primer desayuno tecnico siteground

Desayuno técnico en SiteGround

Ayer 28 de Octubre tuve el placer de asistir como invitado al primer desayuno técnico que organizó SiteGround sobre seguridad en WordPress impartido por Fernando Tellado.

Lo primero es dar la enhorabuena y agradecer la organización del evento a José Ramón Padrón de SiteGround, María Gamero de influenZia y al propio Fernando Tellado.

primer desayuno tecnico siteground 2

A continuación un breve resumen sobre los puntos tratados en la charla:

Cambiar el Usuario Admin

Aunque de primeras parece que es un error que nadie debería cometer, no se sabe muy bien si por desconocimiento, pereza, o por el mero hecho de recordarlo fácilmente, aún hay mucha gente que usa nombres de usuarios muy comunes, y que facilitan el trabajo a un atacante.

Contraseñas seguras

Un poco en línea con el punto anterior, mucha gente opta por usar contraseñas fáciles de recordar, pero no caen en que también son fáciles de averiguar por atacantes malintencionados. Año tras año empresas de seguridad publican listas sobre las contraseñas más utilizadas y siempre encontramos: 1234, qwerty, abcd1234, access, password, etc…

Afortunadamente desde hace poco disponemos de un generador de contraseñas seguras en WordPress.

Cambiar el prefijo wp_ de la base de datos

Siguiendo la máxima de no dar facilidades a un posible atacante, una recomendación antes de instalar un WordPress es cambiar el prefijo de la base de datos.

Permisos de archivos y carpetas

La regla general nos dice que los permisos deben ser 755 para las carpetas y 644 para los archivos. Además recomendable poner el wp-config.php y el .htaccess a 444.

Proteger wp-config.php

Podemos proteger este archivo mediante reglas en el .htaccess o “esconderlo” cambiándolo de sitio por ejemplo a una carpeta de nivel superior.

Proteger acceso a wp-admin

También mediante una regla en el .htaccess podemos limitar el acceso a wp-admin a una IP o IPs concretas.

Instalando el plugin Limit login attemps podremos configurar el límite de accesos denegados al back-end de nuestro sitio.

También nos puede ser útil protegerlo con una contraseña adicional mediante .htpasswd

Usa un Captcha para login

Otro “filtro” que podemos usar para proteger nuestro panel de administración. Instalando un plugin como WP Login reCAPTCHA, podremos insertar el reCaptcha de Google en el formulario de login.

Actualiza, actualiza, actualiza

Una buena práctica es mantener actualizado tus temas y plugins. Constantemente se detectan vulnerabilidades, se corrigen errores, y huelga decir lo importante que es estar siempre con la última versión actualizada. Además, si tienes temas o plugins que no utilizas, bórralos.

Backups

Esta es más una medida de protección por si llega a pasar algo. Nos sirve como respaldo en el caso de que suframos un ataque. Podemos usar plugins para crear estos respaldos como BackWPup, aunque se pueden programar a nivel de servidor.

Un buen hosting

Desde SiteGround inciden en reseñar la importancia de un buen hosting. No sólo en temas de seguridad como las versiones de PHP, software de servidor actualizado, protección contra malware, reglas de seguridad en mod_security, protección contra XSS, aislamiento de cuentas y procesos, monitorización 24/7 y una rápida respuesta ante cualquier problema.

Si no que también es importante una optimización en los recursos del mismo que nos hacen ganar en tiempos de carga y velocidad de navegación, mejorando la experiencia de usuario, por ejemplo a través de caché, etc…

Llevo muchos años trabajando en el mundo web y he tenido la oportunidad de trabajar con muchas empresas de hosting: acens, arsys, dinahosting, 1&1, hostytec, godaddy, cdmon…Muchas experiencias buenas y malas, y en algunos casos pésimas…pero hoy me he llevado una muy buena impresión de SiteGround.

He podido ver de primera mano la pasión que transmiten por las cosas bien hechas, el compromiso que tienen con WordPress a nivel de desarrollo (contribuyen con el core), a nivel de seguridad (la máxima expresión de que es mejor prevenir que curar) y a nivel de optimización de rendimiento (velocidad de carga, caché…)

Además, participan en más de 75 eventos anuales, por lo que transmiten esa sensación de cercanía y empatía que no he visto en otros hostings.


¿Me invitas a un café?
Si te ha gustado el blog o algún artículo en concreto te ha ayudado a resolver una duda o problema que tenías…¿me invitas a un café?

Puede que también te interese

Cómo mover los scripts al footer en WordPress
En esta entrada vamos a ver cómo mover o cargar los archivos JS en el footer de WordPress. Si miramos el código fuente de nuestro sitio…
Cómo realizar un formulario de contacto personalizado en WordPress sin Plugins
Para realizar un formulario de contacto personalizado en WordPress podemos utilizar los conocidos plugins contact form 7 o gravity forms. Si no queremos recurrir al…
Cómo integrar los estilos de los menús de bootstrap con WordPress
Si estás desarrollando un tema nuevo en WordPress y estás usando el framework Bootstrap para la maquetación del Front-end, probablemente te hayas encontrado con el…
Creando un plugin para WordPress parte 2: Estilo del Código
1. Creando un plugin para WordPress: Planificación y planteamiento 2. Creando un plugin para WordPress: Estilo del Código 3. Creando un plugin para WordPress: Escribiendo…