Planeta WordPress

Hace unas semanas, hablamos en el tutorial de seguridad sobre la instalación de WordPress y en el segundo punto recomendábamos cambiar el prefijo de las tablas de WordPress y no utilizar el prefijo predeterminado, “wp_“, para poner las cosas más difíciles a los usuarios malintencionados.

Esto es muy fácil de hacer si estás haciendo una nueva instalación de WordPress, pero como nos decía @Juan en los comentarios, no es tan fácil hacerlo si ya tienes tu blog instalado y en funcionamiento. Es por esto que hoy he querido hablar de WP Prefix Table Changer, un plugin que nos facilitará muchísimo esta tarea.

Este plugin es práctico por dos razones. Primero, si tienes el prefijo cambiado, cualquier atacante tendrá que adivinar dicho prefijo, cosa que puede ser realmente difícil dependiendo del que pongas. Por otra parte, muchos servicios gratuitos de hosting proporcionan una sola base de datos: en caso de que quieras tener más de un blog WordPress, será imprescindible cambiar dicho prefijo. Esto puedes cambiarlo en la instalación, pero siempre va bien poderlo cambiar si ya tienes el blog instalado y funcionando.

Como ya debéis haber visto, estamos tratando con la base de datos, así que es imprescindible que antes de empezar hagas una copia de seguridad. En general, cuando utilices plugins que cambien cosas importantes o cuando estés manipulando tu sitio, te recomiendo que hagas backup tanto de la DB como de los archivos del servidor FTP: mejor prevenir que curar. Puedes hacerlo utilizando WordPress Database Backup.

Seguidamente, sólo tienes que descargar el WP Prefix Table Changer, instalarlo y ejecutarlo. ¡Fácil!

Fuente: BlogSecurity

Una de las muchas funcionalidades interesantes de WordPress son los plugins. Nos permiten ampliar las posibilidades de nuestro blog añadiendo funcionalidades y opciones que WordPress no trae. Aún así, si nos referimos a seguridad, debemos tener cierto cuidado, ya que cualquier plug-in puede introducir bugs de seguridad en nuestra instalación de WordPress.

Es por este motivo que se recomienda, en general, utilizar el mínimo de plugins posibles. Coge tu lista de plugins y pregúntate: ¿este plugin realmente es esencial para mi blog? Todos los plugins nos dan funcionalidades extra, pero seguro que algunos podrías ahorrártelos fácilmente. Y aquellos que sigas queriendo mantener instalados, debes tenerlos actualizados a su ultima versión para ahorrarte problemas.

Para controlar tu WordPress y comprobar que no esté fallando nada, puedes instalar algunos plugins de seguridad:

1. WordPress Database Backup: Siguiendo con el anterior artículo del tutorial de seguridad, plugin imprescindible para realizar tus copias de seguridad periódicamente sin preocuparte.
2. WP Security Scan: escanea tu instalación de WordPress para buscar vulnerabilidades de seguridad y sugerirte acciones para corregirlas. Escanea passwords, permisos de archivo, seguridad de la base de datos, protección de la administración de WordPress, etc.
3. Semisecure Login Reimagined: incrementa la seguridad del acceso (login) a tu blog utilizando una combinación de claves públicas y privadas de encriptación para esconder tus passwords de vistas ajenas. Se requiere JavaScript y es especialmente útil si no dispones de SSL.
4. Invisible Defender: Añade dos cajas de texto adicionales e invisibles a todos los formularios del blog, cosa que nos permite evitar muchos de los bots de SPAM y otras técnicas de ataque.
5. Theme Authenticity Checker: Nos permite escanear el código fuente de nuestro theme, siendo de esta forma capaz de encontrar inyecciones de código malicioso o ataques similares, mostrando donde está el código problemático para poderlo eliminar fácilmente.
6. WP Antivirus: Antivirus para WordPress que permite encontrar ficheros sospechosos, es una solución fácil y efectiva de proteger tu blog frente a exploits y inyecciones de SPAM. Aquí tienes la reseña de WP Antivirus en TodoWP de Marcelo Lynch.

Hay muchos más plugins disponibles por Internet, seguro que muchos muy buenos, pero creo que con estos puedes tener una buena instalación segura. Si conoces algún otro interesante, ¡coméntalo y así todos aprendemos!

Fuentes: Bitelia, anieto2k, bitsignals.

Tras dos posts sobre seguridad, 1. Consejos básicos: tus contraseñas y 2. Seguridad básica: instalación de WordPress, hoy toca hablar sobre las copias de seguridad. Tu blog empezará con poco contenido y quizá no veas razonable hacer copias de seguridad muy a menudo, pero dentro de unos meses seguro que tendrás muchos posts, páginas, tutoriales, reseñas… lo que sea, que seguro que querrás tener bien guardado.

Habitualmente WordPress no falla, no perdemos datos cuando instalamos plugins o themes, ni cuando actualizamos alguno de sus componentes. No obstante, siempre que hagamos algún cambio importante en nuestro blog deberíamos tener copia de nuestra base de datos y de nuestros archivos de servidor. Un error típico y fácil es hacer copia solamente de la base de datos, y dejarnos sin copiar las imágenes y archivos que tengamos almacenados en nuestro blog.

Empecemos por la base de datos. Personalmente, en mi blog utilizo un plugin que se llama WordPress Database Backup. Al instalarlo, te aparece un menú de Backups en el apartado de Herramientas de tu blog, donde puedes configurar respaldos manuales (guardar una copia de tu base de datos en el servidor o en tu ordenador) o automáticos (programar respaldos que te enviarán a un correo electrónico, con posibilidad de hacerlo cada hora, dos veces al día, cada día, una vez a la semana…). Un plugin muy recomendable.

Personalmente, hago un backup semanal de la base de datos, de forma automática a mi correo electrónico. No obstante, esto no debe ser así en todo blog: depende, sobre todo, de lo que actualices. Si es un blog muy activo, con comentarios a diario, muchas entradas, etc., quizá es mejor hacerlo a diario. Es igual de fácil, ¡con este plugin es todo automático!

Para las copias de seguridad del servidor no utilizo ningun plugin ni programa automático. Muchas compañías de hosting te ofrecen la posibilidad de que te hagan respaldos automáticos en sus propios servidores, de forma que ya no necesitarías hacer nada. Aun así, yo estoy acostumbrado a hacer una copia de seguridad de mi servidor de vez en cuando, quizá una vez al mes o cada dos meses. En mi servidor básicamente lo que se actualiza son blogs, así que no tengo muchas novedades, solamente imágenes para ilustrar los posts. Creo que así es suficiente, pero esto es decisión vuestra.

Espero que este pequeño tutorial haga que los usuarios de WordPress se conciencien y hagan todas las copias de seguridad necesarias para no perder nunca nada. Y, sobre todo, no olvidéis las copias de seguridad antes de actualizar vuestro WordPress a una nueva versión: es el proceso más delicado que hace nuestro sistema de gestión de contenidos y es mejor no dejar nada al azar.