AdrianGuerrero
Épsilon
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Buenas noches {hora peninsular} hoy os traigo unos pequeños consejos sobre seguridad y optimización para proyectos que trabajan bajo WordPress. Aclaro que lo he llamado "consejos" porque con un título como Mega-Guía habría sido mucho más vistoso, pero para nada voy a tratar algo muy extendido, sino son pequeños matices con las que me encuentro en mi día a día como CEO de Visual Stage.
También quiero dejar bastante claro antes de empezar, que voy a matizar ciertos puntos sobre seguridad y optimización los cuales pienso que deben ser importantes a la hora de comenzar con un proyecto y aunque voy a nombrar algún plugin, no voy ha hacer mención específicamente a alguno en concreto, porque estos puntos bien se pueden realizar con plugins, los cuales hay mil y la madre (para gustos colores) o se pueden realizar mediante código escrito a mano, así que cada persona decida.
Ahora bien si os parece empezamos por la seguridad
Si sois constantes en el foro, cuando se presenta una web/blog/ecommerce y la comento, muchas veces ya los he numerado, pero nunca viene mal numerarlos todos juntos, uno detrás del otro.
URLs por defecto en WordPress: bueno esto ya es todo un tópico, entrar a la administración con las URLs wp-admin/login/wp-login de hecho los bots que hay por Internet una de las primeras cosas que intentan hacer cuando detectan que una web está trabajando bajo WordPress, es entrar a estas URLs, creo que hay un plugin por ahí que te informa de cuantos intentos de login se hacen y bueno es para flipar si vierais el número de intentos.
Acceso al archivo ReadMe: junto al punto anterior, ya es también todo un tópico dentro de la seguridad de WordPress. De nada sirve trabajar muchos puntos de la seguridad de WordPress cuando dejas acceso al archivo readme, dándole a cualquier usuario, una presentación completa de la versión de WordPress que se está usando.
Meta Etiquetas: WordPress por norma general genera etiquetas en el header, así que en muchos proyectos se detalla la versión de WordPress en el mismo header, al igual pasa por ejemplo con el conocidísimo Revolution Slider, crea una meta-tag en el header con su versión.
Protección frente a Errores 404 y peticiones excesivas simultáneamente: este es uno de los puntos que también veo bastante, ver como una misma IP hace tropecientas peticiones a la base de datos en pocos segundos en la mayoría de los casos, haciendo llegar al límite a la cuenta de hosting y como consecuencia dejando la web en offLine un cierto tiempo. De igual forma, se puede buscar una negación de servicios en los errores 404. Aquí existen miles de fórmulas para subsanar este punto, ya bien sea con una correcta redacción del archivo htaccess o con plugins. Hay cientos de plugins para este fin, como por ejemplo NinjaFirewall o WordFence aunque este último es cierto que crea en el código fuente una etiqueta "WordFence" y personalmente pienso que un plugin de seguridad no debería dar pistas de que se está usando.
Buscar el admin: conocer el admin si los demás puntos de seguridad están en el aire y sobre todo el error en base de datos, es tan fácil como añadir ?author=1 a la URL para conocer el administrador.
Antivirus actualizados: este es uno de los puntos que más se descuidan y desde luego es más fácil infectar el ordenador de un usuario utilizando un capturador de keywords que cualquier otro sistema o una web. Aquí una vez infectado el ordenador de la víctima ya da igual que la contraseña y el usuario sea muy complejos o muy largos, de nada servirá lo van a conocer igual.
Seguimos con algunos puntos sobre optimización
Peticiones excesivas: esto lo veo bastante, blogs o páginas con más de 120, 150 peticiones simultáneas a la base de datos en una home-page y para terminar de rematar la jugada, alojadas en un hosting compartido. No es que esté mal tener 120, 150 peticiones a la base de datos simultáneamente siempre y cuando exista una buena infraestructura detrás de dicha página web, con esto quiero decir que si se aloja una web con esa cantidad de peticiones en un hosting de poco más de 2 dólares mensuales, no esperes que este sea capaz de servir rápido x peticiones es más me atrevería a recomendar el paso a un VPS o tener varios hostings y balancear la carga que tampoco es nada del otro mundo.
Compresión Gzip: este punto ahora ya no lo veo tanto, ya que si se usa cualquier instalador de APPs de los que hoy en día traen los hostings, este ya está optimizado, pero cuando se hacía la instalación a mano, por la vieja escuela ¡La que molaba! si se veía bastante este fallo, no tener la compresión gZip activada.
Imágenes optimizadas: aquí existen muchos puntos de vista diferente, existen también muchos plugins como WP Smush o EWWW Image Optimizer los cuales se encargan de optimizar la fotografía lo máximo posible sin que pierda calidad "a ojos del usuario en la pantalla". Yo prefiero subir la imagen optimizada por mi mismo y evitar que WordPress lo tenga que hacer, ahorrándome procesos en la instalación. Como siempre, hay miles de soluciones, soluciones puramente online, usar Photoshop para guardar un archivo para Web o un software que uso bastante para este fin que se llama Riot, aunque cada vez más uso Adobe para este fin.
