jg4079751
Épsilon
Eta
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Buenas bet@s,
A continuación voy a enumerar cómo protejo mis webs en Wordpress:
1. Instala un SSL como Let's Encrypt en tu hosting (la mayoría te lo ofrecen gratis)
2. Utiliza un plugin para redirigir todo a https:
es.wordpress.org
Además este plugin en su version Pro te ofrece Security headers
3. Utiliza themes y plugins originales, nada nulled, para no tener puertas traseras abiertas.
4. Cambia la ruta de acceso al escritorio con este plugin:
Y no utilices nombres para el usuario como admin y crea una contraseña robusta con letras, números y caracteres.
5. Limita el número de veces que alguien quiera loguearse:
es.wordpress.org
6. Instala estos dos cortafuegos para las amenazas y los ataques:
es.wordpress.org
es.wordpress.org
7. Añade lo siguiente a tu archivo .htaccess
# BEGIN Deshabilitar listado de directorio
Options -Indexes
# END Deshabilitar listado de directorio
# BEGIN Encabezados de seguridad Protección X-XSS
Header set X-XSS-Protection "1; mode=block"
# END Encabezados de seguridad Protección X-XSS
# BEGIN Encabezados de seguridad Tipo de contenido X nosniff
Header set X-Content-Type-Options nosniff
# END Encabezados de seguridad Tipo de contenido X nosniff
# BEGIN protect xmlrpc.php
<files xmlrpc.php>
order allow,deny
deny from all
</files>
# END protect xmlrpc.php
# BEGIN Proteger el archivo wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# END Proteger el archivo wp-config.php
# BEGIN Restrict access to htaccess
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
# END Restrict access to htaccess
# BEGIN Denegar acceso a htaccess
<files .htaccess>
order allow,deny
deny from all
</files>
# END Denegar acceso a htaccess
<Files 403.shtml>
order allow,deny
allow from all
</Files>
# BEGIN Protege tu blog de inyecciones de código
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
# END Protege tu blog de inyecciones de código
Espero que el aporte os ayude a proteger mejor vuestro Wordpress. Por otro lado, se acepta más ayuda por si se me ha escapado algo, y se puede asegurar aún más la web.
A continuación voy a enumerar cómo protejo mis webs en Wordpress:
1. Instala un SSL como Let's Encrypt en tu hosting (la mayoría te lo ofrecen gratis)
2. Utiliza un plugin para redirigir todo a https:
Really Simple Security – Simple and Performant Security (formerly Really Simple SSL)
Easily improve site security with Protección de WordPress, Two-Factor Authentication (2FA), Protección de Inicio de Sesión, Detección de vulnerabilidades and SSL certificate.
Además este plugin en su version Pro te ofrece Security headers
3. Utiliza themes y plugins originales, nada nulled, para no tener puertas traseras abiertas.
4. Cambia la ruta de acceso al escritorio con este plugin:
Y no utilices nombres para el usuario como admin y crea una contraseña robusta con letras, números y caracteres.
5. Limita el número de veces que alguien quiera loguearse:
Limit Login Attempts Reloaded – Login Security, Brute Force Protection, Firewall
Bloquea los intentos de acceso excesivos y protege tu sitio contra ataques de fuerza bruta. Sencillas, pero potentes herramientas para mejorar el rendimiento del sitio.
6. Instala estos dos cortafuegos para las amenazas y los ataques:
BBQ Firewall – Fast & Powerful Firewall Security
The fastest firewall plugin for WordPress. Protect against a wide range of threats with minimal performance impact.
Anti-Malware Security and Brute-Force Firewall
Este escáner anti-malware busca malware, virus y otras amenazas y vulnerabilidades de seguridad en tu servidor y te ayuda a solucionarlas.
7. Añade lo siguiente a tu archivo .htaccess
# BEGIN Deshabilitar listado de directorio
Options -Indexes
# END Deshabilitar listado de directorio
# BEGIN Encabezados de seguridad Protección X-XSS
Header set X-XSS-Protection "1; mode=block"
# END Encabezados de seguridad Protección X-XSS
# BEGIN Encabezados de seguridad Tipo de contenido X nosniff
Header set X-Content-Type-Options nosniff
# END Encabezados de seguridad Tipo de contenido X nosniff
# BEGIN protect xmlrpc.php
<files xmlrpc.php>
order allow,deny
deny from all
</files>
# END protect xmlrpc.php
# BEGIN Proteger el archivo wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# END Proteger el archivo wp-config.php
# BEGIN Restrict access to htaccess
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
# END Restrict access to htaccess
# BEGIN Denegar acceso a htaccess
<files .htaccess>
order allow,deny
deny from all
</files>
# END Denegar acceso a htaccess
<Files 403.shtml>
order allow,deny
allow from all
</Files>
# BEGIN Protege tu blog de inyecciones de código
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
# END Protege tu blog de inyecciones de código
Espero que el aporte os ayude a proteger mejor vuestro Wordpress. Por otro lado, se acepta más ayuda por si se me ha escapado algo, y se puede asegurar aún más la web.
Última edición:
