FAQ WordPress

Introducció

Les pàgines web basades en WordPress són molt populars i això n’augmenta la seva vulnerabilitat. Cal tenir-ne especial cura i fer-ne un seguiment periòdic. A continuació et farem un recull de consells que permetran que el teu WordPress sigui més segur.

Consells bàsics

  • Canviar els permisos del fitxer wp-config.php per tal de que només hi tingui accés el propietari. Aconsellable 600.
  • No utilitzar mai l’usuari “admin” o relacionat amb el nom de la web. Per defecte es crea l’usuari admin, per això crearem un nou usuari amb perfil administrador i hi passarem tota la informació del usuari admin cap al nou administrador.
  • Tenir els mínims plugins instal·lats en el nostre WordPress i només els que útilitzem, tindrem menys problemes de seguretat.
  • Intentar no tenir plugins que facin les mateixes funcions, moltes vegades es generen conflictes entre ells mateixos.
  • Mantenir els nostres plugins, temes i WordPress actualitzats, en el moment en que tenim una d’aquestes tres coses desactualitzades, augmentem la vulnerabilitat en el nostre wordpress i un accés fàcil per als hackers.
  • S’ha de comprovar regularment si els plugins que utilitzem estan al dia o han quedat obsolets. Actualment no hi ha cap manera ràpida de saber si els nostres plugins han quedat obsolets.
  • Al fer la instal·lació del WordPress, per més seguretat, es pot canviar el prefix de les taules de la base de dades, per defecte és “wp_”.
  • Recomanem la utilització del plugin All In One WordPress Security & Firewall, seguidament descrivim una bona configuració d’aquest plugin de seguretat.

 

Configuració All in One WordPress Security & Firewall

Aquest plugin és un dels més complets en temes de seguretat.

Per accedir a la part d’aministració d’aquest plugin ho tenim al menu lateral en l’apartat de WP-Security. Només d’accedir-hi anem directes a la pantalla principal on hi ha el gràfic de seguretat, per defecte estarà baix, però un cop tinguem tota la configuració feta tindrem una seguretat raonable.

Basic Firewall

Primer de tot activarem la configuració bàsica del Firewall.

  • WP Security / Firewall / activar Basic Firewall Settings

1WP

Login Lockdown Feature

En aquest apartat activarem la configuració de seguretat a l’hora de loguejar l’usuari.

  • WP Security / User Login / activar Login Lockdown Feature. Recomanem fer la següent configuració.

22WP

Brute Force

Seguidament configurarem tota la seguretat de cares a la força bruta, en quan el hacker a partir de molts intents intenta accedir al nostre apartat d’administració.

  • WP Security / Brute Force : aquí canviarem el nostre directori d’accés a l’administració, us recomanem que hi poseu un login que no sigui ni wp-admin, ni que el seu nom tingui a veure amb la mateixa pàgina.

32WP

  • WP Security / Brute Force / Honey Pot : Activant l’opció del honey pot es crea un camp ocult on només els robots dels cercadors veuen i omplen. Aquest cap per defecte és invisible i si es vol accedir a l’administració no s’ha d’omplir.

41WP

Scanner

En el cas remot que ens hagin entrat al nostre compte, afegirem un escaner setmanal que revisarà tots els fitxers del nostre WordPress i en cas de que hi hagi alguna alteració ens avisaria inmediatament.

5WP