También quiero dejar bastante claro antes de empezar, que voy a matizar ciertos puntos sobre seguridad y optimización los cuales pienso que deben ser importantes a la hora de comenzar con un proyecto y aunque voy a nombrar algún plugin, no voy ha hacer mención específicamente a alguno en concreto, porque estos puntos bien se pueden realizar con plugins, los cuales hay mil y la madre (para gustos colores) o se pueden realizar mediante código escrito a mano, así que cada persona decida.
Ahora bien si os parece empezamos por la seguridad
Si sois constantes en el foro, cuando se presenta una web/blog/ecommerce y la comento, muchas veces ya los he numerado, pero nunca viene mal numerarlos todos juntos, uno detrás del otro.
URLs por defecto en WordPress: bueno esto ya es todo un tópico, entrar a la administración con las URLs wp-admin/login/wp-login de hecho los bots que hay por Internet una de las primeras cosas que intentan hacer cuando detectan que una web está trabajando bajo WordPress, es entrar a estas URLs, creo que hay un plugin por ahí que te informa de cuantos intentos de login se hacen y bueno es para flipar si vierais el número de intentos.
Acceso al archivo ReadMe: junto al punto anterior, ya es también todo un tópico dentro de la seguridad de WordPress. De nada sirve trabajar muchos puntos de la seguridad de WordPress cuando dejas acceso al archivo readme, dándole a cualquier usuario, una presentación completa de la versión de WordPress que se está usando.
Meta Etiquetas: WordPress por norma general genera etiquetas en el header, así que en muchos proyectos se detalla la versión de WordPress en el mismo header, al igual pasa por ejemplo con el conocidísimo Revolution Slider, crea una meta-tag en el header con su versión.
Protección frente a Errores 404 y peticiones excesivas simultáneamente: este es uno de los puntos que también veo bastante, ver como una misma IP hace tropecientas peticiones a la base de datos en pocos segundos en la mayoría de los casos, haciendo llegar al límite a la cuenta de hosting y como consecuencia dejando la web en offLine un cierto tiempo. De igual forma, se puede buscar una negación de servicios en los errores 404. Aquí existen miles de fórmulas para subsanar este punto, ya bien sea con una correcta redacción del archivo htaccess o con plugins. Hay cientos de plugins para este fin, como por ejemplo NinjaFirewall o WordFence aunque este último es cierto que crea en el código fuente una etiqueta "WordFence" y personalmente pienso que un plugin de seguridad no debería dar pistas de que se está usando.
Buscar el admin: conocer el admin si los demás puntos de seguridad están en el aire y sobre todo el error en base de datos, es tan fácil como añadir ?author=1 a la URL para conocer el administrador.
Antivirus actualizados: este es uno de los puntos que más se descuidan y desde luego es más fácil infectar el ordenador de un usuario utilizando un capturador de keywords que cualquier otro sistema o una web. Aquí una vez infectado el ordenador de la víctima ya da igual que la contraseña y el usuario sea muy complejos o muy largos, de nada servirá lo van a conocer igual.
Seguimos con algunos puntos sobre optimización
Peticiones excesivas: esto lo veo bastante, blogs o páginas con más de 120, 150 peticiones simultáneas a la base de datos en una home-page y para terminar de rematar la jugada, alojadas en un hosting compartido. No es que esté mal tener 120, 150 peticiones a la base de datos simultáneamente siempre y cuando exista una buena infraestructura detrás de dicha página web, con esto quiero decir que si se aloja una web con esa cantidad de peticiones en un hosting de poco más de 2 dólares mensuales, no esperes que este sea capaz de servir rápido x peticiones es más me atrevería a recomendar el paso a un VPS o tener varios hostings y balancear la carga que tampoco es nada del otro mundo.
Compresión Gzip: este punto ahora ya no lo veo tanto, ya que si se usa cualquier instalador de APPs de los que hoy en día traen los hostings, este ya está optimizado, pero cuando se hacía la instalación a mano, por la vieja escuela ¡La que molaba! si se veía bastante este fallo, no tener la compresión gZip activada.
Imágenes optimizadas: aquí existen muchos puntos de vista diferente, existen también muchos plugins como WP Smush o EWWW Image Optimizer los cuales se encargan de optimizar la fotografía lo máximo posible sin que pierda calidad "a ojos del usuario en la pantalla". Yo prefiero subir la imagen optimizada por mi mismo y evitar que WordPress lo tenga que hacer, ahorrándome procesos en la instalación. Como siempre, hay miles de soluciones, soluciones puramente online, usar Photoshop para guardar un archivo para Web o un software que uso bastante para este fin que se llama Riot, aunque cada vez más uso Adobe para este fin.
Bueno espero que os haya gustado este escueto escrito ¡Gracias! a las personas que me habéis leído 🙂 🙂