Tag Archives: contrasenyes

Consells de seguretat a WordPress

Per | 20 gener 2014

Un dels problemes per als qui tenim un o més blogs hostatjats en el propi servidor és mantenir-lo segur. Sí, ja sé que la seguretat en informàtica (i en res) no existeix (“la seguretat és un estat mental”…).

wp-segurHi ha diversos motius pels quals hi ha gent que vol prendre el control del nostre WordPress, i d’això ens hem de defensar. Ahir em vaig llevar i tenia més de 400 missatges electrònics que m’alertaven d’intents d’accedir al tauler d’administrador d’aquest blog. En un parell d’hores ja en tenia més de 600, i això que ja estava bloquejant les IP que feien tres intents fallits per autenticar-se… Per sort, ho tenia ben configurat, però després vaig afegir-ne més (l’últim dels passos que descric a sota) i vaig tallar-los la possibilitat de ni tan sols arribar a la pàgina d’autenticació.

Com podem protegir, un WordPress?

  • No utilitzar “admin” com a nom d’usuari, ni cap altre que pugui ser deduïble (el propi nom, “administrador”, etc.). Si ja tens el WordPress instal·lat, pots canviar-lo anant a PhpMyAdmin i executar aquest codi:
    UPDATE wp_users SET user_login = 'Nou_usuari' WHERE user_login = 'Admin';
  • Utilitza una contrasenya segura. A aquestes alçades ja se sap que segura vol dir que no sigui curta (mínim 7 caràcters) i que contingui: caràcters en minúscula, majúscula, números i símbols. Si voleu comprovar si la vostra contrasenya és forta, ho podeu fer en aquest web. També podeu seguir alguns consells sobre com crear-ne de segures i poder-les recordar.
  • Quan instal·lem WordPress, hem de canviar el prefix de les taules de la base de dades en el fitxer config.php. Per defecte ve wp_ i es recomana posar-ne un més complex.
  • Mantenir WordPress actualitzat. D’acord, fer actualitzacions de vegades és pesat, i algun cop és buscar-se problemes per la compatibilitat de les extensions… Però les versions antigues solen tenir vulnerabilitats que poden ser explotades per fer malifetes. I recordeu que des de la versió 3.7 WordPress permet autoactualitzar-se. No cal fer res més que escriure els paràmetres de l’ftp i dir-li que ho faci ell. A mi mai m’ha fallat, ni ens instal·lacions simples ni en multisite. :)
  • Instal·lar una extensió de còpies de seguretat. N’hi ha de gratuïtes i de pagament. Jo ara faig servir BackWPup, que és gratuïta, permet planificar-ne l’execució amb cron i desar les còpies a Dropbox. Permet, també, fer còpies dels arxius, extensions i base de dades, i tot comprimit amb gzip.
  • Instal·lar alguna extensió de seguretat. Fa temps que faig servir Wordfence, que actua en diversos sentits. Fa de tallafocs i permet bloquejar la IP dels usuaris que fan diversos intents fallits. Permet llistes blanques i negres i definir polítiques específiques per als robots dels cercadors. També funciona bé Simple Login Lockdown.
  • Finalment, cal configurar l’arxiu .htacces. Aquest arxiu, que és al directori arrel de la instal·lació de WordPress fa de filtre entre el servidor i les dades que arriben i se’n van. Això ens permet fer meravelles, com reanomenar URL o filtrar usuaris. Basat en això últim, és com jo vaig aturar l’atac, ja que treballo amb IP fixa, i això ho facilita molt. Cal afegir al principi de l’.htacces del directori arrel el següent:
# Restringir quines IP poden anar a la pàgina de login. Atenció: utilitzeu-lo NOMÉS si teniu IP fixa:

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from xxx.xxx.xxx.xxx
</Files>

# Restringir quines IP poden anar a la pàgina de wp-admin:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

<Files .htaccess>
order allow,deny
deny from all
</Files>