Es por ello que me di a la tarea de encontrar un método rápido y eficaz para esta premisa descubriendolo en el mismo repositorio de plugins de WordPress, especificamente en WP Security Scan, un plugin de los que tal vez no sea de los más populares pero que cumple extraordinariamente bien la tarea para la que fue programado.

Ya que una vez activado procede a escanear la seguridad de tu instalación de WP, valorando la seguridad de:

• tus contraseñas
• permisos de archivos
• examina vulnerabilidades por XSS
• verifica tu archivo .htaccess
• remueve la meta tag que indica la versión de wordpress sin gran intervención del usuario

Una vez concluido el test los errores encontrados te serán informados junto con sus respectivas soluciones para hacer los cambios pertinentes, lo remarcable del plugin es la profundidad con la que examina la fiabilidad de nuestra bitácora presentandonos en el informe areas del blog que tal vez no sepamos ni que existen.

En definitiva es un plugin que deberías probar si te preocupa mucho la seguridad del blog y que complementa junto con nuestro manual de seguridad WP una protección eficaz para tu blog.

Tan simple como poner esto en la barra de direcciones de tu navegador:

http://nombrededominio.com/wp-login.php?action=rp&key[]=

Para que acto seguido las contraseñas de las cuentas asociadas a la instalación se reseteen y las últimas queden deshabilitadas para los miembros del staff, aunque cabe destacar que no se gana acceso al blog de esta forma es un exploit que permite detener el logueo de los bloggers que escriban en dicha bitácora, al menos hasta que estos revisen sus correos para saber las nuevas contraseñas.

No obstante para cada mal hay cura, una muy sencilla afortunadamente:

Abrimos el fichero wp-login.php de nuestra instalación y sustituimos esta línea:

if ( empty( $key )  )

Por esto:

if ( empty( $key ) || is_array( $key ) )

Si no les funciona pueden bajar el fichero wp-login.php corregido del trac oficial de WP: http://core.trac.wordpress.org/changeset/11798?format=zip&new=11798 no te lo tomes a la ligera puede ser un verdadero dolor de cabeza si combinan esta vulnerabilidad con otros metodos de fuerza bruta para intentar tener acceso a las contraseñas de tu blog.

Hoy en dia es ya común el tener un blog, montarlo es fácil y luego sólo queda producir contenido, sin embargo muchas veces pasamos por alto implementar ciertas normas de seguridad a nuestra instalación de WordPress, que luego nos salen caras si nuestro blog empieza a crecer y/o publicamos una nota que no agrade a gente como crackers o personas que no simpatizen con tus opiniones.

WordPress en un hosting propio es una excelente, sino la mejor plataforma de publicación personal en internet, y dada su versatilidad implementar seguridad no es tan dificil como veremos a continuación con estos 10 tips, que de seguro te ayudan a aumentar la seguridad de WordPress.

1. Remover el usuario por defecto

Es sorprendente la cantidad de blogs que veo a diario que conservan el usuario por default que nos da WP luego de instalarlo: admin, esto es algo sumamente riesgoso pues con algunos intentos todos los crackers pueden dar con tu password, por lo que lo mejor es, una vez instales WP crees otro usuario, le asignes el rol de administrador, te conectes con él y borres a admin, el perfil por defecto.

2. Remover la versión de WordPress que utiliza el blog

A menudo se descubren bugs que hacen que tu bitácora quede expuesta, por lo que lo mejor es no decirles a los ciberdelincuentes que versión corre tu blog, ¿cómo hacerlo?, es bastante fácil, removiendo esta información de wp_head(); abrimos nuestro archivo functions.php, si no lo tienes crea uno y luego pega:

remove_action ('wp_head', 'wp_generator') ;

No olvides abrir y cerrar PHP dentro del código de apertura y cierre del archivo en caso de que sea lo único que pongas en tu archivo de funciones.

3. Actualiza tu WordPress y plugins

Ya lo dijimos arriba, el CMS es genial pero como todo tiene errores y aparecen continuamente, actualizalo apenas llegue la nueva versión, lo mismo para tus plugins, ¿que si pierdes una funcionalidad extra? o no te gusta el nuevo esquema de colores, creo que es un precio justo por la seguridad de tu arduo trabajo en tu bitácora. Evidentemente como para toda gestión de páginas web, se deben tener copias de seguridad antes de hacer cambios de esta clase o para tener backups por si llegase la catástrofe.

4. Limita los intentos de logueo

Suponiendo que alguien consiga tu nombre de usuario intentará por diversos métodos forzar el acceso a tu panel probando varias veces hasta encontrar tu contraseña, limita sus intentos con Limit Login Attempts.

5. Crear cuidadosamente los permisos de escritura y lectura de tu instalación

Jamás te vuelvas loco con los permisos de los ficheros porque algo no funcione y le pongas a todos CHMOD 777.

6. Crea respaldos de tu base de datos de forma periódica

Ya sea con PHPMyAdmin o con el plugin WP-DB-Backup

7. Usa una buena contraseña

Dirán que como digo esto si de por si WP nos asigna una contraseña, así es, pero los estudios no mienten y hay gente que sigue usando passwords como: 1234567, la misma palabra, su nombre, el del blog, luego sale caro, un buen password en mi opinión deberia contener el nombre de un lugar o cosa que sólo ustedes conozcan, números, artículos y signos, ni muy larga ni muy pequeña de 12 letras es perfecta.

8. Instala un antivirus

WTF! pero no es Windows, si, pero al estar alojado en un servidor es vulnerable al ataque mediante exploits, XSS o inyecciones de SQL, si consideras tener tu weblog protegido al 100% el plugin Antivirus es una gran adición a tu arsenal.

9. No descargues themes o plugins de cualquier sitio

Ok, tu instalación esta segura, pero tu mismo atentas contra ella descargando themes y plugins de cualquier página y luego los activas, en pocas palabras: te metes un tiro, siempre que descargues algo, investiga y hazlo de la página oficial e incluso si se puede verifica la suma MD5 si procede, para asegurarte que usas un producto 100% genuino y libre de riesgos.

10. Se Constante

Si te parece útil tener estos consejos de seguridad y llevas un blog, guarda esta guía o apuntala en algún archivo de texto y verificala periodicamente, de nada sirve hacerlo un dia y luego dejarlo pasar meses.