¿Alguna duda? ¿Alguna duda?

CONTACTAR CONTACTAR

Seguridad en WordPress

Vamos a repasar unas cuantas medidas de seguridad básicas para mantener más a salvo de intrusos nuestra página web hecha bajo el CMS (gestor de contenidos) WordPress.

  1. Eliminar (o cambiar datos) del usuario admin.
  2. Modificar el prefijo por defecto de la base de datos (wp_) por otro, puede ayudarnos a evitar algunos ataques de SQL injection.
  3. Usar una contraseña lo más fuerte que puedas. Web para medir «dureza» de una contraseña como referencia: passwordmeter.com
  4. Añadir la siguiente línea de código al archivo wp-config.php [define ( ‘DISALLOW_FILE_EDIT’ , true);] Esto evitará que se pueda editar código desde el dashboard (panel de administración).
  5. Ocultar la versión de WP que usamos de la cabecera, los hackers viendo la versión, ya pueden saber ciertos fallos o agujeros de nuestra versión, es aconsejable añadir esta línea de código para ocultarlo en nuestro archivo functions.php  [<?php remove_action(‘wp_head’ , ‘wp-generator’); ?> ]
  6. Mantener WordPress actualizado, nos avisa desde el panel de administración, es rápido y sencillo de hacer, y normalmente las actualizaciones suelen ser referentes a la seguridad.
  7. Permisos: en las carpetas y archivos, ponerlos a 744 (solo lectura para todos, excepto creador). Puede ser, que tras esta acción, no nos deje subir archivos multimedia, en cuyo caso, tendremos que buscar la carpeta /uploads/ y darle más permisos.
  8. Lista blanca: Crear/modificar archivo .htaccess en la carpeta /wp_admin/ permitiendo entrar solo a determinadas IP’s. Si no tenemos el conocimiento para saber nuestra IP, la web WhatsMyIp nos lo dirá al momento.
  9. BackUp: hacer copias de seguridad regularmente, para en caso de ser víctimas de un ataque a nuestra web, poder restaurarla. Hay varios modos, como (si tu servidor lo permite) con cron jobs, también puedes ir exportando tu base de datos, también puedes usar VaultPress
  10. Plugins:
    • Oculta los instalados: es muy fácil para un intruso acceder a nuestro directorio ‘/wp-content/plugins/’ y comprobar si no tenemos ninguno de seguridad, o hay alguno con errores o agujeros de seguridad, esto se puede corregir simplemente creando un index.html en blanco en el directorio.
    • Cuidado con los plugins que acceden a usuarios o contraseñas, yo intento usar siempre míos propios, que ya haya usado/modificado antes o muy famosos, si no se puede, ver «Login LockDown» es una opción.
    • Usar en la medida de lo posible plugins del directorio oficial con la mayor cantidad de votos a favor posible y actualizado.
  11. Tú: repasar regularmente el «server logs» y las analíticas de tu web, para prevenir si se ven resultados extraños
Ya tienes bastante ganado respecto a la seguridad para empezar con tu sitio web basado en WordPress.
Fuentes:
Coodex


Publicado el
Actualizado el



Publicado:

Actualizado:

Artículos relacionados: