Unos simples consejos sobre cómo mantener seguro nuestro blog, aunque se refiere a los que están gestionados por WordPress puede servir para todos los CMS, incluidos propios.

1. Actualiza tu WordPress. Es la recomendación principal que se da siempre, y que muchos pasamos por alto, por que quizás pensemos sea un proceso tedioso y tome mucho tiempo. Tener actualizado nuestro WordPress evitar el ataque de hackers ó spammers. En el tablero del administrador se nos notifica cuando ha salido una versión reciente de WordPress. Existe un plugin que nos puede ayudar a este respecto: WordPress Automatic Upgrade, que nos guía paso a paso a través de proceso de actualización.

2. Cambia el nombre de usuario por defecto. "admin" es el nombre de usuario por defecto cuando instalas WordPress, sin embargo es bueno una vez instalado WordPress crear una cuenta de usuario con todos los privilegios necesarios y luego eliminar admin. Los hackers y spammers saben que del usuario "admin" por lo que dejarlo así podría exponer nuestro blog a ataques.

3. Elimine información de la versión de WordPress. En la cabecera del documento HTML hay información relacionada con la versión de WordPress que actualmente tenemos gestionando nuestro blog. Nuevamente, para evitar ataques eliminemos la siguiente línea del documento header.php.

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" /> 

Vaya a tablero > diseño > editor de temas, y seleccione el archivo de tema cabecera y ubique la línea anterior para eliminarla.

4. Conoce tus plugins. Existen centenares de plugins para WordPress, sin embargo no todos son seguros. Algunos pueden contener código malicioso que permiten al creador acceder a tu blog y representar una amenaza. La mejor manera de garantizar la seguridad de los plugins es acceder a WordPress.org, el equipo de WordPress prueban los plugins nuevos para garantizar que no contengan código malicioso.

5. Cambia el nombre de las tablas de la base de datos. Por defecto se usa el prefijo WP para el nombre de las tablas. Pero como hemos venido mencionando los hackers se valen del "por defecto" (ó mas bien defectos) del blog para atacar. Al momento de instalar puedes personalizar el prefijo de las tablas.

Si tienes las tablas con el prefijo WP puede usar este plugin para cambiar esto con un par de pasos:  WP Prefix Changer.

6. Oculta algunos de tus directorios. Quizás permitimos que rutas como http://www.miblog.com/wp-content/plugins sean visibles a muchos usuarios curiosos. Pero es importante para la seguridad evitar el acceso a estos directorios de nuestro blog.

Hay unas cuantas formas de hacer esto: 1) podemos colocar un simple index.html en blanco en cada uno de estos directorios donde están alojados los archivos de código ó 2) configurando el archivo ".htaccess" para evitar el acceso a ciertos directorios del sitio.

7. Bloquea los directorios WP de los motores de búsqueda. Tu blog estará expuesto a ataques si dejas que ciertos directorios aparezcan en los buscadores. Una forma de evitar esto es usando un archivo robots.txt en la raíz del sitio web, este archivo le dice a las robots ó crawlers qué directorios ó paginas deben indexar. Por ejemplo si no queremos que los directorios con prefijo WP sea indexados escribimos estos:

Disallow: /wp-* 

Consejos probados desde Steven Sanders