Seguridad WordPress

Los siguientes consejos sobre Seguridad WordPress son para ser aplicados desde el principio de la instalación. Pero seguramente si ya lo tienes instalado, también te serán útiles, aunque algunas cosas no se podrán hacer.

        1. Tu computadora y equipos de uso diario:
          Parece una obviedad, pero debes mantener seguros tus equipos desde donde trabajas, con antivirus y Firewal.
          «La mitad de los hackeos reportados, son porque los hackers se apoderaron de los usuarios y contraseñas guardadas en dichos equipos.»
        2. Si usas un instalador del tipo los que traen cPanel o Softaculous o WP Toolkit, te aconsejamos cambiar el prefijo que viene por defecto de la base de datos. Si sabes instalar el WordPress por medio de FTP entonces seguro sabrás hacerlo cuando creas la base de datos.
        3. Nosotros te aconsejamos instalar el plugin Solid Security (Ex iThemes Security ) ya que desde ese plugin podrás cambiar el nombre del directorio wp-content. También en la opción «ocultar escritorio» se puede cambiar el ingreso al archivo «wp-login.php» por otra cosa que se puede elegir. (No dejar el ingreso por defecto del plugin iThemes, llamado ‘login’) En nuestro servicio de Mantenimiento WordPress usamos ese plugin, además de las medidas de seguridad de nuestros servidores.
        4. Otras formas de proteger el ingreso:
          a) Puedes proteger con una contraseña el directorio /wp-admin/ (debes preguntar a tu empresa de hosting como hacerlo)
          b) Puede permitir que solo por medio de tu número de IP pública se pueda acceder al archivo «wp-login.php» para ello debes escribir las siguientes líneas en tu archivo .htaccess (Este es un método engorroso, ya que cuando cambie tu IP pública deberás modificar por FTP o por panel de control el archivo .htaccess, pero para casos extremos puede ser útil)
          Debes incluir estas líneas:
          <Files wp-login.php>
          Order Deny,Allow
          Deny from all
          #Descomentar la siguiente linea y reemplazar las X.X por una o varias IPs (separadas por espacios)
          Allow from XXX.XX.XXX.XX
          </Files>
        5. Cambiar el nombre de usuario «admin», para evitar que logren entrar a tu sitio mediante fuerza bruta.
          Lo ideal es que no sea un «usuario administrador» el que publique en el sitio, sino uno de nivel inferior, como ser «Editor».
          Siempre mostrar en público un Alias diferente al nombre de usuario real, sobretodo el usuario Administrador del sitio.
        6. Cambiar el «slug» del autor:
          Suele ocurir que el slug del «author» coincide con el nombre de usuario. Así que cuando se filtra posteos por autor se puede saber el usuario del mismo. Hay plugins que te cambian el nombre. Búsca el que esté actualizado. También si buscas en Google, encontrarás código, para que cuando un bot o un hacker quiera listar los usuarios, sean redirigidos a otra página.
        7. Si tienes un sitio con Widget:
          El campo “meta” debe ser quitado, ya que muestra la dirección del login.
        8. Borrar los archivos o proteger:
          readme.html y licence.txt, wp-config-sample.php ya que pueden bridar información útil que luego será usada para atacar el sitio. Tener en cuenta que al actualizar el WordPress serán incluidos nuevamente. El plugin iThemes Security tiene una simple opción para que estos archivos no sean accesibles.
          Otra opción:
          Es asignarle permisos 444 desde el administrador de archivos de tu hosting o por medio de un programa de FTP.
        9. Antes de actualizar plugins y Themes hacer una copia de la base de datos.
          Además de la copia que nuestros servidores hacen y envián a la nube. Nosotros usamos como redundancia, un plugin que hace una copia diaria o cada una cantidad determinada de horas y la envía por email, por FTP, Google Drive. etc. Se llama:  Updraftplus
        10. Anti Spam:
          El plugin más fácil de instalar y con un muy buen filtrado de comentarios de spam es el “Anti Spam” de webvitaly.
          Enlace: http://web-profile.net/wordpress/plugins/anti-spam/
        11. Formularios de contacto:
          Los formularios de contacto pueden ser usados para enviar spam y tu sitio web terminar en una lista negra. Te aconsejamos usar un
          Captcha. El mas famoso es de de Google, llamado reCaptcha
        12. Actualizaciones:
          No solo debes mantener actualizado el WordPress, sus Themes y plugins, sino que debes verificar que los mismos no han sido abandonados por el autor, por lo general en el enlace «detalles» del plugin sabes cuando ha sido la última actualización.
          Jamás usar Themes o plugins llamados «nulled», es decir, que son pagos pero se modificaron para descargarse gratis.
          De preferencia: Instala Themes y Plugins que se encuentren en el repositorio oficial de WordPress. Si vas a comprar un plugin que no está en el repostorio oficial de WordPress, realiza una exhaustiva investigación antes de comprarlo.
        13. Google te ayuda:
          Abre una cuenta en el «Google Search console». Si tu sitio con WordPress tiene problemas, como por ejemplo le inyectaron malware, enlaces rotos, no se adapta a dispositivos móviles, muchos errores 404, etc. Google te enviará por correo una alerta.
        14. Crear una página de error 404 estática:
          Puede ocurrir que bots de internet realicen muchas peticiones a tu sitio web a páginas que no existen. Si bien el plugin que te recomendamos tiene una cierta protección contra los errores 404 (Páginas internas que no existen). Es recomendable que hagas una página personalizada estática para que no sobrecargar el servidor por tantas consultas a la base de datos.
        15. Carpeta upload:
          En la carpeta upload no debería subirse ningún archivo .php. Hay una forma simple de evitar que hackers suban esos archivos explotando vulnerabilidades. Se debe crear en dicha carpeta un archivo .htaccess e incluir las siguientes líneas

          <Files *.php>
          Deny from all
          </Files>
          
          
        16. Ataques al archivo xmlrpc.php: Es bastante habitual que bots intenten acceder por fuerza bruta a ese archivo, sobrecargando el servidor, puedes desactivarlo incluyendo algunas de estas líneas en tu archivo .htaccess
          #Opcion 1
          <Files xmlrpc.php>
          order deny,allow
          deny from all
          </Files>
          #Opcion 2
          Redirect 301 /xmlrpc.php http://127.0.0.1
          

    Si no tienes tiempo para todos estos consejos y para el mantenimiento WordPress, te recomendamos nuestro servicio que incluye el hosting.

    Puedes consultarnos por Chat o formulario de contacto