Medidas de seguridad para tu WordPress
1. Realiza un Back Up de tu base de datos regularmente
Es muy importante llevar una copia de respaldo de toda la información del sitio. Es cierto que puede resultar tedioso hacerlo de forma manual, pero hay un plugin para WordPress que te ayuda a automatizar este proceso: WordPress Database Backup
2. Toma medidas extra para asegurar la carpeta wp-admin
Hay varias cosas que podes realizar para incrementar la seguridad. Para servidores apache se puede limitar el acceso a estar carpeta filtrando por IP (claro, en el caso que no tengas una IP dinámica) a través del archivo .htaccess. Para otro tipo de servidores podes consultar la documentación respectiva al mismo para saber cómo configurar esto mismo.
Otra manera de agregar otra capa de seguridad al WordPress es utilizando el plugin llamado AskApachePasswordProtect. Este plugin le ofrece varias características de seguridad como el requerir un usuario y contraseña para acceder a un área administrativa, y también escribe por vos los archivos .htaccess y .htpasswd si no estás familiarizado con ellos.
3. No hagas publica la versión que usas de WordPress
De esta manera estás informando indirectamente que tipos de vulnerabilidad puede tener tu sistema.
Para quitar esto analiza el theme que estás utilizando, y borra la instrucción:
Código PHP:
bloginfo('version');
Si aún sigue apareciendo, analiza el código para saber que tenes que borrar para que no siga apareciendo esto.
4. Mantén el WordPress actualizado.
Con cada actualización se corrigen posiblemente errores de seguridad, que darían más facilidad a un atacante para ingresar a tu sitio.
5. No uses, y todavía mejor elimina, el usuario ‘admin’
Es lo primero que va a probar algún atacante, ya que todas las instalaciones lo traen por defecto.
6. Encripta las cookies del WordPress
Podés encriptar la información almacenada en las cookies utilizando este plugin que genera automáticamente una clave: WordPress Secret Key Generator Tool. Al obtener tu clave aleatoria con esta herramienta, copias todo el código y lo pegas en el archivo wp-config.php.
7. Utiliza una contraseña fuerte
En internet dispones de muchas herramientas que te permiten medir la fortaleza de tu contraseña; es decir, que tan “segura” es. Una opción es esta: Enlace eliminado de microsoft.
8. Cambia el prefijo de las tablas de la base de datos de WordPress que viene por defecto.
Por defecto WordPress utiliza el prefijo wp_ para nombrar las tablas que va a utilizar. Para agregar seguridad, y ayudar a evitar el SQL Injection es recomendable modificar esto.
Lo puedes hacer cuando apenas instalas el blog, o más adelante modificando el archivo wp-config.php, modificando la línea que dice
Código PHP:
$table_prefix = ‘wp_’;
. Hay que tener en cuenta que en este último caso también habría que modificar el nombre de las tablas en la base de datos convenientemente.
9. Usa los permisos de archivos correctos en los archivos del WordPress
Algunos plugins necesitan tener unos derechos para poder escribir, pero no todas las carpetas lo necesitan. En esos casos el nivel sugerido de acceso sería 644.
El plugin WP-Scan te ayuda a evaluar posibles problemas de seguridad, y te da unos consejos para mejorar esto.
10. Limita lo que las arañas de los buscadores pueden indexar en tu sitio
No es necesario que el buscador indexe todos los archivos de tu sitio. A través de una consulta avanzada un hacker podría aprovecharse de esto.
Por ejemplo, con el comando:
Código:
Disallow: /wp-*
En el archivo .htaccess estás prohibiendo que el buscador indexe todo lo que se encuentre bajo una carpeta que comience con el nombre wp-.
11. Utiliza una conexión segura para ingresar a las páginas de administración
Te podes logear al panel de administración del WordPress por medio de una conexión encriptada SSL. Esto significa que si alguien intercepta tu conexión con el servidor no van a poder capturar tu contraseña, ya que los datos viajan de forma segura.
Para saber que estás bajo una conexión segura podes observar en la barra de direcciones, al comienzo, aparecerá lo siguiente: https://; con la ‘s’ indicando que es una conexión segura.
