jg4079751
Épsilon
Eta
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Buenas bet@s,
A continuación voy a enumerar cómo protejo mis webs en Wordpress:
1. Instala un SSL como Let's Encrypt en tu hosting (la mayoría te lo ofrecen gratis)
2. Utiliza un plugin para redirigir todo a https:
es.wordpress.org
Además este plugin en su version Pro te ofrece Security headers
3. Utiliza themes y plugins originales, nada nulled, para no tener puertas traseras abiertas.
4. Cambia la ruta de acceso al escritorio con este plugin:
Y no utilices nombres para el usuario como admin y crea una contraseña robusta con letras, números y caracteres.
5. Limita el número de veces que alguien quiera loguearse:
es.wordpress.org
6. Instala estos dos cortafuegos para las amenazas y los ataques:
es.wordpress.org
es.wordpress.org
7. Añade lo siguiente a tu archivo .htaccess
# BEGIN Deshabilitar listado de directorio
Options -Indexes
# END Deshabilitar listado de directorio
# BEGIN Encabezados de seguridad Protección X-XSS
Header set X-XSS-Protection "1; mode=block"
# END Encabezados de seguridad Protección X-XSS
# BEGIN Encabezados de seguridad Tipo de contenido X nosniff
Header set X-Content-Type-Options nosniff
# END Encabezados de seguridad Tipo de contenido X nosniff
# BEGIN protect xmlrpc.php
<files xmlrpc.php>
order allow,deny
deny from all
</files>
# END protect xmlrpc.php
# BEGIN Proteger el archivo wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# END Proteger el archivo wp-config.php
# BEGIN Restrict access to htaccess
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
# END Restrict access to htaccess
# BEGIN Denegar acceso a htaccess
<files .htaccess>
order allow,deny
deny from all
</files>
# END Denegar acceso a htaccess
<Files 403.shtml>
order allow,deny
allow from all
</Files>
# BEGIN Protege tu blog de inyecciones de código
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
# END Protege tu blog de inyecciones de código
Espero que el aporte os ayude a proteger mejor vuestro Wordpress. Por otro lado, se acepta más ayuda por si se me ha escapado algo, y se puede asegurar aún más la web.
A continuación voy a enumerar cómo protejo mis webs en Wordpress:
1. Instala un SSL como Let's Encrypt en tu hosting (la mayoría te lo ofrecen gratis)
2. Utiliza un plugin para redirigir todo a https:
Really Simple Security – Simple and Performant Security (formerly Really Simple SSL)
Mejora fácilmente la seguridad del sitio con el refuerzo de WordPress, autenticación de dos factores (2FA), protección de inicio de sesión, la detección de vulnerabilidades y el certificado SSL.
Además este plugin en su version Pro te ofrece Security headers
3. Utiliza themes y plugins originales, nada nulled, para no tener puertas traseras abiertas.
4. Cambia la ruta de acceso al escritorio con este plugin:
Y no utilices nombres para el usuario como admin y crea una contraseña robusta con letras, números y caracteres.
5. Limita el número de veces que alguien quiera loguearse:
Limitación de intentos de inicio de sesión Seguridad – Seguridad de inicio de sesión, autenticación de dos factores, cortafuegos, prevención de ataques de fuerza bruta
Seguridad de inicio de sesión de WordPress con protección contra ataques de fuerza bruta, autenticación de dos factores (2FA/MFA), cortafuegos, bloqueo de IP/país y monitorización de inicios de sesión.
6. Instala estos dos cortafuegos para las amenazas y los ataques:
BBQ Firewall – Fast & Powerful Firewall Security
The fastest firewall plugin for WordPress. Protect against a wide range of threats with minimal performance impact.
Anti-Malware Security and Brute-Force Firewall
Este escáner anti-malware busca malware, virus y otras amenazas y vulnerabilidades de seguridad en tu servidor y te ayuda a solucionarlas.
7. Añade lo siguiente a tu archivo .htaccess
# BEGIN Deshabilitar listado de directorio
Options -Indexes
# END Deshabilitar listado de directorio
# BEGIN Encabezados de seguridad Protección X-XSS
Header set X-XSS-Protection "1; mode=block"
# END Encabezados de seguridad Protección X-XSS
# BEGIN Encabezados de seguridad Tipo de contenido X nosniff
Header set X-Content-Type-Options nosniff
# END Encabezados de seguridad Tipo de contenido X nosniff
# BEGIN protect xmlrpc.php
<files xmlrpc.php>
order allow,deny
deny from all
</files>
# END protect xmlrpc.php
# BEGIN Proteger el archivo wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# END Proteger el archivo wp-config.php
# BEGIN Restrict access to htaccess
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
# END Restrict access to htaccess
# BEGIN Denegar acceso a htaccess
<files .htaccess>
order allow,deny
deny from all
</files>
# END Denegar acceso a htaccess
<Files 403.shtml>
order allow,deny
allow from all
</Files>
# BEGIN Protege tu blog de inyecciones de código
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
# END Protege tu blog de inyecciones de código
Espero que el aporte os ayude a proteger mejor vuestro Wordpress. Por otro lado, se acepta más ayuda por si se me ha escapado algo, y se puede asegurar aún más la web.
Última edición:

