descuidar un aspecte essencial com la seguretat i que tota aquesta feina del dia a dia es pugui veure compromesa pels hackers.
Alguns consells per mantenir el nostre Worpdress segur són:
1) Modifica el prefix de la base de dades que per defecte és “wp_” a un altre
$table\_prefix = 'wp\_'; $table\_prefix = 'Un\_altre\_nom\_';
2) L’usuari per defecte sempre és admin però, a partir de la versió 3 de la plataforma, es pot canviar des de la mateixa instal·lació. Molts atacs de força bruta intenten entrar usant aquest usuari. I si encara vols més seguretat, pots planificar canviar-lo cada cert temps.
3) Vigila els accessos a la teva zona d’administració, molts hackers intenten utilitzar usuaris estàndard per provar l’accés per força bruta. Alguns dels noms que fan servir són:
- admin
- adm
- administrator
- root
- login
- el nom del domini que l’allotja
Les IP d’aquests bots poden ser automàticament banades amb eines com wordfence o bruteprotect.
També pots donar accés a aquest tipus de pàgines a unes IP en concret, ideal si treballes amb una IP estàtica que no canviarà. Altres alternatives són: doble contrasenya, comprovació per SMS, autenticació amb Google, etc.
4) Si han aconseguit entrar, una bona forma de no ensenyar-los tanta informació, així com la possibilitat d’obtenir més informació i modificar el tema des del panell de control, és desactivant l’editor per defecte que porta WordPress en el seu panell de gestió, incloent aquesta línia en el wp-config.php.
define( 'DISALLOW\_FILE\_EDIT', true );
5) Com menys fitxers tinguis a la teva instal·lació, millor. Tindràs menys feina de controlar si passa alguna cosa. Si no vas a utilitzar els temes que venen per defecte, els pots esborrar.
Si no desitges que en actualitzar la plataforma et vagi actualitzant els temes que venen per defecte pots afegir aquesta línia en el fitxer wp-config.php de la teva instal·lació
//Ometre l'actualització del tema per defecte define( 'CORE\_UPGRADE\_SKIP\_NEW\_BUNDLED', true );
També eliminar alguns fitxers per defecte, com el que ens permet la instal·lació un cop ja realitzada, que podem trobar en wp-admin/install.php
6) Relacionat amb el punt anterior, utilitza el menor nombre de plugins possibles i tria sempre aquells que són més reconeguts per la comunitat o de desenvolupadors coneguts. Si tries un tema per la teva instal·lació, busca també aquells que siguin de desenvolupadors amb prestigi.
7) Tria una empresa de hosting de qualitat, perquè segur que tenen en ment la seguretat.
8) La contrasenya d’accés al gestor ha de ser complexa, idealment que inclogui majúscules, números i diversos caràcters d’ús poc comú, com els guions.
9) No deixis llistar directoris per veure els fitxers que hi ha en ell. Normalment, les empreses d’allotjament tenen aquesta possibilitat desactivada per defecte.
10) En el fitxer wp-config.php incorpora claus secretes que generaran més protecció a l’hora que les teves pàgines viatgin pel navegador.
Si vols que l’API de WordPress les creï automàticament, només has d’entrar aquí.
11) Evita ensenyar quina és la versió del teu WordPress, especialment si no la tens actualitzada. A cada versió, amb el pas dels dies, setmanes, se li troba alguna vulnerabilitat que, gràcies a la gran comunitat que hi ha al voltant de WordPress, es soluciona ràpidament.
Pots afegir aquesta línia a functions.php del teu WordPress:
// Desactiva tota la informació de la versió function wp\_disable\_version\_info() { return ''; } add\_filter('the\_generator', 'wp\_disable\_version\_info');
Actualitza, per descomptat, el WordPress sempre a l’última versió. Sovint comporta millores de seguretat a possibles forats trobats.
12) Mantingues atent a les novetats respecte a noves versions de WordPress o de plugins, com fa poc es va trobar una vulnerabilitat en Yoast.
La lectura de blogs com els de Sucuri et donarà informació de les últimes vulnerabilitats que es troben.
Pots crear-te avisos mensuals o bimensuals per dedicar uns minuts a veure algun tipus de novetats. El que sembla una pèrdua de temps inicial, no serà res comparat amb el que perdràs si tens un problema de hackeig al teu lloc web. Més val prevenir que curar!
13) Utilitza eines de professionals de la seguretat, com les que ofereix Sucuri per protegir el teu lloc web creat en WordPress. Disposen, per exemple, d’un firewall que pot donar-nos una protecció activa, amb un cost mensual de 9,99 $
14) La carpeta uploads és la que guarda tots els fitxers que pugem, imatges, vídeos. No haurien, per tant, existir un altre tipus de fitxers que puguin executar-se, com un fitxer php, per la qual cosa pots crear un fitxer .htaccess amb el següent contingut a la carpeta uploads: (Afegeix les extensions que no estiguin contemplades però que vagis a utilitzar, per exemple, svg).
# directori d'uploads segur <Files ~ ".\*\\..\*"> Order Allow,Deny Deny from all </Files> <FilesMatch "\\.(jpg|jpeg|jpe|gif|png|tif|tiff|mov|wmv)$"> Order Deny,Allow Allow from all </FilesMatch>
15) I ja que estàs animat amb els fitxers, .htaccess crea’n un a la carpeta on es troba el teu wp-config.php per protegir un dels fitxers més preuats amb permisos d’escriptura restrictius.
# SECURE WP-CONFIG.PHP Order Deny,Allow Deny from all
16) Pots crear una còpia del teu lloc web de forma automàtica, tant de la base de dades com dels fitxers perquè, en cas de problemes, puguis recuperar el teu lloc el més ràpid possible, sempre que soluciones quin és el problema.
Et pots ajudar d’aquests plugins:
Backupbuddy permet programar la còpia del nostre lloc web podent utilitzar com a respatller diferents formes com dropbox, Amazon S3, un ftp de la nostra elecció, correu electrònic.
A més, també ens pot ajudar quan vulguem moure el nostre lloc a un altre domini o passar de la nostra versió de desenvolupament a producció.
Vaultpress, creat per l’equip de WordPress, et permet realitzar tot el procés de còpia de seguretat de forma similar al que ens ofereix Backupbuddy.
Ambdós són de pagament, però també dins de la gran comunitat de WordPress sempre trobem connectors gratuïts de moltes de les funcionalitats que necessitem i alguna cosa tan bàsica no podia faltar, una possible solució és BackupWPUp Free (https://wordpress.org/plugins/backwpup/)
17) Si disposes al teu domini d’un certificat SSL, pots xifrar la navegació de tot el teu lloc web. Alguns connectors que et poden ajudar:
https://wordpress.org/plugins/wp-force-ssl/
https://wordpress.org/plugins/https-redirection/
https://wordpress.org/plugins/ssl-insecure-content-fixer/
Si només desitges de la part d’administració per millorar la seguretat ho pots fer fàcilment incloent en el wp-config.php això:
// administra segurament sobre SSL define('FORCE\_SSL\_ADMIN', true);
Protegeix la teva feina diària, dormiràs, infinitament, molt millor. Recorda que si necessites ajuda en la seguretat del teu projecte pots comptar amb nosaltres.