Todo webmaster o blogger vive esperando que nunca llegue el día en que se encuentren con que su sitio web ha sido hackeado, nada hay mas frustrante y atemorizante que el fruto de nuestro trabajo se vea expuesto a merced de delincuentes cibernéticos, afortunadamente quienes usamos WordPress para nuestros proyectos en la web disponemos de algunas herramientas en forma de plugins que nos ayudan a minimizar el riesgo de ser hackeados, ya que eliminar el riesgo totalmente sería una utopía, a continuación una lista de plugins que son recomendados por el equipo de Friedbeef.com y otros adicionales recomendados por el equipo de Infonucleo.com, para reducir el riesgo de pasar por un trance de estos.
Este plugin nos permite crear urls personalizadas del tipo http://www.misitio.com/loginsecreto para loguearnos, desloguearnos, acceder al panel de administración o registrar nuevos usuarios, incluso nos permite usar un «Modo Stealth» que evita que alguien acceda usando el enlace universal «wp-login.php» lo cual también va a dificultar mucho a los bots que usan ataque de diccionario, o brute-force, el acceder a nuestro panel.
Ojo: Este plugin parece tener algunos problemas de compatibilidad con algunas versiones, sugiero no descargarlo ni implementarlo aún hasta que estos problemas sean resueltos.
Este plugin nos protege de los ataques «de diccionario» y «Fuerza bruta» que consisten en tanteos al azar hechos con lista de miles o millones de palabras, realizados por programas y bots para tratar de dar con nuestra clave, ya que WordPress no tiene un número limitado de intentos de acceso, en teoría un atacante podría probar millones de passwords hasta dar con el nuestros, este plugin se ocupa justo de eso y limita el número de intentos a una cantidad que nosotros podemos definir, cuando se supera este límite, la cuenta queda bloqueada y solo se puede recuperar accediendo al enlace para contraseña perdida o si la cuenta de administrador esta hábil, através del panel de administración. Este plugin también puede usarse para banear a ciertos usuarios, que ya no podrán acceder con sus claves habituales.
Este plugin es similar al anterior, lo que hace es limitar el número de intentos de logueo para una dirección IP, ya sea através de login normal, como através de auth cookies (WordPress 2.7 o superior), con esto disminuyen las probabilidades de que un ataque de diccionario resulte exitoso.
Este plugin detecta y bloquea los intentos automatizados de acceso a nuestra cuenta (realizados por bots), usa técnicas avanzadas de análisis estadístico y tecnología de identificación de bots, cuando uno de ellos es identificado, SpiderSquash agrega su «firma» a la base de datos global que tiene el plugin, por lo tanto el bot quedará bloqueado en todos y cada uno de los blogs usando SpiderSquash, para poder acceder a este servicio es necesario que nos registremos, el registro es gratuito para sitios no corporativos.
Encripta el proceso de logueo, la teoría esbozada por los creadores es un poco técnica pero acá vamos:
Un código Javascript trabaja junto con el archivo wp-login y genera cada vez que el usuario se loguea, una clave DES única, usando esta clave, la propia clave del usuario es encriptada, el código Javascript encripta la clave DES usando la clave pública RSA (que se genera cuando el plugin es activado en nuestro panel de administración), la clave de usuario encriptada y la clave DES son entonces envíadas al servidor, luego una rutina verifica que se ha recibido la clave DES, si es así, se decripta usando la clave privada RSA y luego se decripta la clave de usuario usando la clave DES…
No entendieron nada? no se preocupen, solo tienen que saber que es una tecnología similar a las que usan las tiendas de comercio electrónico para evitar que nuestras claves de tarjeta, por ejemplo, sean interceptadas en el proceso de envío, si la clave es interceptada, el delincuente se dará con la ingrata sorpresa que está encriptada.
Este plugin sigue la misma lógica que el anterior, es decir, se asegura de que nuestra clave es transmitida en forma encriptada, en este caso usando el protocolo CHAP, utiliza el algoritmo MD5 y el autor indica que durante el primer intento de login saldrá un error, pero en el segundo intento todo va ok.
Este plugin nos permite loguearnos en nuestra cuenta usando claves que solo son útiles una sola vez, nos ofrece seguridad cuando accedemos desde sitios no precisamente seguros, por ejemplo desde cyber cafes o PCs desconocidas, para funcionar requiere que el servidor corra PHP 5.0.0 y la version de WordPress sea 2.8 o superior.
La lógica con la que funciona este plugin es la siguiente: en la pantalla de login aparece un número resaltado, este número esta asociado a una frase, en una lista de frases que debemos tener a mano (salvo que tengamos una memoria prodigiosa), entonces cada vez que queremos loguearnos desde un sitio poco seguro podemos usar esa frase teniendo como guía el numero resaltado. La versión 2 de este plugin también puede proteger el panel administrativo solicitando una clave con el mismo proceso que el descrito anteriormente.
Este plugin sirve para averiguar si nuestro blog esta siendo hackeado, nos muestra información pertinente al último acceso en nuestro sitio, por ejemplo nos muestra el IP.
Este plugin examina nuestra instalación de WordPress para identificar posibles vulnerabilidades y nos alerta sobre estas, la evaluación de seguridad incluye claves, permisos de archivos, seguridad de la base de datos, ocultar la versión, seguridad en la sección de administración, etc.
Este plugin es de la factoría del sitio Sitesecuritymonitor.com y hace lo siguiente:
- Realiza verificaciones de seguridad
- Actualiza la última versión de WP
- Busca plugins desactualizados
- Retira la información de error de la página de login
- Oculta nuestra versión de WP
- Elimina Windows Live Writer
- Elimina la información de actualización del nucleo
- Elimina la información de actualización de plugins
- Elimina la información de actualización de temas
- Agrega el archivo index.php al directorio de plugins
- Oculta nuestro directorio de plugins
- Prueba la fortaleza de nuestra clave de administrador
- Restringe al accedo a archivos críticos etc.
Inspirado en: Friedbeef.com