Para realizar esto solo tienes que agregar en el archivo wp-config.php la siguiente línea:
Código PHP:
define('FORCE_SSL_ADMIN', true);
12. Blockea el acceso universal al archivo wp-config.php
Una vez más utilizamos el archivo .htaccess para servidores Apache. Podes utilizar el siguiente bloque de código como ejemplo para este punto:
Código:
<files wp-config.php>
Order deny,allow
deny from all
</files>
Fuente, creo que lo lei de summarg.com
1. Realiza un Back Up de tu base de datos regularmente
Es muy importante llevar una copia de respaldo de toda la información del sitio. Es cierto que puede resultar tedioso hacerlo de forma manual, pero hay un plugin para WordPress que te ayuda a automatizar este proceso: WordPress Database Backup
2. Toma medidas extra para asegurar la carpeta wp-admin
Hay varias cosas que podes realizar para incrementar la seguridad. Para servidores apache se puede limitar el acceso a estar carpeta filtrando por IP (claro, en el caso que no tengas una IP dinámica) a través del archivo .htaccess. Para otro tipo de servidores podes consultar la documentación respectiva al mismo para saber cómo configurar esto mismo.
Otra manera de agregar otra capa de seguridad al WordPress es utilizando el plugin llamado AskApachePasswordProtect. Este plugin le ofrece varias características de seguridad como el requerir un usuario y contraseña para acceder a un área administrativa, y también escribe por vos los archivos .htaccess y .htpasswd si no estás familiarizado con ellos.
3. No hagas publica la versión que usas de WordPress
De esta manera estás informando indirectamente que tipos de vulnerabilidad puede tener tu sistema.
Para quitar esto analiza el theme que estás utilizando, y borra la instrucción:
Código PHP:
bloginfo('version');
Si aún sigue apareciendo, analiza el código para saber que tenes que borrar para que no siga apareciendo esto.
4. Mantén el WordPress actualizado.
Con cada actualización se corrigen posiblemente errores de seguridad, que darían más facilidad a un atacante para ingresar a tu sitio.
5. No uses, y todavía mejor elimina, el usuario ‘admin’
Es lo primero que va a probar algún atacante, ya que todas las instalaciones lo traen por defecto.
6. Encripta las cookies del WordPress
Podés encriptar la información almacenada en las cookies utilizando este plugin que genera automáticamente una clave: WordPress Secret Key Generator Tool. Al obtener tu clave aleatoria con esta herramienta, copias todo el código y lo pegas en el archivo wp-config.php.
7. Utiliza una contraseña fuerte
En internet dispones de muchas herramientas que te permiten medir la fortaleza de tu contraseña; es decir, que tan “segura” es. Una opción es esta: Enlace eliminado de microsoft.
8. Cambia el prefijo de las tablas de la base de datos de WordPress que viene por defecto.
Por defecto WordPress utiliza el prefijo wp_ para nombrar las tablas que va a utilizar. Para agregar seguridad, y ayudar a evitar el SQL Injection es recomendable modificar esto.
Lo puedes hacer cuando apenas instalas el blog, o más adelante modificando el archivo wp-config.php, modificando la línea que dice
Código PHP:
$table_prefix = ‘wp_’;
. Hay que tener en cuenta que en este último caso también habría que modificar el nombre de las tablas en la base de datos convenientemente.
9. Usa los permisos de archivos correctos en los archivos del WordPress
Algunos plugins necesitan tener unos derechos para poder escribir, pero no todas las carpetas lo necesitan. En esos casos el nivel sugerido de acceso sería 644.
El plugin WP-Scan te ayuda a evaluar posibles problemas de seguridad, y te da unos consejos para mejorar esto.
10. Limita lo que las arañas de los buscadores pueden indexar en tu sitio
No es necesario que el buscador indexe todos los archivos de tu sitio. A través de una consulta avanzada un hacker podría aprovecharse de esto.
Por ejemplo, con el comando:
Código:
Disallow: /wp-*
En el archivo .htaccess estás prohibiendo que el buscador indexe todo lo que se encuentre bajo una carpeta que comience con el nombre wp-.
11. Utiliza una conexión segura para ingresar a las páginas de administración
Te podes logear al panel de administración del WordPress por medio de una conexión encriptada SSL. Esto significa que si alguien intercepta tu conexión con el servidor no van a poder capturar tu contraseña, ya que los datos viajan de forma segura.
Para saber que estás bajo una conexión segura podes observar en la barra de direcciones, al comienzo, aparecerá lo siguiente: https://; con la ‘s’ indicando que es una conexión segura.
Para realizar esto solo tienes que agregar en el archivo wp-config.php la siguiente línea:
Código PHP:
define('FORCE_SSL_ADMIN', true);
12. Blockea el acceso universal al archivo wp-config.php
Una vez más utilizamos el archivo .htaccess para servidores Apache. Podes utilizar el siguiente bloque de código como ejemplo para este punto:
Código:
<files wp-config.php>
Order deny,allow
deny from all
</files>
Fuente, creo que lo lei de summarg.com
Última edición: