primer desayuno tecnico siteground

Desayuno técnico en SiteGround

publicado por en Noticias el

Ayer 28 de Octubre tuve el placer de asistir como invitado al primer desayuno técnico que organizó SiteGround sobre seguridad en WordPress impartido por Fernando Tellado.

Lo primero es dar la enhorabuena y agradecer la organización del evento a José Ramón Padrón de SiteGround, María Gamero de influenZia y al propio Fernando Tellado.

primer desayuno tecnico siteground 2

A continuación un breve resumen sobre los puntos tratados en la charla:

Cambiar el Usuario Admin

Aunque de primeras parece que es un error que nadie debería cometer, no se sabe muy bien si por desconocimiento, pereza, o por el mero hecho de recordarlo fácilmente, aún hay mucha gente que usa nombres de usuarios muy comunes, y que facilitan el trabajo a un atacante.

Contraseñas seguras

Un poco en línea con el punto anterior, mucha gente opta por usar contraseñas fáciles de recordar, pero no caen en que también son fáciles de averiguar por atacantes malintencionados. Año tras año empresas de seguridad publican listas sobre las contraseñas más utilizadas y siempre encontramos: 1234, qwerty, abcd1234, access, password, etc…

Afortunadamente desde hace poco disponemos de un generador de contraseñas seguras en WordPress.

Cambiar el prefijo wp_ de la base de datos

Siguiendo la máxima de no dar facilidades a un posible atacante, una recomendación antes de instalar un WordPress es cambiar el prefijo de la base de datos.

Permisos de archivos y carpetas

La regla general nos dice que los permisos deben ser 755 para las carpetas y 644 para los archivos. Además recomendable poner el wp-config.php y el .htaccess a 444.

Proteger wp-config.php

Podemos proteger este archivo mediante reglas en el .htaccess o “esconderlo” cambiándolo de sitio por ejemplo a una carpeta de nivel superior.

Proteger acceso a wp-admin

También mediante una regla en el .htaccess podemos limitar el acceso a wp-admin a una IP o IPs concretas.

Instalando el plugin Limit login attemps podremos configurar el límite de accesos denegados al back-end de nuestro sitio.

También nos puede ser útil protegerlo con una contraseña adicional mediante .htpasswd

Usa un Captcha para login

Otro “filtro” que podemos usar para proteger nuestro panel de administración. Instalando un plugin como WP Login reCAPTCHA, podremos insertar el reCaptcha de Google en el formulario de login.

Actualiza, actualiza, actualiza

Una buena práctica es mantener actualizado tus temas y plugins. Constantemente se detectan vulnerabilidades, se corrigen errores, y huelga decir lo importante que es estar siempre con la última versión actualizada. Además, si tienes temas o plugins que no utilizas, bórralos.

Backups

Esta es más una medida de protección por si llega a pasar algo. Nos sirve como respaldo en el caso de que suframos un ataque. Podemos usar plugins para crear estos respaldos como BackWPup, aunque se pueden programar a nivel de servidor.

Un buen hosting

Desde SiteGround inciden en reseñar la importancia de un buen hosting. No sólo en temas de seguridad como las versiones de PHP, software de servidor actualizado, protección contra malware, reglas de seguridad en mod_security, protección contra XSS, aislamiento de cuentas y procesos, monitorización 24/7 y una rápida respuesta ante cualquier problema.

Si no que también es importante una optimización en los recursos del mismo que nos hacen ganar en tiempos de carga y velocidad de navegación, mejorando la experiencia de usuario, por ejemplo a través de caché, etc…

Llevo muchos años trabajando en el mundo web y he tenido la oportunidad de trabajar con muchas empresas de hosting: acens, arsys, dinahosting, 1&1, hostytec, godaddy, cdmon…Muchas experiencias buenas y malas, y en algunos casos pésimas…pero hoy me he llevado una muy buena impresión de SiteGround.

He podido ver de primera mano la pasión que transmiten por las cosas bien hechas, el compromiso que tienen con WordPress a nivel de desarrollo (contribuyen con el core), a nivel de seguridad (la máxima expresión de que es mejor prevenir que curar) y a nivel de optimización de rendimiento (velocidad de carga, caché…)

Además, participan en más de 75 eventos anuales, por lo que transmiten esa sensación de cercanía y empatía que no he visto en otros hostings.

¿Te ha resultado útil esta información? 🍺

Si este post te ha resuelto un problema, invítame a un café o a una cerveza. Con este pequeño gesto me animas a seguir escribiendo.

Puede que también te interese

Meetup: DIVI 2.5, posiblemente el mejor tema de WordPress de la Historia
Meetup: DIVI 2.5, posiblemente el mejor tema de WordPress de la Historia

El próximo miércoles 28 de Octubre de 2015 a las 19:00h se celebrará un Meetup sobre DIVI en el Telefónica Flagship Store (Calle gran Vía,…

WordCamp Madrid 2017
WordCamp Madrid 2017

Los días 22 y 23 de Abril se celebrará la WordCamp Madrid 2017. Las WordCamps son eventos oficiales de WordPress que se realizan a lo…

WordCamp Cantabria 2015, una experiencia inolvidable
WordCamp Cantabria 2015, una experiencia inolvidable

De vuelta en Madrid, me apetece contar la experiencia personal vivida en la WordCamp Cantabria que se celebró este fin de semana pasado en Santander.…

Desmontando falsos mitos de WordPress
Desmontando falsos mitos de WordPress

En el día de ayer se celebró el evento Desmontando falsos mitos de WordPress en Torre Espacio, organizado por VASS digital y SiteGround. Pedro Latasa, Fernando…

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *:

  • El fin del tratamiento es únicamente la moderación de comentarios para evitar spam
  • La legitimación es tu consentimiento al comentar
  • No se comunicará ningún dato a terceros salvo por obligación legal
  • Tienes derecho al acceso, rectificación y eliminación de los comentarios