Checklist de seguridad mínima de tu WordPress

Estos son los puntos básicos que tienes que hacer para tener un mínimo de seguridad en tus páginas WordPress.
Para poder acceder al contenido Premium tienes que ser suscriptor. Solo 10 euros al mes.Suscríbete
Comentarios desactivados en Checklist de seguridad mínima de tu WordPress

¿Qué archivos puedes y debes bloquear desde .htaccess?

Es importante para la seguridad de tu WordPress que utilices el archivo .htaccess para bloquear accesos a archivos importantes de tu instalación y que podrían estar en el punto de mira de posibles hackeos.

¿Qué archivos puedes bloquear desde htaccess?

Bloquea archivos de la carpeta wp-includes para evitar que los usuarios puedan inyectar código malicioso en sus archivos.

# Bloquea wp-includes 
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - 
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

Deshabilita el archivo wp-config donde hay demasiada información sensible sobre nuestra instalación

#Deshabilitar el archivo wp-config
<files wp-config.php>
order allow,deny
deny from all
</files>

Deshabilita el propio archivo htaccess  para que no puedan inyectar reedirecciones

#Deshabilitar el archivo htaccess
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

Y, aunque esto sucedía en versiones más antiguas de WordPress, sigue evitando también la navegación por directorios de tu sitio

#Deshabilita la navegación por directorios de tu sitio
Options All -Indexes
Sin comentarios

Evita que se puedan editar themes y plugins desde el escritorio

Una medida de seguridad muy importante, sobre todo si trabajas con colaboradores, es evitar la posibilidad de que estos puedan editar themes y plugins desde el escritorio, un mínimo cambio que hagan desde aquí puede dejar tu web sin acceso.
Aunque ya no es tan peligroso como antes, es mejor que no permitas tocar nada desde el escritorio WordPress.

Normalmente nosotros solemos trabajar directamente desde el FTP para editar nuestros archivos, con lo que no nos sirve de nada tener esta opción en el front-end. Si a tí te pasa lo mismo, mira que sencillo es eliminar esta funcionalidad.

  1. Abre el archivo config.php que tienes en la carpeta raíz de tu instalación WordPress
  2. Copia y pega este código
    /*Evitar acceso al editor themes y plugins en escritorio*/ 
    define('DISALLOW_FILE_EDIT', true);
  3. Guarda el archivo y vuelve a tu escritorio para comprobar que ya no aparece esta opción

Si quieres ir más allá y te interesa que tampoco puedan instalar themes y plugins desde el escritorio puedes añadir también esta línea.

/*Evitar instalación de themes y plugins en escritorio*/ 
define('DISALLOW_FILE_MODS',true);

Date cuenta de lo importante que puede ser esto para la seguridad de tu web, ya que si alguien consigue acceder al administrador de tu sitio en WordPress, puede agregar el código que quiera en tu theme editando estos archivos. Este simple «truco» es esencial para evitarlo.

Sin comentarios
×
×

Carrito