WordPress es uno de los sistemas de gestión de contenido más usados actualmente por varias causas, entre ellas: su facilidad de uso, sus licencia, y probablemente la enorme comunidad de desarrolladores que tiene detrás. La popularidad de WordPress también trajo, desgraciadamente, muchos ataques por parte de quienes pretenden inyectar software malicioso en los sitios con este CMS.
Por suerte la comunidad sigue desarrollando plugins con soluciones para todos estos problemas y al montar un sitio o mantener el que ya tenemos viene bien revisar qué extensiones de seguridad podemos instalar para evitarnos situaciones desagradables imprevistas. El próximo viernes 30 de noviembre se celebra internacionalmente el Día de la Seguridad de la Información, y desde Bitelia adelantándonos trayendo una buena selección de los mejores plugins de seguridad para quienes tengan su sitio en WordPress.
- Vaultpress: Automattic, la empresa creada por el fundador de WordPress, tiene uno de los mejores plugins de seguridad para esta plataforma. Vaultpress hace backups del contenidos en tiempo real, lo que hace muy simple restaurar el sitio (via FTP, SFTP o SSH) con sólo pulsar un botón. El precio para usuarios básicos es de 15 dólares por mes, y luego hay otras soluciones con más prioridades y opciones de soporte según las necesidades de cada uno.
- WordPress Backup to Dropbox: Este es un plugin que permite guardar en Dropbox automáticamente una copia de todo el contenido de tu sitio entero, incluyendo todos los archivos y la base de datos. Puedes tener la tranquilidad de que tu sitio estará respaldado de forma periódica en un sitio al que puedes acceder desde cualquier lugar en caso que lo necesites.
- Limit Login Attempts: Aunque tengamos una contraseña segura, muchos ataques de «fuerza bruta» se producen atendiendo a que WordPress por defecto permite ilimitados intentos de login. Limitándolos con este plugin los hacemos difíciles o casi imposibles. Podemos configurar varias cosas, como la cantidad de intentos permitidos, o si queremos que nos notifique vía email. También se puede poner algunas IPs en una lista blanca usando un filtro.
- BulletProof Security: Esta extensión te ayuda a revisar las opciones de configuración tanto del blog como del hosting. Comprueba los permisos de las distintas carpetas y archivos de la instalación de WordPress y los compara con las configuraciones de seguridad recomendadas, mientras protege archivos vitales como el wp-config.php de WordPress o el php.ini gracias al .htaccess de Apache. Ofrece cobertura ante ataques XSS, RFI, CRLF, CSRF, Base64, inyecciones de código o de SQL.
- Better WP Security: Un paquete que combina varias técnicas de seguridad en una sola extensión para WordPress. Esconde información relevante para un atacante, como la que se encuentra en los errores de páginas de login, cambia los prefijos predeterminados de bases de datos, agrega index.html a carpetas de plugins y oculta la versión de WordPress.
- Wordfence Security:
Una verdadera suite de seguridad profesional, que además es gratuita, aunque tiene una versión Pro de pago. Incluye un firewall, escaneo en búsqueda de virus, tráfico en tiempo real con geolocalización y muchas funciones más. Puede reparar tu núcleo, la plantilla y los archivos de los plugins, incluso si no tienes configurados backups. Es compatible con los multisitios. Es gratuito, y ofrecen una clave API Premium que te permite bloquear países y agendar escaneos para horas específicas. - BackWPup: Este plugin fue creado para hacer backup de todo tu blog de WordPress, y eso es lo que hace, y mucho mejor que otros. Guarda copias tanto de archivos como de la base de datos, y permite separar las tareas del backup, creando diferentes archivos más fáciles de manejar. Puede guardar en diferentes lugares: carpeta, email (si no es muy grande), FTP, Dropbox, SugarSync, Amazon S3, etc.
- Ultimate Security Checker: Una extensión que te ayuda a identificar problemas de seguridad de la instalación de tu WordPress. Después de escanear tu blog te da una puntuación de seguridad basada en los tests que ha hecho, y te muestra los errores para que puedas arreglarlos o te ayuda a que los resuelvas automáticamente. Diseñado para que lo use tanto un ingeniero como alguien que recién empieza.
- Akismet: Uno de los cazadores de spam más conocidos, desarrollado por Automattic. Akismet revisa todos los comentarios de tu blog y detecta los que son o parecen spam. Para usarlo, necesitarás una API key de Akismet, la cual es gratuita para blogs personales.
Foto: Nikolay Bachiyski
Este artículo fue publicado originalmente por mí en Bitelia.