Aquí en ServWise, vemos ataques diarios a sitios web de WordPress y vemos sitios comprometidos por piratas informáticos con regularidad. Para ayudar a nuestros clientes, hemos compilado una breve lista de verificación de las principales acciones de seguridad que deben seguir todos los clientes que usan WordPress.
Paso 1: manténgase actualizado.
Es de vital importancia al usar WordPress que esté ejecutando la última versión, los piratas informáticos apuntan a WordPress debido a su popularidad y porque es fácil para alguien sin los conocimientos de seguridad adecuados configurar un sitio web, lo que convierte a WordPress en un objetivo principal.
Paso 2: nombres de usuario y contraseñas seguros
Utilice siempre contraseñas complejas e individuales para cada inicio de sesión, esto incluye sus inicios de sesión MySQL. Regularmente vemos cuentas del panel de control a las que acceden los piratas informáticos porque se utilizó la misma contraseña con la conexión MySQL que se almacena en texto sin formato dentro de wp-config.php. Las contraseñas deben tener al menos 8 caracteres e incluir un rango de caracteres en mayúsculas y minúsculas, números y símbolos. Nunca debe usar admin como nombre de usuario.
Paso 3: Mueva wp-config.php fuera de la raíz de su sitio web
wp-config.php contiene toda la información de conectividad de su base de datos, por lo que mover el wp-config.php fuera de la carpeta de su sitio web público (donde un script secuestrado podría leerlo) es una buena idea. Si WordPress está instalado en la carpeta public_html o wwwroot (por ejemplo, /home/public_html/wp-config.php), simplemente puede mover el archivo una carpeta debajo (por ejemplo, en /home/wp-config.php) y WordPress encontrará automáticamente el archivo (recuerde dar permisos de lectura al archivo wp-config.php para el usuario del dominio). Si su WordPress está almacenado en una subcarpeta de su sitio o si desea almacenar el archivo en otro lugar, mueva el archivo y cree un nuevo archivo wp-config.php con el siguiente código editado para señalar la ubicación a la que ha movido el original. expediente.
<php
/** Absolute path to the WordPress directory. */
if ( !defined('ABSPATH') )
define('ABSPATH', dirname(__FILE__) . '/');
/** Location of your WordPress configuration. */
require_once(ABSPATH . '../phpdocs/wp-config.php');
Paso 4: deshabilite la edición de archivos
WordPress de forma predeterminada permite a los administradores editar archivos como complementos y archivos de temas. Esta es a menudo la primera herramienta que utilizará un pirata informático una vez que haya obtenido acceso al administrador. Puede deshabilitar la edición colocando esta línea en su archivo wp-config.php:
define('DISALLOW_FILE_EDIT', true);
Paso 5: deshabilite los complementos no utilizados
Si un complemento no se utiliza, desactívelo.
Paso 6: restringir el acceso de administrador a nuestra propia IP
Si tiene una dirección IP estática, agregue lo siguiente a su archivo .htaccess para restringir el acceso de administrador solo a su IP, edite para que 123.123.123.123 sea su dirección IP:
RewriteEngine on
RewriteCond %{REQUEST_URI} ^/wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^/wp-admin$
RewriteCond %{REMOTE_ADDR} !^123.123.123.123$
RewriteRule ^(.*)$ – [R=403,L]
Si no tiene una IP estática, aún puede usar esta regla actualizando la IP a través de FTP / panel cada vez que su dirección cambie y necesite acceso al administrador.
Otras cosas que hacer
Estas y otras técnicas de seguridad para WordPress se pueden encontrar en http://codex.wordpress.org/Hardening_WordPress
También hay una serie de complementos de seguridad que pueden ser útiles
WordFence: escanea sus instalaciones de WordPress en busca de malware contra un código de WordPress que se sepa. http://wordpress.org/plugins/wordfence/
BruteProtect: bloqueador para limitar ataques de fuerza bruta habituales. http://wordpress.org/plugins/bruteprotect/