- Desde
- 25 May 2013
- Mensajes
- 1.283
La mayoría de nosotros utilizamos Wordpress, pero pocos toman medidas de seguridad para poder protegerse y en muchos casos están expuestos a vulnerabilidades como yo una vez lo estuve y debido a consecuencias de esto tomé las medidas de seguridad que explicaré a continuación.
Restringir el accesos a wp-admin.
Suele suceder que un sitio Wordpress reciba intentos de logeo a la fuerza bruta aunque muchas veces el webmaster no revisa el log de su servidor y no se da cuenta de esto, es recomendable evitar que desde redes o IP's desconocidas se pueda acceder al login de Wordpress, para eso puedes agregar el siguiente código al archivo .htaccess que se encuentra en la carpeta raíz de tu sitio:
Insertar CODE, HTML o PHP:
#Protegiendo a wp-login.php
<Files ~ "^wp-login.php">
Order deny,allow
Deny from all
allow from IP de tu casa
allow from IP de tu trabajo
</Files>Con eso harás que solo determinadas IP's puedan acceder al login de tu wordpress.
Si tu dirección IP es dinamica (Que cambia cada cierto tiempo o al reiniciar el módem), la misma siempre cambiará dentro de un rango, ejemplo: Si actualmente tu IP es 186.195.20.50 es posible que cuando cambie la diferencia sea los ultimos dos octetos, podría cambiar a una como 186.195.20.15 o 186.195.19.13, para estos casos agregas:
Insertar CODE, HTML o PHP:
#Protegiendo a wp-login.php
<Files ~ "^wp-login.php">
Order deny,allow
Deny from all
allow from 186.195
</Files>Instalación de plugins maliciosos.
Cuando estés apunto de instalar un plugin que no conoces fíjate en la fiabilidad del mismo, observando la valoración que tiene y la cantidad de descargas de dicho plugin:
Si el plugin que vas a instalar no te convence observa los reviews que le dejan los usuarios en el sitio oficial de Wordpress, con esto reducirás la probabilidad de instalar plugins que perjudiquen tu sitio.
Evitar el listado de carpetas y archivos.
Cualquier usuario o bot puede explorar y curiosear entre los archivos que tengas en la carpeta wp-content de tu sitio Wordpress, por ejemplo entrando a tusitiowordpress.net/wp-content/uploads/2014/, aparecería algo como la siguiente imagen:
Para evitar que esto suceda agrega el siguiente código a tu archivo .htaccess:
Insertar CODE, HTML o PHP:
# Desactivar el listado de carpetas y archivos
Options All -IndexesRevisa el log del servidor frecuentemente.
Siempre revisa tu log del servidor. Muchas veces recibimos masivas consultas de bots spammers que consumen altos recursos del servidor o bots que entran al sitio solo para copiar tu contenido y lucrarse con el mismo. Te darás cuenta de esto por que mayormente entran al feed de tu sitio constantemente, inmediatamente detectado un bot de este tipo bloquealo con el siguiente código en el archivo .htaccess:
Insertar CODE, HTML o PHP:
deny from IP del botProtegete del Hot-linking.
El Hot-linking es cuando un usuario muestra una imagen en su sitio web alojada en tu servidor, lo que te consume ancho de banda cada vez que un usuario consulta el artículo o entrada en donde está mostrándose dicha imagen. Para ello si tienes cPanel y si usas Awstats ve a la sesión que dice "Conectado al sitio desde" de Awstats y ahí verás las webs que te están Hot-linkeando. Luego de verificar esto puedes ir al cPanel en la sesión de Seguridad puedes entrar a la opción que dice "Protección de HoLink" y bloquear dichas webs. Tambien puedes hacer que en vez de que se muestre la imagen HotLikinkeada mostrar una imagen desagradable que tu especifiques en la la configuración de protección HotLink
Mantén tu Wordpress actualizado.
Siempre que lancen una nueva versión de Wordpress actualizalo, ya que en muchas ocasiones se actualiza para corregir fallos de seguridad de la versión que usas actualmente.
Evita tener el usuario admin.
El usuario que por defecto Wordpress configura es admin, cuando un programa automatizado trata de entrar a tu Wordpress lo mas probable es que lo intente con el usuario admin, es importante tener un usuario personalizado.
PD: Si te ha servido de ayuda esta información puedes recompensarme con un me agrada
Última edición:
7:
