La seguridad siempre es un tema de gran importancia para un administrador de un sitio web. Por eso, tal vez, has elegido WordPress como tu gestor de contenidos, ya que es una de las plataformas más seguras. Sin embargo, no existe un sistema que sea 100% segura y los hackers son especialistas en encontrar vulnerabilidad en sitios web así que tomar medidas extras de seguridad nunca es una mala idea.
En WordPress, existen completos plugins de seguridad que te ayudan a proteger tu sitio contra las amenazas más comunes. Sin embargo, existen otras medidas que puedes tomar como esconder las huellas de que tu sitio pertenece a WordPress. En este artículo te indicamos cómo es que esconder tus indicadores de instalación de WordPress te podría ser útil:
Nivel de seguridad de WordPress
WordPress es uno de los gestores de contenido más seguro que existen. En cada actualización del sistema siempre se priorizan los temas de seguridad. De hecho, gran parte de la popularidad de WordPress se debe a su seguridad y grandes empresas como CNN usan este increíble gestor para desarrollar sus sitios web. Entonces, la respuesta a esta pregunta es sí, WordPress es seguro. Pero justamente debido a su popularidad se convierte en un objetivo común para muchos hackers. Además, muchos de estos hackers saben que existen sitios WordPress que no tienen sus versiones actualizadas o usan temas que no son seguros. Los hackers son especialistas en hallar las vulnerabilidades de un sitio y tomar ventaja de ello. Por esta razón, no importa que tan seguro sea WordPress, nunca está de más tomar medidas de seguridad extras.
Medidas de seguridad en WordPress
La forma más común en que un hacker ataca WordPress es mediante ataques de fuerza bruta y peticiones HTTP.
En los ataques de fuerza bruta se usa un software que intenta adivinar la contraseña y así ganar acceso a tu sitio web. Suena terrible, pero en muchos casos la solución es sencilla: añadir una verificación CAPTCHA, modificar el acceso para que este sea un proceso de dos pasos o limitar el número de intentos de acceso.
En el caso de las peticiones HTTP son ataques especializados que se envían a tu servidor. Estas peticiones están diseñadas para sacar ventaja de la vulnerabilidades, usualmente causadas por temas y plugins de mala calidad o software desactualizado. De hecho, cualquier archivo del directorio wp_content de tu instalación de WordPress puede ser objeto de vulnerabilidad que los hackers no dudarán en usar para acceder a tu sitio. Pero no desesperes, existen ciertas medidas de seguridad que puedes tomar para proteger tu sitio. Te listamos algunas:
- Usa contraseñas largas que combinen números y letras
- Siempre mantén actualizada tu instalación de WordPress
- Actualiza todos tus temas y plugins. Borra los temas y plugin inactivos
- Usa verificación CAPTCHA o autentificación de 2 pasos para acceder a tu cuenta
- Instala completos plugins de seguridad como iThemes Security, por ejemplo
¿Esconder las huellas de WordPress es la mejor solución?
No hay una solución completa e infalible. Esconder el hecho de que WordPress es tu plataforma de preferencia es sólo una posible medida de seguridad. A pesar de que escondas las huellas de WordPress, una persona conocedora del tema tiene otros medios y puede detectar qué gestor de contenido estás usando.
Sin embargo, muchos ataques de hacking son realizados por bots y “borrar” las huellas de WordPress podría ser de ayuda en estos caso. No olvides que el punto de emplear estas medidas de seguridad es que nunca te confíes demasiado. Un hacker siempre está en la búsqueda de vulnerabilidades en tu instalación para poder acceder a tu sitio.
¿Cómo esconder el hecho de que usas WordPress?
Si aún estás decidido a esconder el hecho de que usas WordPress, hay diversas acciones que puedes tomar. Para realizar todas estas acciones es necesario que tengas ciertos conocimientos básicos de programación:
- Borrar el archivo readme.hmtl. Este archivo contiene información sobre la instalación de WordPress como la versión de la misma. Cada vez que actualizas WordPress, este archivo se vuelve a crear, así que deberás borrarlo en cada nueva versión que instales.
- Mover el contenido de wp_content a la carpeta public_html. En wp_content se hallarán diversas carpetas para temas, plugins, actualizaciones, etc. Realizando esta acción deberás verificar que cada nuevo plugin o tema que instales se encuentra en la carpeta adecuada.
- Crear una URL personalizada para acceder a WordPress, diferente de la URL típica www.misitiowordpress.com/wp-admin
- Restringir acceso a tus archivos y directorios que inicien con wp, que es la denominación predeterminada en WordPress.
- Cambiar de nombre el directorio wp-content
Como puedes ver, esconder el hecho de que usas WordPress requiere que realices modificaciones directamente en los archivos de instalación. En la mayoría de casos deberás crear nuevas carpetas que no tengan la denominación típica de WordPress, donde tus archivos de instalación pueden ser trasladados. Pero si no tienes conocimiento sobre programación o temes poner en peligro tu instalación de WordPress puedes usar plugins como Hide My WP.
Hide My WP te permite mejorar la seguridad de WordPress escondiendo los archivos de su instalación. Por ejemplo, puedes cambiar permalinks de archivos, eliminar la información meta, controlar el acceso a tus archivos de PHP, esconder archivos como readme.html o license.txt, entre otras acciones.
A tener en cuenta…
Existen diversas medidas de seguridad que puedes tomar, esconder las huellas de WordPress es sólo una de las tantas. Recuerda que ninguna es totalmente infalible, así que te damos un par de consejos que te permitirán mantener tu sitio a salvo
- Actualizar tu versión de WordPress ya que con cada nueva actualización se mejora la seguridad
- Recuerda que la versión de WordPress se muestra en muchos sitios y puede ser bastante agotador revisar todo el código en busca de esta información. E incluso si logras borrar todo rastro del número de versión, recuerda que un hacker sabe cómo explotar las vulnerabilidades de tu sitio. Tiene otros medios para detectar tu versión de WordPress.
- Esconder el número de versión de WordPress no te protege de bots ya que éstos ni siquiera buscan esta información