Seguridad en WordPress

El 28% de toda la red utiliza WordPress para crear sitios web o blogs personales. Como cualquier software popular, WordPress también es objeto de ataques de todo tipo, llevados a cabo por atacantes malintencionados que quieren aprovechar las vulnerabilidades del sistema para acceder a datos sensibles o incluso tomar el control del servidor en el que está alojado el sitio. Así que vamos a ver cómo asegurar tu WordPress en unos sencillos pasos:

BACKUP

La copia de seguridad debe estar configurada correctamente a nivel de alojamiento, una copia de seguridad mal configurada es absolutamente inútil. Las copias de seguridad no deben realizarse en la misma máquina, sino que deben externalizarse. Hay dos cosas principales de las que hay que hacer una copia de seguridad: la base de datos y los datos (normalmente en la carpeta public_html).
Las copias de seguridad son muy importantes, siempre son el último recurso, si el sitio/base de datos se corrompe o se infecta siempre podemos restaurarlo, así que comprueba la integridad de las copias de seguridad con frecuencia.

DIFICULTAR LA VIDA DE LOS BOTS

  • Eliminar los archivos después de instalar WordPress. Como comprometen la seguridad y/o son innecesarios, su eliminación dificultará la vida de los bots que escanean los sitios de WordPress.
  • Conéctate a SFTP (si no es posible el FTP) y navega por public_html que es la carpeta de instalación de wordpress, puede ser diferente de la tuya.
  • public_html/wp-config-sample.php
  • Archivos para la configuración de la base de datos y otros ajustes
  • En general, si has hecho una instalación automática, tienes los archivos wp-config.php y wp-config-sample.php.
  • Elimina el archivo wp-config-sample.php porque ya no es necesario.
  • public_html/readme.html
  • El borrado absoluto permite conocer la versión de wordpress utilizada, lo que puede ser utilizado por un hacker para conocer los posibles fallos del sistema.
  • public_html/licencia.txt
  • public_html/licencia.html
  • public_html/wp-admin/install.php
  • El primer archivo de instalación ya no es necesario
  • Eliminar «Powered by WordPress».
  • Eliminar «Powered by WordPress» del pie de página, esto compromete la seguridad al permitir que los bots entiendan inmediatamente que nuestro sitio utiliza WordPress.

PRIVILEGIOS DE LOS USUARIOS DEL SISTEMA Y PERMISOS DE LOS ARCHIVOS

El principio de los privilegios se basa en esta idea: dar acceso a las personas que lo soliciten durante el tiempo que puedan hacer su trabajo, ni más ni menos. Nunca des a los usuarios más permisos de los que necesitan, y mantén al mínimo el número de usuarios con permisos administrativos en el sitio.

El esquema básico de permisos debe ser para las carpetas 775 (lectura, escritura y ejecución para el propietario y el grupo, y lectura y ejecución para los demás) y para los archivos 644 (lectura y escritura para el propietario, sólo lectura para el grupo y los demás). Ninguna carpeta o archivo debe tener permisos de 777 (lectura, escritura y ejecución para el propietario, grupo y otros).

ACTUALIZACIONES Y PLUGINS

Mantén siempre los plugins en la última versión, así como WordPress y cualquier tema instalado, pero siempre haz una copia de seguridad antes de las actualizaciones importantes. Mantén siempre la última versión de PHP soportada por wordpress y su host, esto no sólo resolverá los problemas de seguridad sino que tu web será más rápida, por ejemplo de la versión 5.6 a la 7.0 las páginas cargan un 25% más rápido.

Instala sólo plugins de fuentes conocidas y desinstala los que ya no sean necesarios. Nunca busques plugins premium gratuitos en Google, sólo traen malware.

PROTOCOLOS SEGUROS

Conéctate siempre al servidor utilizando SFTP y no FTP, para que la conexión esté cifrada. P.D. Si utilizas Filezilla, transfiere los archivos en formato binario y no auto o ascii, ya que algunos de ellos se corromperán después de la transferencia.

Configura HTTPS y redirige de HTTP a HTTPS (para asegurar la conexión entre el usuario y tu sitio) si tu sitio contiene formularios de inicio de sesión o si el usuario tiene la posibilidad de enviar información sensible de alguna manera.

El HTTPS puede implementarse de forma gratuita con Let’s Encrypt (con certificados que caducan cada tres meses) o con certificados de mayor duración que deben pagarse. En ambos casos, el sitio proporciona una conexión cifrada que es reconocida como válida por los navegadores, sólo cambia el emisor del certificado.

⬇️No te pierdas los últimos artículos⬇️

Esta web emplea cookies para mejorar la experiencia del usuario y ofrecer los mejores los mejores resultados a los visitantes.   
Privacidad