Una forma de crear, utilizar y gestionar páginas web ricas en contenido es utilizando un CMS. Este tipo de software, nos permite generar nuestra web rápidamente y pudiendo añadir contenido de una forma fácil y rápida. Pero no todo es ‘color de rosa’; al ser software que muchos desarrolladores conocen y saben cómo editarlo, muchos saben también como ‘hackearlo’.
Wordpress, uno de los CMS más extendidos, ha estado sufriendo ‘ataques’ por parte de usuarios con el fin de hacer phising, ganar enlaces con técnicas BlackHat SEO o simplemente por diversión.
Aquí un decálogo básico de protección para WordPress.
1. Actualiza. Mantén actualizada la versión del WordPress así como todos los plugins. Muchos de los bugs de la releases nuevas son relativos a la seguridad.
2. Borra viejos themes y plugins. Si no estás usando themes y/o plugins, bórralos. Desde el codex de wp no se aconseja utilizar más de 6/8 plugins por instalación.
3. Deshabilita el editor de themes y plugins. Los intrusos que son capaces de suplantar tu acceso como administrador, son capaces también de insertar código malicioso en tu wordpress, por ejemplo, pueden reemplazar un archivo del theme por un uploader en php y subir muchos más sin tu permiso, así como cambiar directivas de seguridad en dentro de la instalación del CMS. Para esto, en el archivo wp-config.php, tienes que añadir las siguientes 2 líneas:

/* Deshabilita editor themes/plugins */
define( 'DISALLOW_FILE_EDIT', true );
define( 'DISALLOW_FILE_MODS', true );

Una vez hecho esto, no podrás editar los archivos directamente desde el administrador de wordpress.

4. Protege tú .htaccess. El archivo .htaccess de tu alojamiento actúa como el archivo que controla el acceso y la seguridad a los archivos dentro del hosting; así como los permisos de los usuarios y su acceso a determinado tipo de archivos. Protegiéndolo evitas que puedan modificar una parte crítica de su site. Es necesario añadir lo siguiente:

# protegiendo .htaccess
order allow,deny
deny from all
satisfy all

5. Deshabilita el acceso al listado de directorio de tu hosting. Ya que estamos editando el archivo .htaccess, podemos añadir una linea que nos deshabilitará la habilidad de listar los archivos de los directorios de nuestro hosting. Esto se utiliza para ver las posibles vulnerabilidades que tiene nuestro alojamiento. Es necesario añadir esta línea:

# Deshabilita la opción de listar los directorios
Options -Indexes

6. Protege tu wp-config.php. Siguiendo con la edición de nuestro archivo .htaccess, podemos reforzar el acceso del archivo más crítico de cualquier WordPress, el wp-config.php. Este archivo contiene mucha información sensible, relativa al acceso a nuestra base de datos. Añade estas 4 líneas a tu archivo .htaccess:

# protegiendo wp-config.php
order allow,deny
deny from all

7. Impide ejecutar archivos. Los archivos ejecutables pueden – a menudo lo hacen – insertar código malicioso, spyware o worms en los ordenadores de los usuarios. Con los servidores sucede lo mismo. Esto puede ser bloqueado, como no, con nuestro .htaccess, así:

# bloquea los archivos .exe
<files "*.exe">
order deny,allow
deny from all

8. Permite el acceso tanto al administrador (wp-admin) como al formulario de acceso (wp-login) sólo desde direcciones IP conocidas. Esta configuración es muy restrictiva, pero es muy útil para evitar accesos no deseados a las partes críticas de nuestro WordPress.

Esto hay que hacerlo en 2 pasos:
1º – bloquea el acceso a wp-login desde IPs no conocidas:

order deny,allow
deny from all
# permite acceso desde IPs estáticas
allow from xxx.xxx.xxx.xxx
# permite acceso desde rangos de IPs dinámicas
allow from xxx.xxx.xxx.0/8
allow from xxx.xxx.0.0/8

2º – niega el acceso al administrador de IPs no conocidas:

order deny,allow
deny from all
# permite acceso desde IPs estáticas
allow from xxx.xxx.xxx.xxx
# permite acceso desde rangos de IPs dinámicas
allow from xxx.xxx.xxx.0/8
allow from xxx.xxx.0.0/8

9. Recomendaciones adicionales. Por último, y sólo en caso de no abusar de los plugins instalados en nuestro sitio web, 3 plugins que aumentan la seguridad:
Login LockDown – http://wordpress.org/plugins/login-lockdown/ -> no actualizado desde hace tiempo, pero funcional
Acunetix WP Security – http://wordpress.org/plugins/wp-security-scan/
AskApache Password Protect – http://wordpress.org/plugins/askapache-password-protect/
10. Visita y controla asiduamente tu site, para ver que todo funciona y está en su sitio. Muchos propietarios no visitan su página y ceden accesos con permisos a terceras personas que pueden hacer buen o mal uso de dichos permisos. Controla quien accede a tu web. Borra usuarios que no se usen.