Consejos para mejorar la seguridad en tu sitio WordPress

ceto Seguir

1
Mi
Verificación en dos pasos desactivada
Desde
13 Abr 2009
Mensajes
3.202
Medidas de seguridad para tu WordPress

1. Realiza un Back Up de tu base de datos regularmente
Es muy importante llevar una copia de respaldo de toda la información del sitio. Es cierto que puede resultar tedioso hacerlo de forma manual, pero hay un plugin para WordPress que te ayuda a automatizar este proceso: WordPress Database Backup

2. Toma medidas extra para asegurar la carpeta wp-admin
Hay varias cosas que podes realizar para incrementar la seguridad. Para servidores apache se puede limitar el acceso a estar carpeta filtrando por IP (claro, en el caso que no tengas una IP dinámica) a través del archivo .htaccess. Para otro tipo de servidores podes consultar la documentación respectiva al mismo para saber cómo configurar esto mismo.

Otra manera de agregar otra capa de seguridad al WordPress es utilizando el plugin llamado AskApachePasswordProtect. Este plugin le ofrece varias características de seguridad como el requerir un usuario y contraseña para acceder a un área administrativa, y también escribe por vos los archivos .htaccess y .htpasswd si no estás familiarizado con ellos.

3. No hagas publica la versión que usas de WordPress
De esta manera estás informando indirectamente que tipos de vulnerabilidad puede tener tu sistema.
Para quitar esto analiza el theme que estás utilizando, y borra la instrucción:

Código PHP:

bloginfo('version');

Si aún sigue apareciendo, analiza el código para saber que tenes que borrar para que no siga apareciendo esto.

4. Mantén el WordPress actualizado.

Con cada actualización se corrigen posiblemente errores de seguridad, que darían más facilidad a un atacante para ingresar a tu sitio.

5. No uses, y todavía mejor elimina, el usuario ‘admin’
Es lo primero que va a probar algún atacante, ya que todas las instalaciones lo traen por defecto.

6. Encripta las cookies del WordPress

Podés encriptar la información almacenada en las cookies utilizando este plugin que genera automáticamente una clave: WordPress Secret Key Generator Tool. Al obtener tu clave aleatoria con esta herramienta, copias todo el código y lo pegas en el archivo wp-config.php.

7. Utiliza una contraseña fuerte

En internet dispones de muchas herramientas que te permiten medir la fortaleza de tu contraseña; es decir, que tan “segura” es. Una opción es esta: Enlace eliminado de microsoft.

8. Cambia el prefijo de las tablas de la base de datos de WordPress que viene por defecto.

Por defecto WordPress utiliza el prefijo wp_ para nombrar las tablas que va a utilizar. Para agregar seguridad, y ayudar a evitar el SQL Injection es recomendable modificar esto.
Lo puedes hacer cuando apenas instalas el blog, o más adelante modificando el archivo wp-config.php, modificando la línea que dice

Código PHP:


$table_prefix = ‘wp_’;

. Hay que tener en cuenta que en este último caso también habría que modificar el nombre de las tablas en la base de datos convenientemente.

9. Usa los permisos de archivos correctos en los archivos del WordPress

Algunos plugins necesitan tener unos derechos para poder escribir, pero no todas las carpetas lo necesitan. En esos casos el nivel sugerido de acceso sería 644.

El plugin WP-Scan te ayuda a evaluar posibles problemas de seguridad, y te da unos consejos para mejorar esto.

10. Limita lo que las arañas de los buscadores pueden indexar en tu sitio
No es necesario que el buscador indexe todos los archivos de tu sitio. A través de una consulta avanzada un hacker podría aprovecharse de esto.
Por ejemplo, con el comando:

Código:


Disallow: /wp-*

En el archivo .htaccess estás prohibiendo que el buscador indexe todo lo que se encuentre bajo una carpeta que comience con el nombre wp-.

