Mucho se ha hablado de la seguridad en WordPress y muchos hablan de las tareas a realizar para que no puedan hackear tu WordPress, lo cierto es que nada es seguro, hemos visto como grandes compañías que invierten millones de dólares al año han sido afectadas por hackers que en su mayoría no llegan a los 18 años de edad, es cierto que podemos llevar a cabo ciertas tareas para tratar de proteger nuestra información y de alguna forma hacerle más lento el proceso al hacker que quiera accesar a nuestros sistemas.

WordPress es un CMS bastante robusto y potente, los programadores de este CMS han sido especialmente cuidadosos en cuanto a la seguridad en WordPress, es claro que nada es 100% seguro, pero muchas veces el problema NO radica en WordPress, sino en lo que instalamos o subimos a nuestra plataforma.

Estaré publicando una serie de entradas en las cuales te estaré dando algunas recomendaciones para ponerle más seguridad a tu blog, empezaremos por los puntos más sensibles y comunes que se cometen y que en la gran mayoría de los casos jamás te habían comentado sobre esos pequeños detalles.

Veamos el primer paso a realizar:

• Cambiar el prefijo de la base de datos y de las tablas.

Sabemos que Fantastico De Luxe es una excelente herramienta para instalación de aplicaciones y muchos lo utilizamos para instalar nuestros blogs bajo WordPress, desgraciadamente viene con un gran bug de seguridad que los hackers aprovechan, Fantastico De Luxe crea la base de datos con un nombre genérico y le va agregando un numero dependiendo de la cantidad de instalaciones que ya tengas de wordpress, por ejemplo: usuariodehosting_wrdp1 donde usuariodehosting es el usuario con el que te registraste en tu hosting y _wrdp el nombre que Fantastico De Luxe va asignando a las nuevas bases de datos por lo que si ya tienes tres instalaciones de wordpress en el mismo hosting seria _wrdp1 _wrdp2 y _wrdp3, como puedes ver es un nombre bastante fácil y los hackers aprovechan esto para hacer de las suyas.

Pero espera que todavía hay más, no solo crea la base de datos con esa generalidad, sino que también el usuario de la base de datos lleva el mismo nombre, es decir, la base de datos se llama usuariodehosting_wrdp1 y el usuario de esa base de datos también se llama usuariodehosting_wrdp1, lo único que cambia es la clave o contraseña, pero si el hacker ya tiene el nombre de la base de datos, por consiguiente ya tiene también el usuario de esa base de datos por lo cual ya solo le falta la clave.

Espera, se lo que estás pensando, te preguntaras, cómo podría alguien saber el prefijo que le agrega Fantastico De Luxe a las bases de datos? Muy sencillo, basta que le hagan un scanner a tu dominio en algún sitio que permita hacer scanner hacia tu blog y obtendrán el nombre de la carpeta que está en el home del hosting, que básicamente es el contenedor principal de todo, complicado? En realidad no, más adelante te muestro este paso.

Como puedes ver en la imagen de abajo, genere 7 instalaciones utilizando Fantastico De Luxe y se observa que el nombre de cada base de datos es idéntico al usuario de cada base, ambos son lo mismo.

Eso que vimos es en cuanto a los nombres de las bases de datos, pero también hace falta el prefijo que se utiliza para las tablas que contiene la base de datos, todas las instalaciones desatendidas de WordPress a menos que se le indique lo contrario, pero en su gran mayoría el prefijo utilizado es wp_ puede ser por ejemplo la tabla de comentarios que sería wp_comments, también es recomendable cambiar el prefijo a las tablas para ponerle un poco más seguridad a nuestro wordpress.

Dado que no quiero ponerte a leer demasiado, te genere un video donde te muestro paso a paso como debes hacerle para cambiar primero el prefijo a las tablas y después el nombre a la base de datos de tu WordPress.

Adelante con el video… 

(Debido a que youtube no me permitía más de 15 minutos, tuve que seccionar el video en dos)

Video 1

Video 2

Que te parecio? te agradeceré me dejes tu comentario.