WordPress es el CMS más popular en estos momentos, y si tienes una página web creada con este gestor de contenido, más te vale tener muy en cuenta la seguridad de tu sistema si no quieres tener problemas.
Te voy a dar 10 consejos realmente prácticos que te van a ayudar a mejorar un 100% la seguridad de tu blog creado con WordPress.
10 consejos para asegurar tu blog creado con WordPress
1.-Desactiva el editor de temas y plugins de WordPress
Se trata de dos funciones realmente útiles que te permiten modificar el tema y los plugins instalados directamente desde el panel de administración, pero pueden suponer un agujero de seguridad si un hacker consigue entrar a tu sitio.
Siempre puedes inhabilitar esta función y cambiar tus archivos mediante FTP. Solo tienes que añadir la siguiente línea al archivo wp-config.php:
define( ‘DISALLOW_FILE_EDIT’, true );
2.-Habilitar la autenticación en 2 pasos
Puedes habilitar la autenticación en dos pasos (WordPress te va a pedir un codigo aleatorio cada vez que hagas login) con alguno de los siguientes plugins:
3.-Limita el numero de logins
Siempre te pueden atacar mediante fuerza bruta, así que sería interesante habilitar algún mecanismo que permita reducir el numero de intentos de acceso a la web. Si se supera el numero de veces permitida, la IP del atacante será baneada. Sin duda la mejor opción en estos momentos para activar esta función la encontramos en el Plugin JetPack y su Protect Module.
4.-Escanea tu blog
Deberías activar algún sistema para escanear los archivos de Blog y ver si han sufrido cambios en algún momento. El plugin Wordfence es una excelente opción que compara tus archivos (temas y plugins) con los que puede encontrar en el repositorio de WordPress. También puedes usar Sucuri Security Scanner.
5.-Elige un buen host de alojamiento web
Muchas veces las vulnerabilidades provienen de la compañía donde has contratado el alojamiento web, así que asegurarte de estar en una compañía que tenga buena fama y sea segura. Te recomendamos las siguientes: Qué hosting elegir para alojar una web creada con WordPress.
6.-Esconde la versión de tu WordPress
Por defecto WordPress enseña la versión de tu instalación. Si lo tienes actualizado no pasa nada, en caso contrario, mejor esconder que no tienes la última versión del CMS. Solo tienes que añadir lo siguiente al archivo functions.php de tu tema:
add_filter( ‘the_generator’, ‘__return_null’ );
7.-Desactiva los reportes de errores PHP
Si un plugin no funciona bien, los reportes de errores PPH te pueden ayudar a descubrir el fallo, pero también van a mostrar información importante de tu servidor a todos aquellos que sepan donde mirar. Añade lo siguiente a tu archivos wp-config.php:
error_reporting(0);
@ini_set(‘display_errors’, 0);
8.-Los permisos de tus archivos WordPress
Asegurate de tener los permisos correctos en tu tus archivos en el servidor. Esto dependerá mucho también del tipo de alojamiento (VPS, servidor compartido), pero como regla general:
- Carpetas de WordPress: 755 o 750
- Archivos: 640 o 644
- wp-config.php: 600
9.-Haz backups regulares
La mejor política que puedes seguir es hacer copias de seguridad cada cierto tiempo por si pasara lo peor. Tienes algunos plugins muy buenos que te pueden ayudar:
10.-Limita el acceso a la zona de administración de WordPress
Puedes impedir el acceso a wp-admin y wp-login.php, y permitir que solo tu IP pueda entrar en la zona de administración de tu web (Ojo si la compañía que te da acceso a internet te proporciona una IP dinámica, en ese caso mejor no seguir este consejo). Debes añadir lo siguiente al archivo .htaccess:
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^TuIP$
RewriteRule ^(.*)$ – [R=403,L]
</IfModule>
Vía www.hongkiat.com
Deja una respuesta Cancelar la respuesta