Mejores prácticas de seguridad de WordPress – Lista de TODO – ¿Cómo proteger su blog de WordPress?

Publicado: 2015-05-25

Tómese la seguridad de WordPress en serio

WordPress es una de las plataformas más populares para blogs y sitios web autohospedados. Si bien WordPress es bastante seguro desde el primer momento, siempre habrá personas que quieran causar problemas al encontrar una manera de entrar en cuentas o sitios para causar daños o inyectar enlaces de spam ocultos. Por eso es importante asegurarse de que su instalación de WordPress sea lo más segura posible. Consejos de seguridad de WordPress .

TechCrunch, el blog más grande del mundo, fue pirateado dos veces en un corto período de tiempo de ocho horas (en 2012). Según el programador principal de WordPress, Mark Jaquith, lo más probable es que el ataque se deba a un complemento de WordPress inseguro que permitió al pirata informático usar el método de inyección de php para piratear la crisis tecnológica. No fue un hackeo del lado del servidor. Espero que toda esta información detallada te ayude a proteger tu blog de WordPress.

¿Tiene una consulta a continuación sobre las siguientes preguntas?

  • revisiones de complementos de seguridad de wordpress
  • vulnerabilidades de seguridad en wordpress
  • mejores practicas de seguridad en wordpress
  • problemas de seguridad wordpress
  • consejos de seguridad wordpress
  • mejor complemento de seguridad de wordpress
  • exploración de seguridad de wordpress
  • comprobación de seguridad de wordpress

Entonces estás en el lugar correcto. Revisiones de complementos de seguridad por Crunchify.

Estos son algunos consejos para mantener su sitio web o blog de WordPress más seguro y menos susceptible a ataques maliciosos. Estos pasos nos ayudan a proteger nuestro blog al mantener alejados a los malos.

1) Actualizar a la última versión de WordPress

Ningún sistema de software es inmune a errores y vulnerabilidades. Se descubrirán agujeros de seguridad y los malos harán todo lo posible para explotarlos. Mantener su software actualizado es una buena manera de evitar ataques, ya que los proveedores de software confiables repararán sus productos una vez que se encuentren fallas de seguridad.

Afortunadamente, mantener tu sitio de WordPress actualizado es una de las cosas más fáciles que puedes hacer. En las últimas versiones, WordPress ha incluido la posibilidad de instalar actualizaciones automáticas. No solo eso, sino que los sitios reciben una notificación cada vez que hay una nueva actualización disponible.

Si no está ejecutando la última versión de WordPress, actualice ahora. Dejar su sitio en una versión anterior es como mantener su puerta abierta cuando se va de vacaciones.

Actualización de WordPress

2) Poner el archivo index.php en blanco

Si pensabas que simplemente configurar permisos de directorio es más que suficiente, ¡diría que no es tan simple amigo! Sugeriría que uno debería colocar un archivo html o php vacío ( ensure that the name should be index.php ) en la carpeta wp-content/themes/ & wp-content/plugins/ . De esta manera, cada vez que alguien intente ver el contenido de esa carpeta, se le presentará una página en blanco y nada más. ¿No es un movimiento inteligente?

Contenido del archivo:

index.php
1
2
3
<?php
// Silence is golden.
?>

Ponga el archivo index.php en blanco en cada carpeta

3) Use claves secretas en su archivo WP-Config

En WordPress, el archivo wp-config.php es el archivo que almacena la información de la base de datos que WordPress necesita para conectar su circuito, por así decirlo. Este archivo contiene el nombre, la dirección y la contraseña de la base de datos MySQL que almacena toda su información de usuario, publicaciones de blog y otro contenido importante.

Usando una clave secreta, puede hacer que sea aún más difícil para alguien obtener acceso a su cuenta.

Vaya a https://api.wordpress.org/secret-key/1.1/ y copy the results into this section of your wp-config.php si aún no ha configurado una clave secreta.

4) Mantenga su archivo .htaccess bajo control

Usando un archivo .htaccess , puede establecer límites de acceso a ciertos directorios. Puede vincular esos límites a una dirección IP específica, lo que significa que solo las personas de esa ubicación pueden acceder a su información.

Siempre es recomendable que, al elegir su proveedor de alojamiento web, confirme con ellos qué versión de MySQL, Apache y PHP están usando”.

Muestra:

Sample deny,allow in .htaccess
1
2
3
4
5
6
7
8
order deny , allow
deny from 32.177.15. *
deny from 53.177.14. *
deny from 64.255.113. *
deny from 11.255.114. *
deny from 115.225.176.86
deny from 535.255.117.250
allow from all

5) Use contraseñas seguras de cuenta de WordPress

Además de agregar una clave secreta a su archivo wp-config.php , también considere cambiar su contraseña de usuario a algo que sea seguro y único. WordPress te dirá la seguridad de tu contraseña, pero un buen consejo es evitar frases comunes, usar letras mayúsculas y minúsculas e incluir números. También es una buena idea cambiar su contraseña regularmente, digamos una vez cada dos meses.

6) Actualizar el entorno del servidor y los complementos

La actualización de complementos y temas tan pronto como se publique es responsabilidad suya. Sugeriría actualizar su complemento regularmente. Eche un vistazo al artículo CSRF que publiqué hace algún tiempo.

En cuanto al entorno del servidor, no está en sus manos, sino en las manos del servidor web. Siempre es recomendable que, al elegir su proveedor de alojamiento web, confirme con ellos qué versión de MySQL, Apache y PHP están utilizando. Combínelo con la última versión mencionada en sus respectivos sitios web y, si están desactualizados, debe pedirles que los actualicen (muy poco probable) o que cambien el servidor web lo antes posible.

7) Nunca uses "admin" como tu nombre de usuario

Después de instalar WordPress, debe cambiar el nombre de usuario del administrador.

8) Cambiar el WP prefix de las tablas de la base de datos

Te salvará de la piratería de inyección de sql.

9) No instales WordPress en el directorio raíz

Instálelo en alguna carpeta con un nombre extraño que no es fácil de saber. Algo así como 442testXYZ . Esto salvará su instalación de WordPress de bots y piratas informáticos.

10) Bloquear bots malos

Nunca se sabe cuándo los bots maliciosos rastrean su sitio. La solución es simple. Intente poner a continuación en su archivo .htaccess para bloquear los bots malos.

.htaccess
1
2
3
RewriteEngine On
RewriteCond % { HTTP_USER_AGENT } ^ . * ( agent1 | Wget | Catall Spider ) . * $ [ NC ]
RewriteRule . * - [ F , L ]

Resumen

Todos estamos de acuerdo en que tener un blog de WordPress seguro debe ser nuestra primera prioridad al mantener un blog exitoso. WordPress es un increíble software de publicación y Automattic (la compañía detrás de WordPress) siempre se esfuerza por asegurarlo para que millones de blogs puedan estar a salvo de las amenazas de los piratas informáticos.

Hay tantas maneras en que podríamos mejorar la seguridad de WordPress. Estos cambios son pequeños y muchas de estas recomendaciones se pueden implementar en cuestión de minutos. Podría estar tranquilo sabiendo que su sitio de WordPress es un poco más seguro contra intrusos y piratas informáticos.