Muchos blogs de WordPress han sido atacados masivamente y estan infectados de malwares que lo están distribuyen por todo la red sin que los dueños de los blogs se enteren, la última versión de WordPress 2.9.2 es vulnerable también, lo peor del caso es que afecta a versiones self-hosted las cuales son las que tenemos instaladas en nuestro propio servidor.
Se ha dichó que esto puede ser por causa de una inyección SQL o tambien por alguna falla de un theme o plugin; es muy importante mantener nuestro sitio vigilado y con una actualizacion permanente y claro esta hacerle su respectivo Backup, con estas cosas siempre mantendremos un perfil de seguridad óptimo.
Plugin para la Seguridad de tu WordPress:
AskApache : Añade otro nivel de protección por contraseña, mediante la modificación del fichero .htaccess.
Login LockDown: Restringe el número de intentos fallidos para autenticarse en el blog, bloqueando las IPs que fallen la contraseña más del número de veces especificado.
Y es que más vale prevenir que lamentar. Por si todo esto falla, lo ideal es disponer de copias de seguridad diarias de los datos de nuestro blog.
Theme Authentity Checker: Permite escanear el código fuente del theme que tenemos instalado, siendo capaz de encontrar inyecciones de código o ataques similares además que muestra su ubicación exacta para poder limpiar el código.
WP Security Scan: Se encarga de escanear todos los ficheros del núcleo de WordPress (solo los nativos del CMS) en busca de algún código malicioso que se haya podido inyectar; es sumamente efectivo aunque no se recomienda usarlo muy a menudo debido al gran consumo de recursos que genera.
Stealth Login: Interesante plugin que permite modificar la URL del login de WordPress, utilizando una nueva URL personalizada que solo los adminsitradores y editores del sitio pueden conocer; de esta forma se protege la dirección de acceso al panel de administración de WP.
Consejos para Proteger tu WordPress:
– Elimina los ficheros de instalación y los importadores. Una vez hecha la instalación o actualización de WordPress se deben borrar los ficheros de instalación:
/wp-admin/install.php
/wp-admin/upgrade.php
/wp-admin/installer-helper.php
– Limita el uso de plugins. Los plugins suelen ser vulnerables, sobretodo a ataques XSS (una plaga hoy en día), si puedes prescindir de un plugin no lo dudes y hazlo.
– Protege /wp-admin/ quizá sea algo molesto pero si sabes a ciencia cierta en un momento dado que tu WordPress es vulnerable en el directorio wp-admin y todavía no hay solución puedes activar momentaneamente esta restricción.
