Wordpress se ha convertido en una plataforma muy popular, uno de cada 6 sitios webs la usa. Es por esto que está en el punto de mira de muchas personas para aprovechar sus debilidades. Vamos a detallar que precauciones debemos de tener en nuestro Wordpress.

1. No dejes el usuario administrador por defecto: admin
   
2. No emplees contraseñas fáciles, trata de que incluyan además de letras y números otros caracteres especiales.
   
3. Actualiza a la última versión de Wordpress, es muy probable que haya cubierto agujeros de seguridad.
   
4. No dejes el usuario administrador por defecto: admin
   
5. Usa un plugin que evite ataques por fuerza bruta en tratar de acceder al escritorio: Limit Login Attempts
   
6. Haz copias de seguridad regularmente: WP-DB-Backup
   

Te recomienda que veas estos dos artículos en ingles sobre contraseñas comunes y como un porcentaje importante usuarios usa contraseñas muy simples:
https://xato.net/passwords/more-top-worst-passwords/
http://www.cbsnews.com/news/the-25-most-...s-of-2012/

Si deseas puedes usar un generador de contraseñas seguras de Norton:
https://identitysafe.norton.com/password-generator/

Algo que leí y me pareció genial, incluso debería estar por defecto de esta manera en todo WP

Es indicar mediante .htaccess las IP aprobadas para entrar a wp-login.php


Con esto en teoría ya no hay posibles hackeos, pones la tuya y ya no puede entrar nadie salvo tú.

@Sir Andrew Perkins pues eso una buena idea si el blog lo lleva una sola persona, y aún así, si tu IP es dinámica, vas a necesitar estar cambiando el .htaccess en cada cambio de IP. Si sois varios colaboradores en un blog, esta tarea se haría pesada.

Una medida extrema para casos extremos como el mio que tengo por mi desconocimiento el WP frecuentemente hakeado

Estoy esperando a que se actualicen los caches de google para ver si conseguí salir del hakeo y subo al foro mi experiencia, sin ser un experto ya conozco varios métodos que usaron y me parecen sublimes

@Sir Andrew Perkins ten siempre actualizado el Wordpress, porque cuando se detectan fallos de seguridad, como es el CMS más popular, se hacen ataques masivos a todos los Wordpress...

Recomiendo de todo corazón Wordfence.
Es gratuito y tira bastante bien.

Como consejos básicos yo añadiría:
- Cambiar la URL de acceso (hay plugins para eso)
- Hacer backups regulares

aparte de no usar el user por defecto (admin) el admin que uno se haga no debe postear, o, si lo hace, que eh theme no muestre el autor, me explico. De poco sirve no tener un admin que no se llama admin, si el admin (que se llama pepito) tambien postea y su nombre aparece en las entradas que hace. El hacker de turno, cuando vea que admin no funciona, probará con los autores del blog, si consigue romper con el autor que es tambien admin, toma destrozo.

Ah! y wp tiene un fallo de seguridad muy tonto, que es que cuando tratas de loguearte y pones mal el user, te lo dice!!!!! para corregirlo, en functions.php se añade esto:

para quienes hayan (hayamos, me incluso , que a veces por las prisas no lo he cambiado y me toca cambiarlo despues) creado un admin de nombre admin y no quieran simplemente borrarlo, si no cambiarle el nombre, en el repositorio de wordpress hay este plgin: Admin renamer extended

Lo he probado y funciona incluso con instalaciones multisite

Gracias! acabo de probarla y funciona a la perfección, justo me había olvidado de cambiarle el admin a una nueva instalación

(25-04-2014, 02:09 PM)Silvia77 escribió:  para quienes hayan (hayamos, me incluso , que a veces por las prisas no lo he cambiado y me toca cambiarlo despues) creado un admin de nombre admin y no quieran simplemente borrarlo, si no cambiarle el nombre, en el repositorio de wordpress hay este plgin: Admin renamer extended

Lo he probado y funciona incluso con instalaciones multisite