Instal·lació segura de WordPress

S’ha donat la casualitat que darrerament he fet dues instal·lacions de WordPress, així que m’ha tocat buscar i rebuscar, llegir documentació, editar plantilles, instal·lar plugins, etc.

I ara fa poc, vaig topar amb una web sobre seguretat específicament a WordPress, amb recomanacions i solucions tecnològiques per fer d’un blog un web molt més segur. Aquest blog es diu Blogsecurity.net, i concretament les recomanacions que he seguit són les següents:

• crear la base de dades amb un usuari amb privilegis restringits. La instal·lació per defecte de WordPress recomana donar tots els privilegis als usuaris de la base de dades
• establir un prefix generat a l’atzar per a les taules de la base de dades. Si no fom res en contra, WordPress posa a les taules el prefix wp_, la qual cosa facilita les coses a un possible atacant
• canvia l’usuari admin per un altre. És fàcil saber per on s’accedeix a l’administració del blog. Si, a més, donem a l’atacant el nom d’usuari de l’administrador, només li queda atacar el password. Així que cal crear un nou usuari administrador, amb un altre nom, i després esborrar l’usuari ‘admin’.
• restringir l’accés a les pàgines d’administrador a la IP estàtica que determinis. Si tens una IP dinàmicaés més complicat, però suposo que fàcilment pots restringir un rang d’IP.
• protegir el directori d’administració amb un password

Tot plegat pot semblar una mica paranoic, però penso que són mesura amb sentit comú, que no costa gens implantar i que sempre ens poden estalviar alguns maldecaps. La veritat és que, a més, al web en qüestió n’hi ha força més, que de moment no he implementat. Potser ho faré més endavant! :)