5. Gestió de complements amb WordPress (.org)

5.2. Complements de seguretat

Com que es tracta d’un programari amb una gran implementació a tot el món, s’ha convertit en un objectiu per a pirates informàtics, sia mitjançant correu brossa, injecció de codi maliciós o altres tècniques.

Els tres factors principals que hem de protegir amb WordPress (i que depenen de la persona que administra la web) són els següents:

• les actualitzacions,
• els comentaris, i
• l’accés al nostre panell d’administració.

Solucionar el problema de les actualitzacions és la part més senzilla: sempre que mantingueu al dia les actualitzacions del vostre equip.

En l’apartat «Escriptori > Actualitzacions» podeu comprovar si estan actualitzats tant la pròpia versió de WordPress com els temes, els complements i les traduccions. Bona part de les injeccions de codi maliciós procedeixen dels complements o temes no actualitzats.

Actualitzeu el motor de WordPress, els complements i els temes sempre que hi hagi actualitzacions disponibles, però seguiu aquests consells:

• Feu una còpia de seguretat del vostre lloc web abans d’actualitzar-lo.
• Procureu fer les actualitzacions durant períodes en què tingueu menys tràfic web. Atès que el lloc estarà temporalment no disponible, procureu que afecti les visites al menys negativament possible.
• Comproveu la compatibilitat del vostre complement o tema abans d’actualitzar-lo, per a evitar que «es desajusti» el vostre web.

Per a protegir-se del correu brossa en comentaris en entrades, podeu desactivar els comentaris o instal·lar un complement que mitigui l’efecte dels bots spammers. És important protegir-se d’aquest tipus d’atacs perquè utilitzen webs per a difondre correu brossa. Dos bons complements que poden ajudar a minimitzar l’impacte del correu brossa són Akismet o AntiSpam.

Per a minimitzar l’accés al BackEnd del nostre lloc web, podem dur a terme les tres accions següents:

1. Limitar per IP l’accés al BackEnd, bloquejant els equips que s’intentin connectar a aquest des d’una altra IP o des d’un altre país, per exemple. Un bon complement per a realitzar aquesta tasca de seguretat és IP Geo Block.
2. Limitar el nombre d’intents d’accés al BackEnd. Els atacs de força bruta intenten registrar-se en serveis web sobre la base de provar aleatòriament i constantment usuaris i contrasenyes en un servei web. Per a minimitzar aquest tipus d’atacs, podem limitar el nombre de vegades que s’intenta accedir al BackEnd durant un període de temps determinat (per exemple, cinc vegades en una hora). De manera que les IP que superen el nombre establert passen a una llista de bloqueig i no poden accedir de nou al lloc web. Un bon complement per a realitzar aquesta acció de protecció web és Limit Login Attempts Reloaded.
3. Canviar la ruta d’accés al BackEnd de la nostra web. Si sospitem que una web està creada amb WordPress, podem intentar accedir al seu panell d’administració escrivint «/wp-admin» o «/wp-login.php» després del nom del domini i prement «enter». Si canviem la ruta d’accés a WordPress, eliminem en gran manera els atacs de força bruta que es puguin produir. Un bon complement per a realitzar aquesta acció de protecció web és WPS Hide Login.

Protegir el vostre lloc web d’atacs externs és fonamental. Per això, en primer lloc tractem la qüestió de la seguretat amb complements. Hi ha una forma de simplificar la seguretat del vostre lloc web i és confiar aquest aspecte a complements que protegeixen de les amenaces principals, com són Jetpack for WordPress, iThemes Security o Wordfence. Aquests complements aturen les problemàtiques principals de forma eficaç, reduint el risc d’atacs.