Supongo que nos ha pasado a todos la primera vez. Tras unos cuantos años de desarrollo, WordPress se convierte en una plataforma asentada y robusta. A esa robustez le asociamos una percepción de seguridad, además de que los parches y las nueva versiones se actualizan varias veces al año. Luego, pensamos. ¿tantas correcciones y tantos bugs descubiertos lo hacen tan seguro como dicen algunos? Bueno, eso era lo que creíamos nosotros hasta que un día una simple inyección de código nos tira al suelo duros meses o años de trabajo y nuestro wp nos deja una sensación de puerta abierta hacia lo desconocido. Atrás quedan los días en que lo fundamental era adornar de plugins y widgets bonitos un blog para conseguir muchos visitantes. Luego llegó la hora del SEO (que todavía no ha finalizado) y todo era plugins de optimización y buenos resultados en los buscadores. Pero cuando tu pequeño proyecto se va haciendo más grande comienzan los miedos por los ataques hackers o de algún principiante echando mano de los famosos tutoriales de foros y páginas de seguridad.

Así que a partir de este momento, priorizamos sobre los conceptos de seguridad y salvaguardado de datos, véase backup. Por cierto, como voy a hablar de los plugins básicos que todo bloguero debería conocer, es importante leer un poco o estar informado del fichero .htaccess y sus múltiples usos (aquí hay un post sobre ello y veremos más plugins de seguridad que actúan sobre éste).

Pack Básico de Plugins:

• Akismet: ahora ya viene incluido con wordpress. Bloquea casi todo el spam que entra a nuestro blog gracias al API que conecta a sus servidores. Es un plugin de Automattic, los autores de WordPress. Para hacerlo funcionar tan sólo debemos introducir una API key gratuita que debe solicitarse a través del correo electrónico aquí.

• WP-SpamFree: Otro plugin que bloquea el spam y que actúa de forma silenciosa sin requerir captcha. Puede eliminar spam procedente de pingbacks y trackbacks. La página del autor comenta que no consume mucho ancho de banda y que asegura que no se dan casos de falsos positivos. Puedes descargarlo aquí.

• WP-Secure: Es un plugin que proviene de lo servicios SiteSecurityMonitor y que aportan algunas opciones que ellos mismos brindan como un escaneo básico de seguridad y otras funciones:

1. Chequea plugins caducados o desactualizados
2. Reduce los riesgos de vulnerabilidades del blog
3. Oculta la versión de WordPress a los usuarios y en el dashboard
4. Borra el RSD y el Windows Live Writer
5. Borra las informaciones de actualización y versiones del core, plugin y el theme.
6. Añade el fichero index.php en la carpeta de plugins y oculta dicha carpeta
7. Limita el acceso a wp-config.php y las carpeta wp-includes y wp-content
8. Puede limitar el acceso wp-admin a una sola IP (la tuya)
9. Te da la opción de cambiar el usuario admin por defecto y también comprueba la fortaleza de tu password.
10. Chequea los permisos de archivos y carpetas y te indica si hay algo incorrecto.
11. Puedes descargarlo aquí.

• WP Security Scan: Es un plugin que escanea tu instalación en busca de vulnerabilidades y te sugiere cómo corregirlas. Descárgalo aquí. Básicamente escanea:

1. Passwords
2. Permisos
3. Seguridad de la base de datos
4. Seguridad y protección de la administración de wordpress.

• Login Lockdown: Este plugin de Bad Neighborhood nos protege frente ataques de fuerza bruta. O sea, a los 3 intentos fallidos para loguearse en menos de cinco minutos, el plugin bloquea la IP del usuario (y todo su rango) durnate una hora. Puedes descargarlo aquí.

• Bad Behaviour: Otro plugin para evitar spam, un poco más avanzado ya que analiza el posible spam potencial de los bots y los bloquea.Es un ahorrador de CPU puesto que es capaz de bloquear los bots antes de que lleguen a ser procesados por demás software o plugins instalados. Puedes descargarlo de la página del autor aquí.