Quién no ha actualizado su blog desde un accessppoint público donde fácilmente nuestra clave podría ser hackeada y luego alguien más podría hacer maravillas con nuestro blog. Talvez si voy a un restaurante esto no sea tan probable (pero podría ser), pero si voy a un evento de tecnología cómo el FLISOL o un Barcamp. donde la red esta abierta y estoy rodeado de expertos informáticos la historia es muy diferente. Para muestra un botón de lo que José Miguel Parella hizo para ilustrar este problema.
En este artículo explicaré como asegurar WordPress para que la administración del mismo tenga una comunicación encriptada con el servidor. Para esto modificamos el archivo:
/directorio/instalacion/wp-admin.php
Añádimos la siguiente línea:
define('FORCE_SSL_ADMIN', true);
Esta línea debería estar antes de este comentario:
/* That's all, stop editing! Happy blogging. */define('ABSPATH', dirname(__FILE__).'/');
Con esto estaremos obligados a administrar WordPress através de HTTPS. Ojo deberían tener configurado su servidor web para que escuche por HTTPS en ese puerto.
Muy bueno y muy necesario. Aprovecho para recomendar una extensión para Firefox desarrollada por la EFF y llamada JTTPS Everywhere que hace upgrade de HTTP a HTTP/S en varios sitios, y se pueden agregar más (como el blog de WordPress) con un archivo sencillo en XML en el perfil de Firefox.
https://www.eff.org/https-everywhere/
Creo que es importante porque reduce la complejidad de entender/acordarse de cambiar y revisar https.
Además importante cargar y mantener la CRL de Comodo actualizada (Firefox 4 y el resto de los navegadores modernos lo hace solo) para evitar el spoofing de certificados SSL de sitios populares:
https://www.microsoft.com/technet/security/advisory/2524375.mspx
Un abrazo,
Jose