Imagen de Michal Jarmoluk en Pixabay

Medidas de seguridad para tu web WordPress

Hola, os paso una checklist de cosas que debéis tener en cuenta para asegurar vuestra web wordpress ante ataques malintencionados.

Es la que utilizo cuando hago una implantación para asegurarme que no me olvido nada, que uno ya tiene una edad.

  1. Activar un certificado SSL y redirigir la web a https
  2. Forzar el uso de contraseñas seguras
  3. Uso de un segundo factor de autenticación para el registro de usuarios
  4. Control de usuarios (evitar uso de usuario admin para publicación de contenidos)
  5. Modificación de prefix por defecto en tablas y redirección de wp-admin
  6. Capcha en formularios y comentarios
  7. Control de accesos para cada uno de los perfiles: administración de WordPress, Webmail, FTP y para el acceso al panel de control del hosting.
  8. No usar FTP, utilizar SFTP o FTPS de forma que tu tráfico cliente/servidor quede cifrado.
  9. Mantener siempre actualizado tu WordPress y plugins, activar actualización automática
  10. Evitar el uso de plugins y temas que no estén actualizados y suficientemente contrastados, no descargar ninguno fuera del entorno de WP.
  11. Limitar el uso de plugins, revisión y des instalación de plugins y temas que no se utilicen. (Sobre todo los que vienen por defecto si no los usas)
  12. Instalación y uso de plugin Security Scanner que avisará de las nuevas vulnerabilidades que aparezcan en los plugins de tu instalación de WordPress.
  13. Límite de intentos de acceso fallidos bloqueando la IP’s automáticamente cuando detectamos varios intentos de acceso fallidos a la administración o al panel de control cPanel.
  14. Protección y control de Comentarios, sistema antispam
  15. Ocultar la versión de WordPress
  16. Utilizar herramientas para verificar distintos apartados importantes de la seguridad de tu WordPress (Google Console: https://www.google.com/webmasters/tools/security-issues)
  17. Protección del archivo wp-login.php
  18. Agregar una cabecera X-Content-Type. Con esta cabecera evitamos que haya usuarios que intenten suplantar archivos css o js por ejecutables.
  19. Agregar una cabecera X-Frame-Options. Añadiendo esta cabecera evitaremos que nuestra web cargue en un frame o iframe (marcos).
  20. Agregar una cabecera X-XSS-Protection. Añadiendo esta cabecera puedes aumentar la seguridad frente ataques de tipo XSS.
  21. Protección extra mediante el fichero .htaccess
  22. Denegar el acceso a determinadas herramientas como wget, curl, perl, etc.
  23. Evitar ataques de inyección SQL.
  24. Protección adicional mediante el wp-config.php
  25. Deshabilitar XMLRPC para evitar ataques de DoS
  26. Bloqueos por user-agent
  27. Bloqueos por referer
  28. Anti Crypto.php

Yo aconsejo estos plugins con los que puedes controlar casi todos los puntos de esta lista.

All In One WP Security
Anti-Malware Security and Brute-Force Firewall
Akismet Anti-Spam

Ver tambien

Ataque de SEO negativo, defiéndete.

Quizás no lo sepas, pero igual que puede realizar acciones en tu web para conseguir …