jg4079751
Épsilon
Eta
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Buenas bet@s,
A continuación voy a enumerar cómo protejo mis webs en Wordpress:
1. Instala un SSL como Let's Encrypt en tu hosting (la mayoría te lo ofrecen gratis)
2. Utiliza un plugin para redirigir todo a https:
es.wordpress.org
Además este plugin en su version Pro te ofrece Security headers
3. Utiliza themes y plugins originales, nada nulled, para no tener puertas traseras abiertas.
4. Cambia la ruta de acceso al escritorio con este plugin:
Y no utilices nombres para el usuario como admin y crea una contraseña robusta con letras, números y caracteres.
5. Limita el número de veces que alguien quiera loguearse:
es.wordpress.org
6. Instala estos dos cortafuegos para las amenazas y los ataques:
es.wordpress.org
es.wordpress.org
7. Añade lo siguiente a tu archivo .htaccess
# BEGIN Deshabilitar listado de directorio
Options -Indexes
# END Deshabilitar listado de directorio
# BEGIN Encabezados de seguridad Protección X-XSS
Header set X-XSS-Protection "1; mode=block"
# END Encabezados de seguridad Protección X-XSS
# BEGIN Encabezados de seguridad Tipo de contenido X nosniff
Header set X-Content-Type-Options nosniff
# END Encabezados de seguridad Tipo de contenido X nosniff
# BEGIN protect xmlrpc.php
<files xmlrpc.php>
order allow,deny
deny from all
</files>
# END protect xmlrpc.php
# BEGIN Proteger el archivo wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# END Proteger el archivo wp-config.php
# BEGIN Restrict access to htaccess
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
# END Restrict access to htaccess
# BEGIN Denegar acceso a htaccess
<files .htaccess>
order allow,deny
deny from all
</files>
# END Denegar acceso a htaccess
<Files 403.shtml>
order allow,deny
allow from all
</Files>
# BEGIN Protege tu blog de inyecciones de código
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
# END Protege tu blog de inyecciones de código
Espero que el aporte os ayude a proteger mejor vuestro Wordpress. Por otro lado, se acepta más ayuda por si se me ha escapado algo, y se puede asegurar aún más la web.
A continuación voy a enumerar cómo protejo mis webs en Wordpress:
1. Instala un SSL como Let's Encrypt en tu hosting (la mayoría te lo ofrecen gratis)
2. Utiliza un plugin para redirigir todo a https:
Really Simple Security – Simple and Performant Security (formerly Really Simple SSL)
Mejora fácilmente la seguridad del sitio con el refuerzo de WordPress, autenticación de dos factores (2FA), protección de inicio de sesión, la detección de vulnerabilidades y el certificado SSL.
Además este plugin en su version Pro te ofrece Security headers
3. Utiliza themes y plugins originales, nada nulled, para no tener puertas traseras abiertas.
4. Cambia la ruta de acceso al escritorio con este plugin:
Y no utilices nombres para el usuario como admin y crea una contraseña robusta con letras, números y caracteres.
5. Limita el número de veces que alguien quiera loguearse:
Limit Login Attempts Reloaded – Login Security, Brute Force Protection, Firewall
Bloquea los intentos de acceso excesivos y protege tu sitio contra ataques de fuerza bruta. Sencillas, pero potentes herramientas para mejorar el rendimiento del sitio.
6. Instala estos dos cortafuegos para las amenazas y los ataques:
BBQ Firewall – Fast & Powerful Firewall Security
The fastest firewall plugin for WordPress. Protect against a wide range of threats with minimal performance impact.
Anti-Malware Security and Brute-Force Firewall
Este escáner anti-malware busca malware, virus y otras amenazas y vulnerabilidades de seguridad en tu servidor y te ayuda a solucionarlas.
7. Añade lo siguiente a tu archivo .htaccess
# BEGIN Deshabilitar listado de directorio
Options -Indexes
# END Deshabilitar listado de directorio
# BEGIN Encabezados de seguridad Protección X-XSS
Header set X-XSS-Protection "1; mode=block"
# END Encabezados de seguridad Protección X-XSS
# BEGIN Encabezados de seguridad Tipo de contenido X nosniff
Header set X-Content-Type-Options nosniff
# END Encabezados de seguridad Tipo de contenido X nosniff
# BEGIN protect xmlrpc.php
<files xmlrpc.php>
order allow,deny
deny from all
</files>
# END protect xmlrpc.php
# BEGIN Proteger el archivo wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# END Proteger el archivo wp-config.php
# BEGIN Restrict access to htaccess
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
# END Restrict access to htaccess
# BEGIN Denegar acceso a htaccess
<files .htaccess>
order allow,deny
deny from all
</files>
# END Denegar acceso a htaccess
<Files 403.shtml>
order allow,deny
allow from all
</Files>
# BEGIN Protege tu blog de inyecciones de código
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
# END Protege tu blog de inyecciones de código
Espero que el aporte os ayude a proteger mejor vuestro Wordpress. Por otro lado, se acepta más ayuda por si se me ha escapado algo, y se puede asegurar aún más la web.
Última edición:
