Categories Blog
trucos-y-plugins-seguridad-wordpress

Plugins i trucs de seguretat WordPress

Manu Osca

WordPress és un dels gestors de contingut més segurs, però es torna vulnerable quan els administradors web comencen a instal·lar plugins que tenen forats de seguretat.

En aquest article t’ensenyarem com pots blindar el teu WordPress.

Et mostrarem dues maneres de fer-ho:

  • D’una manera manual només recomanada per a usuaris més avançats.
  • Amb un sol connector més avançat, però que consumeix més recursos i espai.

Abans d’entrar a tractar aquestes dues maneres diferents de protegir WordPress, et donarem uns consells bàsics que qualsevol usuari hauria de seguir per no ser carn de canó de hackers.

Recomanacions bàsiques de seguretat per a WordPress

1) Eliminar l’usuari admin que té l’identificador número

Si no has entès aquest punt, no et preocupis que nosaltres t’ho expliquem.

Un dels pitjors errors en seguretat que pot cometre una persona que té un WordPress és posar-se el nom d’Admin com a nom d’usuari.

Si a l’instal·lador de WordPress poseu com a nom d’usuari “Admin”, se us assignarà per defecte l’identificador (id) número 1.

Si el teu id=1 és Admin, els hackers poden entrar al teu WordPress “fàcilment”.

Nosaltres recomanem posar com a nom d’usuari “Admin” a l’instal·lador de WordPress perquè se us assigni l’id=1. No obstant això, un cop dins de l’escriptori de WordPress, creem un nou usuari que serà el definitiu.

Recomanem posar-hi un nom compost, per exemple: Marta Casas. A continuació, us atorguem permisos d’administrador.

Després tanques sessió i tornes a entrar al teu WordPress, però aquesta vegada amb el teu nou nom d’usuari (Marta Casas). A continuació, vas a la secció “Usuaris” del teu WordPress i elimines l’usuari Admin.

Amb només aquesta senzilla acció, el teu WordPress és molt menys vulnerable que la resta de webs que puguis veure a Internet.

Tindràs un nom d’usuari compost i amb un identificador que no és el número 1.

2) Fer una contrasenya forta per al teu usuari de WordPress.

Una contrasenya forta és:

  • Llarga.
  • Inclou lletres i números.
  • Inclou caràcters especials.

El mateix generador de contrasenyes de WordPress proporciona contrasenyes molt segures. Pots generar-ne una, apuntar-la i desar els canvis.

contrasenya-segura-wordpress

Trucs de seguretat WordPress per a usuaris avançats

Treballar la seguretat a WordPress comença abans d’instal·lar tots els fitxers que inclou aquest CMS (gestor de continguts).


1) Personalitzar el fitxer wp-config.php

WordPress té molts fitxers que són necessaris per al funcionament correcte d’una web. Un d’aquests fitxers és wp-config.php, un dels més importants a configurar perquè tot funcioni bé.

Aquest fitxer conté la contrasenya i altres requisits per connectar-nos a la Base de Dades. També té certs ajustaments de seguretat que podem editar perquè el nostre WordPress sigui més segur.

Javier Casares és un administrador de sistemes expert a WordPress, creador de la web wp-config.pro.

Té un model de fitxer wp-config que conté tot el necessari per fer el nostre WordPress més segur i més optimitzat a l’hora de consumir recursos.

Només has de copiar-lo i substituir-lo pel que ve per defecte a la instal·lació de WordPress. L’únic que heu de personalitzar és el nom, usuari i contrasenya de la Base de Dades.

Cada cop que es recarrega la seva web, es genera un wp-config diferent que incorpora, entre altres coses:

– Un prefix personalitzat de la taula de la Base de Dades.

A WordPress, tots els prefixos de les taules de Base de Dades comencen per “wp_”, i això ho saben els hackers.

En el vostre wp-config aquest prefix és, per exemple, ‘wp0muul6_’. Evidentment no sempre és el mateix. Cada cop que recarregues la seva web, et proporciona un prefix diferent.

– Claus extenses de seguretat.

WordPress té un sistema de seguretat anomenat SALT.

Són dades aleatòries que xifren les credencials d’aspectes sensibles per a la seguretat de WordPress com són les dades necessàries per a l’inici de la sessió, per exemple.

Per defecte, el wp-config.pgp sempre porta a les SALTs aquesta frase “posa aquí la teva frase aleatòria”.

El problema és que el 98% de les persones no modifica aquesta frase.

El wp-config que genera el web de Javier Casares us ofereix una cadena de números i caràcters extensos en aquestes SALTs.

– Deshabilita les actualitzacions automàtiques del Core de WordPress.

Les grans actualitzacions de WordPress sempre són delicades, ja que poden generar incompatibilitats amb algun plugin que tinguem instal·lat.

És millor fer aquestes actualitzacions a mà, és a dir, fer clic al botó d’actualitzar quan estiguem presents.

2) Deshabilitar el xmlrpc.php

Molts hackers han utilitzat aquest arxiu de WordPress per entrar a la instal·lació i modificar els arxius al seu gust.

Aquest fitxer connecta, mitjançant una API, el teu WordPress amb altres aplicacions. No se sol fer servir, més enllà de rebre pingbacks i trackbacks, és a dir, avisar-te quan algú enllaça un post teu.

No obstant això, és una entrada de codi maliciós i la causa de molts atacs DDOS que alenteixen el teu WordPress. No val la pena tenir-lo actiu.

El que hem de fer per desactivar-lo és reanomenar-lo al sistema de fitxers de WordPress. Podem accedir-hi des del programa Filezilla, un gestor de clients FTP per connectar-nos amb els fitxers que s’han instal·lat al nostre hosting.

truc-seguretat-wordpress

En aquest cas, el que hem fet ha estat afegir-hi el número 1. Amb això ja quedaria desactivat, però no n’hi ha prou.

A continuació, hem d’editar el fitxer wp-config.php (ja us vam dir que aquest fitxer era molt important) i afegir el següent codi al final del mateix:

add_filter(‘xmlrpc_enabled’, ‘__return_false’);

Per acabar, hem de fer una modificació al fitxer functions.php i afegir el següent codi al final del mateix:

add_filter( ‘xmlrpc_methods’, function( $methods ) {

unset( $methods[‘pingback.ping’] );

return $methods;

} );

Recordeu fer una còpia de seguretat del vostre WordPress abans d’editar aquests arxius.

3) Canviar els paràmetres predefinits als comentaris de WordPress.

Ara que hem desactivat els PingBacks i Trackbacks, no té sentit mantenir-los actius en els ajustaments de comentaris del nostre WordPress. Els desactivarem:

ajustaments-comentaris-seguretat-wordpress

Plugins de seguretat addicionals a aquestes configuracions manuals

Havent fet aquestes configuracions manuals, només necessitaríem afegir dos plugins molt senzills i lleugers per acabar de blindar el nostre WordPress:


Plugin Limit Login Attempts Reloaded


Aquest plugin el podeu descarregar aquí. El que fa és limitar el nombre d’intents d’inici de sessió al WordPress per protegir-nos dels atacs de força bruta.

Un dels atacs més comuns a WordPress és intentar accedir a l’administrador endevinant la contrasenya.

Es produeixen milers de peticions a la base de dades perquè s’estan comprovant milers de combinacions de contrasenyes. El que fa això és alentir el nostre WordPress.


Plugin WPS Hide Login

El podeu descarregar aquí. Aquest plugin us permet personalitzar l’URL d’accés al nostre WordPress, que per defecte éstuweb.com/wp-admin.

Un cop instal·lat, pots anar a “Ajustos” – “Enllaços permanents” i afegir el que vulguis. Per exemple: tuweb.com/acceder-web

És millor que la ruta d’accés consti de dues paraules per enfortir la seguretat.

Instal·lar el millor plugin de seguretat per a usuaris no avançats

wordfence-plugin-seguridad-wordpress

Per a aquells usuaris que no es veuen capaços de realitzar totes les accions que hem comentat anteriorment, hi ha un plugin anomenat iThemes Security que t’ho pots descarregar aquí.

Aquest plugin fa totes les recomanacions que hem comentat i afegeix algunes funcionalitats extra de seguretat.

Aquest plugin us protegeix dels atacs de força bruta, us permet canviar el prefix de la taula de la base de dades, desactivar el xmlrcp.php, canviar les SALTs, personalitzar la url d’accés i moltes accions més.

La contrapartida és que consumeix més recursos i espai a la teva instal·lació de WordPress, per això recomanem fer les accions manuals.

Tot i això,és un plugin molt complet i optimitzat. Molt recomanable per a aquelles persones que no es vulguin complicar la vida i vulguin tenir la instal·lació de WordPress més segura.


Wordfence: el plugin de seguretat alternatiu al iThemes Security

wordfence-plugin-seguridad-wordpress

Aquest és un altre connector de seguretat que té moltes instal·lacions i el pots descarregar aquí.

Aquest no m’agrada tant perquè embruta força les taules de la Base de Dades, però compleix a la perfecció amb la seva funció.

No obstant això, em sembla més complet, lleuger i millor optimitzat el connector de iThemes Security.

Després de llegir aquest article ja coneixes alguns dels trucs més importants per protegir el bloc de possibles atacs. A Doowebs, l’empresa de desenvolupament web a València ens encarreguem de protegir el teu bloc amb els trucs més avançats.