La seguridad es un aspecto de gran importancia en el que no todo el mundo suele reparar o dedicarle el tiempo suficiente. A pesar que, prácticamente cada día, se generan un buen número de noticias sobre fallos de seguridad o suplantaciones de identidad, no siempre los usuarios ponen las medidas adecuadas para mitigar la probabilidad de verse envueltos en un incidente que ponga en riesgo sus datos personales o les provoque una crisis de reputación. Está claro que la seguridad total no existe pero sí que es cierto que, con las medidas adecuadas, podemos sentir confianza en algo (de hecho así es como se define la seguridad) y, por ejemplo, podremos gestionar nuestra página web o nuestros perfiles sociales de una manera más cómoda centrándonos en lo que es importante solamente realizando una inversión previa de tiempo en mejorar la seguridad en WordPress o en nuestros perfiles de Twitter o Facebook.

Wordpress - seguridad en WordPress

WordPress es uno de los gestores de contenidos más extendidos en la red, un hecho que hace que encontremos un buen número de recursos para complementar las funcionalidades de este CMS (ya sean widgets o extensiones) y, claro está, al estar tan extendido en uso no es raro que haya gente con no muy buenas intenciones que intenten acceder a nuestro blog para extraer información o para sembrar malware que atente contra nuestros visitantes.

No es la primera vez que hablamos de la seguridad en WordPress pero, dada la importancia de esta temática, vale la pena ampliar el alcance con nuevos recursos con los que "blindar" nuestro blog o nuestra página web y, de esta forma, podamos dedicar más tiempo a lo que es realmente importante: los contenidos.

Remember Me Not

Remember Me Not es una extensión dedicada a aquellos que utilizan la opción "recordarme" cuando hacen login en WordPress. Aunque no niego que esta funcionalidad sea cómoda, sí que es cierto que supone un riesgo dejar la sesión abierta (mantener una cookie en el navegador) cuando accedemos a nuestro blog desde un ordenador de uso público o desde un equipo que no es nuestro.

La mejor pauta a seguir en estos casos es usar sesiones anónimas en el navegador, así cuando cerramos la ventana cerramos de golpe todas las sesiones; sin embargo, si tampoco somos dados a bloquear nuestro equipo cuando nos levantamos de la mesa, quizás necesitemos una ayuda adicional con este plugin que lo que hace es eliminar de WordPress la opción de "recordar" nuestra sesión y, por tanto, cada vez que accedamos al blog tendremos que entrar con nuestro usuario contraseña (eliminando así las sesiones abiertas).

Htaccess Secure Files

Htaccess Secure Files es un interesante plugin para WordPress que nos ayuda a gestionar los archivos .htaccess de Apache y controlar así el acceso a determinados directorios de nuestra web.

Con la idea hacer algo más accesible esta medida de seguridad a todos los usuarios, este complemento nos abstrae de la tarea de escribir nuestros archivos .htaccess y manejar su sintaxis para pasar a un editor gráfico en el que definiremos los roles que pueden tener acceso a ciertas carpetas de la estructura de WordPress así como las direcciones IP admitidas (o rechazadas) para gestionar el blog o, incluso, gestionar qué acciones pueden hacer los usuarios de nuestro blog (activar plugins, crear usuarios, etc).

Un recursos muy interesante para mejorar la seguridad en WordPress sin necesidad de ser expertos en la materia.

Seguridad SSL

WordPress HTTPS (SSL)

WordPress HTTPS (SSL) es un complemento a tener en cuenta si queremos ofrecer conexiones cifradas entre nuestro blog y los visitantes, algo que es muy útil, por ejemplo, si trabajamos con WordPress en un proyecto relacionado con el comercio electrónico.

Este complemento aspira a ser una consola central desde la que gobernar todos los aspectos relacionados con SSL y WordPress, por ejemplo, forzar el uso de SSL cuando nuestros usuarios están validados en el sistema, forzar conexiones seguras cuando estamos trabajando con la zona de administración de la página o crear un esquema de redirecciones de determinadas páginas hacia sus versiones bajo conexiones seguras.

Un recurso muy interesante que deberíamos tener siempre a mano o, en su defecto, alternativas como SSL for Logged In Users.

Authy Two Factor Authentication

Gracias a Authy Two Factor Authentication podremos añadir a nuestra instalación de WordPress una estupenda mejora de seguridad en WordPress en cuanto al acceso de usuarios se refiere puesto que podremos dotarlo de la autentificación en dos pasos, es decir, el mismo mecanismo de seguridad que podemos encontrar en Dropbox o en Gmail pero llevado a la seguridad en WordPress.

Dicho de otra forma, además de ser necesario el par usuario-contraseña, se introduce un tercer elemento al proceso de login con el envío de un código numérico a través de SMS que sirve como verificador de la identidad de la persona que pretende acceder al blog (muy útil para los administradores).

Minimum Password Strength

Minimum Password Strength es un complemento que está basado en el "medidor" de fortaleza de contraseñas que incluye WordPress pero que dota a los administradores de la potestad de fijar un nivel mínimo de fortaleza a las contraseñas. Dicho de otra forma, podremos fijar un nivel fuerte de contraseñas a los usuarios y, por tanto, estos tendrán que usar este tipo de contraseñas porque serán las únicas admisibles en el sistema.

La idea, en mi opinión, es interesante porque genera en el usuario la adopción de ciertas prácticas que, si no las obligamos, sin difíciles de interiorizar y, si se cumplen las expectativas que anuncia el desarrollador del plugin, las próximas actualizaciones de la extensión irán encaminadas a que aplicar políticas de contraseñas específicas a los distintos roles de nuestro WordPress, es decir, podremos aplicar contraseñas fuertes a los administradores y, por ejemplo, admitir las de fortaleza media a los editores (dotándonos así de mayor control sobre nuestro blog y las políticas de seguridad).