Seguridad WordPress

Los siguientes consejos sobre Seguridad WordPress son para ser aplicados desde el principio de la instalación. Pero seguramente si ya lo tienes instalado, también te serán útiles, aunque algunas cosas no se podrán hacer.

  1. Tu computadora y equipos de uso diario:
    Parece una obviedad, pero debes mantener seguros tus equipos desde donde trabajas, con antivirus y Firewal.
    «La mitad de los hackeos reportados, son porque los hackers se apoderaron de los usuarios y contraseñas guardadas en dichos equipos.»
  2. Si usas un instalador del tipo los que traen cPanel o Softaculous te aconsejamos cambiar el prefijo que viene por defecto de la base de datos. Si sabes instalar el WordPress por medio de FTP entonces seguro sabrás hacerlo cuando creas la base de datos.
  3. Nosotros te aconsejamos instalar el plugin iThemes Security ya que desde ese plugin podrás cambiar el nombre del directorio wp-content. También en la opción «ocultar escritorio» se puede cambiar el ingreso al archivo «wp-login.php» por otra cosa que se puede elegir. (No dejar el ingreso por defecto del plugin iThemes, llamado ‘login’) En nuestro servicio de Mantenimiento WordPress incuimos la versión PRO del plugin iThemes
  4. Otras formas de proteger el ingreso:
    a) Puedes proteger con una contraseña el directorio /wp-admin/ (debes preguntar a tu empresa de hosting como hacerlo)
    b) Puede permitir que solo por medio de tu número de IP pública se pueda acceder al archivo «wp-login.php» para ello debes escribir las siguientes líneas en tu archivo .htaccess (Este es un método engorroso, ya que cuando cambie tu IP pública deberás modificar por FTP o por panel de control el archivo .htaccess, pero para casos extremos puede ser útil)
    Debes incluir estas líneas:
    <Files wp-login.php>
    Order Deny,Allow
    Deny from all
    #Descomentar la siguiente linea y reemplazar las X.X por una o varias IPs (separadas por espacios)
    Allow from XXX.XX.XXX.XX
    </Files>
  5. Cambiar el nombre de usuario «admin», para evitar que logren entrar a tu sitio mediante fuerza bruta.
    Lo ideal es que no sea un «usuario administrador» el que publique en el sitio, sino uno de nivel inferior, como ser «Editor».
    Siempre mostrar en público un Alias diferente al nombre de usuario real, sobretodo el usuario Administrador del sitio.
  6. Cambiar el «slug» del autor:
    Suele ocurir que el slug del «author» coincide con el nombre de usuario. Así que cuando se filtra posteos por autor se puede saber el usuario del mismo. Hay plugins que te cambian el nombre. Búsca el que esté actualizado. También si buscas en Google, encontrarás código, para que cuando un bot o un hacker quiera listar los usuarios, sean redirigidos a otra página.
  7. Si tienes un sitio con Widget:
    El campo “meta” debe ser quitado, ya que muestra la dirección del login.
  8. Borrar los archivos:
    readme.html y licence.txt, wp-config-sample.php ya que pueden bridar información útil que luego será usada para atacar el sitio. Tener en cuenta que al actualizar el WordPress serán incluidos nuevamente. El plugin iThemes Security tiene una imple opción para que estos archivos no sean accesibles.
  9. Antes de actualizar plugins y Themes hacer una copia de la base de datos.
    Además de la copia que nuestros servidores hacen y envián a la nube. Nosotros usamos como redundancia, un plugin que hace una copia diaria y la envía por email, por FTP, Google Drive. etc. Se llama: WP Database Backup
  10. Anti Spam:
    El plugin más fácil de instalar y con un muy buen filtrado de comentarios de spam es el “Anti Spam” de webvitaly.
    Enlace: http://web-profile.net/wordpress/plugins/anti-spam/
  11. Formularios de contacto:
    Los formularios de contacto pueden ser usados para enviar spam y tu sitio web terminar en una lista negra. Te aconsejamos usar un
    Captcha. El mas famoso es de de Google, llamado reCaptcha
  12. Actualizaciones:
    No solo debes mantener actualizado el WordPress, sus Themes y plugins, sino que debes verificar que los mismos no han sido abandonados por el autor, por lo general en el enlace «detalles» del plugin sabes cuando ha sido la última actualización.
    Jamás usar Themes o plugins llamados «nulled», es decir, que son pagos pero se modificaron para descargarse gratis.
    Instala Themes y Plugins que se encuentren en el repositorio oficial de WordPress. Desconfía de cualquier otro sitio.
  13. Google te ayuda:
    Abre una cuenta en el «Google Search console». Si tu sitio con WordPress tiene problemas, como por ejemplo le inyectaron malware, enlaces rotos, no se adapta a dispositivos móviles, muchos errores 404, etc. Google te enviará por correo una alerta.
  14. Crear una página de error 404 estática:
    Puede ocurrir que bots de internet realicen muchas peticiones a tu sitio web a páginas que no existen. Si bien el plugin que te recomendamos tiene una cierta protección contra los errores 404 (Páginas internas que no existen). Es recomendable que hagas una página personalizada estática para que no sobrecargar el servidor por tantas consultas a la base de datos.
  15. Carpeta upload:
    En la carpeta upload no debería subirse ningún archivo .php. Hay una forma simple de evitar que hackers suban esos archivos explotando vulnerabilidades. Se debe crear en dicha carpeta un archivo .htaccess e incluir las siguientes líneas

    <Files *.php> 
    Deny from all 
    </Files>

Si no tienes tiempo para todos estos consejos y para el mantenimiento WordPress, te recomendamos nuestro servicio que incluye el hosting.
Puedes consultarnos por Chat o formulario de contacto