Seguridad en Wordpress

ramoncito · #1 (**permalink**) 09/01/2013, 14:34

Amigos:

Soy usuario de Wordpress, he programado algunos módulos, armado algunos theme. Considero que tengo un manejo intermedio en wordpress, no obstante he sido victima de hacking en mi Wordpress.

Hace un tiempo sufrí un hackeo en una página y tomé la decisión de instalar Login LockDown, que es un plugin que evita el hacking por fuerza bruta. También tengo un nombre de usuario distinto a "admin" (que era clave para las versiones anteriores de Wordpress), pero hace unos días he vuelto a ser víctima del hacking.

Ahora bien, el único cambio que los "script kiddie" han realizado en mi Blog es cambiar el Título y la Descripción de mi blog y desconozco que sugerencias puedo implementar en seguridad.

¿Me pueden ayudar?

zanguanga · #2 (**permalink**) 09/01/2013, 15:04

¡Claro!

Por una parte el codex da muy buenos consejos: http://codex.wordpress.org/Hardening_WordPress

Si llevas arrastrando el wp-config.php desde versiones muy antiguas es el momento de renovarlo por el nuevo y usar las opciones de seguridad que trae.

Por otra, personalmente un plugin que me ha gustado mucho para controlar un sitio hackeado es este que colgué en el hilo de plugins interesantes. Lo usé en el sitio de un cliente y me gustó mucho, pues realmente funciona muy bien y da bstante tranquilidad.

Además, siempre recomiendo eliminar todos los plugins y temas que tengas instalados y no necesites, revisar permisos directorios y archivos y cambiar todas las contraseñas, lo mejor es usar contraseñas seguras y distintas para cada cosa: mail, user, ftp, BBDD, foros, etc.

ramoncito · #3 (**permalink**) 09/01/2013, 19:44

Zanguangua:

Seré tu conejillo de indias, probaré tus sugerencias y configuraciones y te contaré si me vuelven a hackear. Si tienes twitter nos podemos seguir por ahí.

Saludos,

@rmartinezv

zanguanga · #4 (**permalink**) 10/01/2013, 06:05

De conejillo de indias nada, jajaja. Es lo que yo hago y jamás me han hackeado. Espero que te sirva

Malenko · #5 (**permalink**) 10/01/2013, 06:28

Si ha sido un script kiddie,lo primero es actualizar scripts y theme. Utilizas alguno de ellos "nulled" o que esté bajado de alguna web no-oficial?

ramoncito · #6 (**permalink**) 10/01/2013, 06:51

Malenko:

Todos los scripts los bajo de Wordpress. Desconozco por donde me habrán hackeado. Ahora he tomado la iniciativa de zanguanga instalando wordfence y hechandole una mirada a la configuración de mi .htaccess.

Acepto todo tipo de sugerencias

zanguanga · #7 (**permalink**) 10/01/2013, 19:49

En diciembre se supo de una vulnerabilidad del plugin W3 Total Cache, creo que la corrigieron en la última actualización. ¿Lo tenías instalado?

ramoncito · #8 (**permalink**) 11/01/2013, 06:33

Nop.

Yo creo que mi error ha estado en la configuración incorrecta o débil que tenía de .htaccess