Desde el blog de eset nos dejan estos consejos básicos de seguridad para WordPress que nos ayudarán, por lo menos, a estar un poquito más seguros.
El dichoso usuario “admin”: como es el que aparece por defecto tras instalar WordPress, la mayoría lo dejamos tal cual. Y… ¿a que no adivináis cuál es el primer usuario con el que prueban cuando quieren intentar acceder a un WordPress? Pues sí, admin. Esto siempre me recuerda al root de Linux. Así que, mejor invéntate otro usuario.
Las contraseñas fáciles: tal y como también hemos hablado muchas veces, las contraseñas deben ser fuertes y robustas, compuestas por al menos 12 dígitos que combinen caracteres alfanuméricos al menos. No hay contraseñas indestructibles, pero al menos, si nos vienen a robar, que se encuentren con una puerta blindada y les cueste un poquito más .
Actualización de WordPress, temas y plugins: sí, ya sé, una vez que has configurado todo WordPress y estás operativo, a veces (pero solo a veces) actualizas un tema y se descolocan las cosas, o un plugin o… Pero es peor el remedio que la enfermedad. Así que al igual que llevamos años diciendo que hay que actualizar el sistema operativo del ordenador y las aplicaciones, si mantenemos un WordPress, tenemos que actualizarlo cada vez que haya nuevas versiones. Además, nos lo dice el propio WordPress, así que mejor hacerlo que luego tener que lamentarlo.
Desactivar plugins inactivos: es tan fácil instalar plugins en WordPress, que lo hacemos y si luego no funcionan o no nos gustan, no nos molestamos en desinstalarlos, quedándose eternamente en una lista. Si no los usamos, mejor que los quitemos.
Copias de seguridad: casi nadie hacemos copias de seguridad de nuestro WordPress, pero luego bien que nos acordamos cuando perdemos todo o parte del contenido o cuando en una actualización tenemos problemas. Así que plantéate realizar copias de seguridad cada cierto tiempo. La mayoría de los proveedores de hosting ya ofrecen esta funcionalidad.
Bloqueo de contenidos públicos: en una instalación por defecto de WordPress, hay muchas carpetas que se quedan públicas y que permiten la navegación a través de estas. Esto se puede solucionar de manera muy sencilla simplemente añadiendo unas líneas de código a nuestro archivo .htaccess, que no es más que un simple archivo que se añade al directorio raíz de nuestro sitio y que permite aplicar las reglas de los directorios y los archivos de nuestra web:
Protege tu archivo wp-config.php, que es el más importante de tu WordPress. Esto lo hacemos simplemente añadiendo esta línea de código: order allow,deny deny from all
Bloquea el acceso a wp-content, que es la carpeta que tiene todos los temas, los plugins, etc. Para ello, tienes que añadir esta línea a tu archivo .htaccess: Order deny, allow Deny from all Allow from all
Evita la exploración pública de tus carpetas añadiendo lo siguiente: Options All –Indexes
Protege y bloquea el propio archivo .htaccess, añadiendo: Order allow, deny Deny from all Satisfy all
Instala plugins de seguridad: tanto o más importantes que el clásico de Twitter o de Facebook. Hay varios, prácticamente todos gratuitos, y se instalan igual de fácil que el resto. Algunos ejemplos son WP Security Scan, que examina nuestro WordPress buscando incidencias de seguridad; Limit Login Attempts, que limita los intentos de acceso por IP, o Wordfence Security, que añade un sistema de firewall en nuestro blog, así como detecta virus y tráfico anómalo en tiempo real.
Fuente: http://blogs.protegerse.com/laboratorio/2013/06/04/infectan-con-un-troyano-la-web-corporativa-de-eduardo-punset/