Portada Wordpress Oculta tu WordPress al Mundo con WP Hide & Security Enhancer
Si sigues más o menos la actualidad del mundo WordPress, sabrás que cada vez se producen más ataques a las instalaciones de WordPress para poder hacerse con el control del sitio o simplemente incluir una redirección del dominio.
Como siempre comentamos, no se trata de que WordPress sea inseguro, si no por la gran cantidad de instalaciones de WordPress que existe en el mundo.
Así que para un atacante, le sale más rentable utilizar su tiempo y recursos atacar a WordPress, que en cualquier otra plataforma.
La mejor forma de proteger WordPress es mantenerlo siempre actualizado, tanto WordPress, como sus plugins, como los temas instalados.
Además de eso, existen varios plugins de seguridad que se encargan de hacer hardening en WordPress para controlar aun más la seguridad del mismo.
Otros usuarios prefieren ocultar todo rastro de WordPress de cara al mundo exterior.
Teniendo en cuenta que muchos de los ataques los realizan bots, máquinas programadas que se encargan de rastrear la red, si no pueden saber que estamos usando WordPress, eliminamos gran parte de estos ataques.
Para poder hacer esto sin modificar la estructura de directorios de WordPress, lo cual puede ser un un incordio, podemos recurrir a un plugin que se encargue de hacer esto por nosotros, como por ejemplo WP Hide & Security Enhancer.
El plugin WP Hide & Security Enhancer nos permite ocultar del todo WordPress al mundo.
Es decir, que todos los archivos de acceso, rutas archivos del núcleo de WordPress y todo lo que haga referencia a WordPress, desaparecerá.
El plugin es gratuito, aunque como suele ser habitual existe una opción Pro del mismo con más funcionalidades.
Puedes buscarlo en el repositorio de plugins de tu WordPress o descargarlo desde su web en WordPress.org
Una vez lo tengamos activo, encontraremos un nuevo menú en la administración de nuestro WordPress llamado WP Hide, desde donde podemos configurar todos los aspectos del plugin.
Nada más acceder a las opciones del plugin, veremos que nos indica que copiemos un enlace y guardemos en lugar seguro.
Esto es importante porque el plugin va a modificar muchos aspectos importantes en la estructura de WordPress, ocultarlos mejor dicho y si alguna vez tenemos problemas para acceder a la administración de WordPress, con este enlace restableceremos todas las opciones a su estado original.
Esto no quita que sea altamente recomendable hacer un backup previo a la modificación, por lo que pueda pasar.
Una vez hayamos guardado el enlace a buen recaudo, nos lo podemos enviar por email por ejemplo, podemos empezar a ocultar WordPress.
Como podrás ver, podrás modificar todos los aspectos de WordPress, Themes, wp-content, plugins, archivo XML-RCP, etc…
Algunas opciones necesitarán de un nombre alternativo, por ejemplo el acceso a WordPress, mientras que otras opciones será suficiente ocultarlas.
Lo que hay que tener claro es que sim cambiamos la ruta de acceso a WordPress, tendremos que acordarnos de cuál es la nueva ruta.
Quizás una de las opciones más habituales, es cambiar el acceso al administrador de WordPress y el plugin tiene una opción destacada entre sus opciones, desde donde podemos cambiar el acceso al login de usuario o del propio administrador.
Para empezar seleccionaremos la opción Administrador en el menú lateral del plugin y después en la pestaña Admin URL.
Desde este apartado podemos establecer una nueva URL de acceso, por ejemplo, si tu acceso habitual ha WordPress es:
http://midominio.info/wp-admin
Podemos cambiarla a algo parecido a esto:
http://midominio.info/mi-entrada
De esta manera cualquier bot o atacante que quiera acceder a nuestros WordPress, no le será posible acceder si no conoce la nueva URL de acceso.
Solo deberemos añadir la nueva ruta sin el domino, ya que el dominio no podemos cambiarlo, así que si queremos que nuestro acceso sea midominio.info/mi-entrada, solo añadiremos mi-entrada.
Una vez cambiemos guardemos los cambios podemos comprobar que la nueva URL redirecciona correctamente.
Esto es importante hacerlo, ya que el siguiente paso es anular la URL de acceso por defecto, así que si la nueva URL no nos funciona y anulamos la entrada por defecto, tendremos que eliminar los cambios y volver a empezar.
Para bloquear el wp-login.php haremos lo propio en la pestaña contigua, pero recordando que aquí si que tenemos que añadir la extensión .php del archivo.
En todas las opciones el propio plugin nos dará indicaciones al respecto y nos mostrará un enlace (en inglés ) con indicaciones al respecto.
De la misma forma que se ha bloqueado el acceso al login de WordPress con WP Hide & Enhancer, podemos reescribir y ocultar el resto de opciones de WordPress.
Por ejemplo, muchos usuarios bloquean el archivo XML-PRC porque no lo usan y es una de las formas más habituales de saltarse la seguridad en WordPress, normalmente por culpa de algún plugin desactualizado.
Así que si queremos bloquearlo solo tenemos que ir al menú WP Hide > Reescribir > XML-RPC y marcar la casilla correspondiente para bloquearlo.
Para ocultar o reescribir el resto de contenidos de WordPress solo tenemos que ir pestaña a pestaña hasta recorrer todos las opciones que el plugin nos ofrece.
Solo hay que tener en cuenta que, en el caso de reescribir, debemos acordarnos de las nuevas URLs que añadamos o al menos las más importantes.
En cuestiones de seguridad, cualquier capa extra que incluyamos parece una buena idea, así que ocultar que usamos WordPress al mundo es una buena recomendable, pero sabiendo bien qué estamos haciendo.
Si estamos en fase de desarrollo de la web, es posible que nos veamos en la necesidad de realizar modificaciones en WordPress y quizás no nos convenga estar reescribiendo URLs hasta haber terminado el desarrollo.
También es importante conocer cómo funciona un poco WordPress, para en caso de necesidad saber desactivar el plugin sin tener que rehacer la web.
En cualquier caso el plugin WP Hide & Security Enhancer hace lo que promete y nos aporta ese extra de seguridad al ocultar cualquier resquicio de WordPress al resto del mundo.
Eso si, de nada nos servirá si no lo mantenemos actualizado o instalamos algún plugin descargado de algún sitio no oficial.