11. Utiliza una conexión segura para ingresar a las páginas de administración

Te podes logear al panel de administración del WordPress por medio de una conexión encriptada SSL. Esto significa que si alguien intercepta tu conexión con el servidor no van a poder capturar tu contraseña, ya que los datos viajan de forma segura.
Para saber que estás bajo una conexión segura podes observar en la barra de direcciones, al comienzo, aparecerá lo siguiente: https://; con la ‘s’ indicando que es una conexión segura.
Para realizar esto solo tienes que agregar en el archivo wp-config.php la siguiente línea:

Código PHP:


define('FORCE_SSL_ADMIN', true);

12. Blockea el acceso universal al archivo wp-config.php
Una vez más utilizamos el archivo .htaccess para servidores Apache. Podes utilizar el siguiente bloque de código como ejemplo para este punto:

Código:



<files wp-config.php>
Order deny,allow
deny from all
</files>

Fuente, creo que lo lei de summarg.com
 
Última edición:

Poyello

Épsilon
Redactor
Verificación en dos pasos desactivada
Verificado por Whatsapp
Desde
16 May 2009
Mensajes
957
Te la rifaste bro, creo que implementare algunas en este momento..

Gracias!
 

kozmica

Gamma
Diseñador
Verificación en dos pasos desactivada
Desde
14 Abr 2009
Mensajes
222
Muy buenos puntos a tener en cuenta... creo que va siendo hora de hacer un backup.

Gracias ceto!
 

Carlos Arreola

Admin
Sigma
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
Verificado por Binance
¡Excelente comerciante!
Suscripción a IA
Desde
6 Abr 2009
Mensajes
10.242
Magníficos los consejos, se agradecen!
 

eduarbo

Beta
Verificación en dos pasos desactivada
Desde
1 Jul 2009
Mensajes
47
Claro! Felicidades por la traducción que hiciste de 12 Essential Security Tips and Hacks for WordPress sin dar los créditos a ellos por estos grandes tips.

Siempre debes citar la fuente ¬¬

No creo que lo haya traducido... hay varios por ahi ya en español. Pero si, creo que si es foro de bloggers pues algo esencial como tal sería poner la fuente.

En cuanto al tema me parecen bien los consejos, yo he aplicado un par ;) . Saz!
 

illi.pro

Delta
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
Desde
9 Abr 2009
Mensajes
621
No creo que lo haya traducido... hay varios por ahi ya en español. Pero si, creo que si es foro de bloggers pues algo esencial como tal sería poner la fuente.

En cuanto al tema me parecen bien los consejos, yo he aplicado un par ;) . Saz!

Claro que los hay y muchos! Pero entra a este post: http://sixrevisions.com/wordpress/12-essential-security-tips-and-hacks-for-wordpress/.

Es de un blog gringo: http://sixrevisions.com/, compara los 12 tips, no se parecen mucho?
 

AndresRV

Delta
Verificación en dos pasos desactivada
Desde
14 Abr 2009
Mensajes
747
grandes consejos sin duda alguna, pero permíteme que te dé yo uno....pon los títulos en negrita, que así se distinguen mejor del resto xD
 

ceto

1
Mi
Verificación en dos pasos desactivada
Desde
13 Abr 2009
Mensajes
3.202

vicarlone

1
Sigma
Redactor
Verificación en dos pasos desactivada
¡Excelente comerciante!
Suscripción a IA
Desde
6 Abr 2009
Mensajes
10.466
Excelente aporte! Te ganaste una manito verde :)
 

SoloNegocios

Xi
SEO
Verificación en dos pasos desactivada
Desde
11 Abr 2009
Mensajes
4.369
Las ultimas versiones de WP tienen un error y es que te coloca la versión, vayan a cualquier Blog y miren el código van a encontrar siempre esto: <meta name="generator" content="WordPress 2.8.2" />

Si quieren quitarlo vayan al archivo "functions.php" del tema que usan y coloquen remove_action('wp_head', 'wp_generator');

Esto evitara que sea colocada la versión :laugh1:
 

¡Regístrate y comienza a ganar!

Beneficios

  • Gana dinero por participar
  • Gana dinero por recomendarnos
  • Descubre ofertas de empleo diariamente
  • Negocios seguros
  • ¡Información premium y más!

Acceder

¿Ya tienes una cuenta? Accede aquí


Arriba