Si tienes un blog alojado en wordpress.com tipo fallorenal.wordpress.com, no es necesario que continues leyendo el post.

Aunque la mejor manera de proteger nuestro wordpress es estar al día con las actualizaciones, estos trucos te pueden ahorrar mucho papel de váter dolor de cabeza, por si se te pasa por alto actualizar y alguien se aprovecha de ello.

Ocultar la versión de wordpress en el código HTML y en los feeds

Involuntariamente estas mostrando la versión de tu wordpress, con lo que facilitas a un posible atacante llamale joputa, busque vulnerabilidades de una versión en concreto y le sea más facil jaquiarte.

Para esto me puesto una mano en el bolsillo y otra en el teclado y he creado un plugin para esta necesidad.

Pasos para instalar el plugin:

1. Descarga el fichero OcultarVersionWP.rar
2. Descomprime el fichero OcultarVersionWP.rar
3. Sube el fichero ocultarVersionWP.php en la carpeta wp-content/plugins
4. Dirigete al panel de control > plugins
5. Activa el plugin Ocultar versión wordpress

Nota: Si tienes un plugin para cachear por ejemplo WP-cache, vacia la cache para ver los cambios

Proteger el acceso al panel de control

Con esto se crea un doble login para poder acceder al panel de control de wordpress, puede que te cueste un poco acostumbrarse, pero es lo más seguro que puedes hacer.

Requisito fundamental, tener instalado apache en el servidor.
si tienes el blog alojado en un servidor compartido (por ejemplo servage), no te preocupes en la mayoría ya esta instalado.

Pasos para proteger el acceso al panel de control:

1. Crea un fichero llamado .htaccess en el directorio /wp-admin , con el siguiente contenido:

AuthType Basic
AuthName “identificate humano”
AuthUserFile /var/www/blog/wp-admin/.htpasswd
Require valid-user

Notas:

• AuthName: mensaje que aparecerá en el momento de pedir la identificación
• AuthUserFile: ruta completa del fichero .htpassswd

si no sabes la ruta completa sigue estos pasos:

1. Descarga este fichero dir_admin.php.txt
2. Renombra el fichero dir_admin.php.txt a dir_admin.php
3. Sube el fichero al directorio /wp-admin
4. Accede a este, desde el navegador por ejemplo:
   http://www.dominio.com/wp-admin/dir_admin.php
5. Copia la dirección que se muestre por pantalla y pegalo al lado de AuthUserFile
6. Puedes borrar el fichero dir_admin.php

2. Crea un fichero llamado .htpasswd en el directorio /wp-admin

En este fichero tienes que poner el valor generado al introducir el username y password en .htpasswd Generator

Nota: para mayor seguridad introduce un login distinto al que utilizas para loguearte.

ejemplo de resultado:

usuario:YmKD8JaeQQWUc

3. La próxima vez que entres en el panel de control de tu blog, te pedirá la identificación, ahi introduces el username y password de antes.

Notas:

• Si te olvidas de la contraseña para este doble login tan solo tienes que volver a generar el codigo en .htpasswd Generator y editar el fichero wp-admin/.htpasswd
• Si no te gusta y quieres quitarlo, tan solo tienes que borrar los ficheros .htaccess y .htpasswd del directorio /wp-admin (no recomendado)