WordPress: arxius que el conformen i com protegir-los

T’has preguntat alguna vegada com funciona WordPress? La resposta està en els fitxers ocults que componen WordPress. Des de wp-config.php fins a .htaccess, aquests fitxers són essencials perquè aquest funcioni correctament i de manera segura.

Però no es tracta només de saber quins són, sinó també d’entendre com protegir-los. Saber com protegir aquests fitxers és fonamental per mantenir el teu lloc web segur, ja que contenen informació confidencial.

En aquest article, aprofundirem en els fitxers ocults que componen WordPress i en les mesures que es poden prendre per protegir-los. Tant si ets un principiant en WordPress com un webmaster experimentat, no voldràs perdre’t aquesta informació.

Però, què és WordPress?

WordPress és, amb diferència, el gestor de continguts més popular i utilitzat del món, amb més de 60 milions de llocs web creats amb WordPress i una quota de mercat global de més del 30%.

Però que sigui popular no significa que tots els seus usuaris sàpiguen com funciona o quins són els fitxers que el componen, o fins i tot quines són les millors mesures de seguretat.

Els fitxers que conformen el nucli de WordPress

WordPress es compon de dues parts: l’aplicació de WordPress i els fitxers del nucli de WordPress. L’aplicació WordPress és la part del lloc web que veus i amb la qual interactues (per exemple, el teu panell de control, contingut, widgets, etc.), mentre que els fitxers del nucli de WordPress inclouen els fitxers ocults que conformen la funcionalitat bàsica del teu lloc web.

Si accedeixes a través d’FTP a veure els fitxers que conformen la teva instal·lació de WordPress, veuràs 3 carpetes:

wp-admin

wp-content

wp-includes

Aquestes, juntament amb altres fitxers que es troben a l’arrel de la teva pàgina web com wp-config.php o fins i tot l’.htaccess, són els fitxers centrals que fan funcionar la teva pàgina web.

Quines són les millors pràctiques per mantenir segurs els fitxers de WordPress?

Aquests fitxers són importants, ja que són la base de la teva pàgina web. Sense ells, la teva pàgina web simplement no funcionaria. És per això que resulta imprescindible protegir-los de possibles atacants.

Existeixen diverses pràctiques recomanades per mantenir segurs els fitxers de WordPress. El primer i més fonamental és mantenir la privacitat dels fitxers principals de WordPress. Per això, pots gestionar correctament els permisos d’aquests fitxers perquè cap atacant hi pugui accedir, però sense que siguin tan restrictius que el teu WordPress no pugui funcionar.

Per això, WordPress recomana que els fitxers tinguin els permisos 644 o 640, a excepció del fitxer wp-config.php, que recomanen configurar com 440 o 400.

Si no entens què significa això o com fer aquesta configuració, aquí tens una guia detallada de què signifiquen aquests permisos i com els pots configurar per al teu Hosting:

​​​​Gestiona els permisos del teu Hosting 

Un altre punt rellevant és el login de WordPress. La carpeta wp-admin conté el fitxer wp-login (un fitxer php), un fitxer dinàmic que permet a qualsevol usuari registrat accedir a una instal·lació de WordPress. Es tracta, per tant, d’un dels objectius principals dels atacants, i és important prestar-hi una atenció especial i afegir una capa de seguretat extra a l’accés del teu WordPress.

Totes les instal·lacions de WordPress són iguals, i és possible visualitzar l’accés de qualsevol instal·lació afegint /wp-admin o /wp-login.php darrere del domini a la barra del navegador. Per aquest motiu, existeixen plugins que et permeten amagar o modificar la URL d’accés a WordPress, fent més difícil que els atacants tinguin accés al formulari d’accés de la teva pàgina web.

Una altra protecció a tenir en compte és l’autenticació de 2 factors o 2FA, que afegeix una capa de seguretat extra en necessitar un pas addicional a l’hora d’accedir, com pot ser un codi enviat al teu correu electrònic o dispositiu mòbil. WordPress no disposa d’aquesta opció, però existeixen plugins que poden afegir aquesta funció al teu lloc.

Un tipus d’atac molt comú a aquest formulari d’accés són els atacs de força bruta, en què un atacant utilitza un bot per provar contrasenyes aleatòries i així forçar l’accés al teu lloc. Si la teva contrasenya o la d’algun dels usuaris acreditats per accedir a la teva pàgina web és feble (recordem que entre les contrasenyes més utilitzades encara n’hi trobem 1234), és fàcil que aconsegueixin accés al teu lloc, a més de sobrecarregar els recursos del servidor en generar aquesta quantitat tan elevada de peticions.

D’una banda, la primera recomanació seria utilitzar contrasenyes segures per evitar que puguin ser endevinades fàcilment.

De l’altra, és important bloquejar les IP que introdueixen dades d’accés errònies, tal com tenim configurat des de cdmon per evitar aquest tipus d’atacs. Si no treballes amb un dels nostres Hostings, existeixen plugins que pots instal·lar per afegir regles de bloqueig d’intents erronis al teu lloc web.

Conclusió

La seguretat del teu lloc web és crucial, i de vegades un petit canvi pot protegir la teva pàgina web de possibles atacs. Tot i així, si vols millorar la seguretat de la teva pàgina web, però tens problemes per fer-ho, recorda que tens a la teva disposició el nostre servei de consultoria WordPress que t’ajudarà a actualitzar la teva pàgina web i incrementar-ne la seguretat.