Web BizarroWeb Bizarro

Suscríbete a nuestro Newsletter

X

Únete a nuestra lista de correos para recibir semanalmente actualizaciones de nuestro contenido.

Seguridad en Wordpress – Usuarios

Seguridad en Wordpress – Usuarios 25.JUN.15

Alvaro José Rios Ch
Fundador WebBizarro

Wordpress es uno de los CMS mas usados en el mundo para crear sitios web rápidamente, sin embargo no es nada fácil mantener estos sitios web seguros sin hacer nada, en estos días estaremos hablando de algunos aspectos de seguridad en wordpress, así que estén atentos, por hoy hablaremos sobre los usuarios.

El primer eslabón de la cadena con la que aseguraremos nuestro sitio son los usuarios. Lo primero que un atacante busca es acceder al administrador ya que si obtiene las credenciales puede hacer lo que quiera con este sitio sin mucho esfuerzo, así que muy atento a las recomendaciones.

Usar usuarios y passwords únicos y seguros

Usar el usuario admin no es para nada seguro por eso al hacer una instalación nueva debemos cambiarlo por otro nombre de usuario, sin embargo si es un sitio viejo y ya tiene el usuario admin lo que podemos hacer es usar el plugin username changer o crear un usuario nuevo con los privilegios correctos y eliminar el anterior.

No uses nombres comunes para el usuario como administrador, o el nombre de tu sitio web o tu propio nombre.

Para los passwords no use nada parecido al nombre de usuario, lo mejor es usar letras, números y caracteres especiales, si es posible usar un string aleatorio mucho mejor, también puedes recordar las recomendaciones de Snowden con respecto a este tema.

 

Doble factor de autenticación

El doble factor de autenticación te permite además de un usuario y un password también tener un código único generado cada vez que el usuario se conecta y que esta asociado a algún dispositivo, generalmente un smartphone, por medio de SMS o alguna aplicación.

Para hacer esto pueden usar Google Authenticator por medio de estos dos plugins de wordpress el primero de Henrik Schack y el segundo de Julien Liabeuf, ambos con muchas valoraciones y miles de descargas.

 

Verificar si el usuario es humano

Para esto podemos usar los formularios reCAPTCHA, esto puede parecer un poco extremo pero depende de la seguridad que deseemos implementar en nuestro sitio ya que nos permite evitar que alguien haga un proceso para tratar de entrar al sitio de manera automática. Para esto pueden ver este plugin.

 

Proteger con contraseña el wp-login.php

Esto es para usuarios un poco más avanzados pero la idea es hacer algunos cambios en el servidor para que se necesite una contraseña para poder ver el administrador del sistema, esto depende del servidor web que estés usando pero generalmente no es algo difícil de hacer.

 

Estas son recomendaciones que te pueden ayudar a dormir un poco más tranquilo de que no despertaras con un sitio hecho un desastre, así que dependiendo del nivel de seguridad que necesites y lo sensible de la información podemos implementar uno o todos lo métodos de los que hablamos.