Asegurar WordPress

Aquí en ServWise, vemos ataques diarios a sitios web de WordPress y vemos sitios comprometidos por piratas informáticos con regularidad. Para ayudar a nuestros clientes, hemos compilado una breve lista de verificación de las principales acciones de seguridad que deben seguir todos los clientes que usan WordPress.

Paso 1: manténgase actualizado.

Es de vital importancia al usar WordPress que esté ejecutando la última versión, los piratas informáticos apuntan a WordPress debido a su popularidad y porque es fácil para alguien sin los conocimientos de seguridad adecuados configurar un sitio web, lo que convierte a WordPress en un objetivo principal.

Paso 2: nombres de usuario y contraseñas seguros

Utilice siempre contraseñas complejas e individuales para cada inicio de sesión, esto incluye sus inicios de sesión MySQL. Regularmente vemos cuentas del panel de control a las que acceden los piratas informáticos porque se utilizó la misma contraseña con la conexión MySQL que se almacena en texto sin formato dentro de wp-config.php. Las contraseñas deben tener al menos 8 caracteres e incluir un rango de caracteres en mayúsculas y minúsculas, números y símbolos. Nunca debe usar admin como nombre de usuario.

Paso 3: Mueva wp-config.php fuera de la raíz de su sitio web

wp-config.php contiene toda la información de conectividad de su base de datos, por lo que mover el wp-config.php fuera de la carpeta de su sitio web público (donde un script secuestrado podría leerlo) es una buena idea. Si WordPress está instalado en la carpeta public_html o wwwroot (por ejemplo, /home/public_html/wp-config.php), simplemente puede mover el archivo una carpeta debajo (por ejemplo, en /home/wp-config.php) y WordPress encontrará automáticamente el archivo (recuerde dar permisos de lectura al archivo wp-config.php para el usuario del dominio). Si su WordPress está almacenado en una subcarpeta de su sitio o si desea almacenar el archivo en otro lugar, mueva el archivo y cree un nuevo archivo wp-config.php con el siguiente código editado para señalar la ubicación a la que ha movido el original. expediente.

<php
/** Absolute path to the WordPress directory. */
if ( !defined('ABSPATH') )
define('ABSPATH', dirname(__FILE__) . '/');

/** Location of your WordPress configuration. */
require_once(ABSPATH . '../phpdocs/wp-config.php');

Paso 4: deshabilite la edición de archivos

WordPress de forma predeterminada permite a los administradores editar archivos como complementos y archivos de temas. Esta es a menudo la primera herramienta que utilizará un pirata informático una vez que haya obtenido acceso al administrador. Puede deshabilitar la edición colocando esta línea en su archivo wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Paso 5: deshabilite los complementos no utilizados

Si un complemento no se utiliza, desactívelo.

Paso 6: restringir el acceso de administrador a nuestra propia IP

Si tiene una dirección IP estática, agregue lo siguiente a su archivo .htaccess para restringir el acceso de administrador solo a su IP, edite para que 123.123.123.123 sea su dirección IP:

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^/wp-admin$
RewriteCond %{REMOTE_ADDR} !^123.123.123.123$
RewriteRule ^(.*)$ – [R=403,L]

Si no tiene una IP estática, aún puede usar esta regla actualizando la IP a través de FTP / panel cada vez que su dirección cambie y necesite acceso al administrador.

Otras cosas que hacer

Estas y otras técnicas de seguridad para WordPress se pueden encontrar en http://codex.wordpress.org/Hardening_WordPress
También hay una serie de complementos de seguridad que pueden ser útiles
WordFence: escanea sus instalaciones de WordPress en busca de malware contra un código de WordPress que se sepa. http://wordpress.org/plugins/wordfence/
BruteProtect: bloqueador para limitar ataques de fuerza bruta habituales. http://wordpress.org/plugins/bruteprotect/

  • 8 Los Usuarios han Encontrado Esto Útil
¿Fue útil la respuesta?

Artículos Relacionados

¿Por qué actualizar su cms?

Es importante actualizar el software que usamos en Internet (aplicaciones cms y navegadores web)...

Consejos generales de seguridad

No hace falta decir que la protección del sitio web es extremadamente importante. A continuación...

Cómo asegurar su plan de alojamiento de los ataques de los hackers

Los típicos vectores de ataque utilizados por los hackers son los siguientes: Los permisos de...

Limitar los ataques de fuerza bruta en WordPress

Es bastante común que los piratas informáticos intenten escaneos aleatorios de sitios web en...

Cómo hacer que su sitio web sea seguro

Como host web, monitoreamos constantemente nuestros sistemas y nos aseguramos de que nuestros...