Hola, os paso una checklist de cosas que debéis tener en cuenta para asegurar vuestra web wordpress ante ataques malintencionados.
Es la que utilizo cuando hago una implantación para asegurarme que no me olvido nada, que uno ya tiene una edad.
- Activar un certificado SSL y redirigir la web a https
- Forzar el uso de contraseñas seguras
- Uso de un segundo factor de autenticación para el registro de usuarios
- Control de usuarios (evitar uso de usuario admin para publicación de contenidos)
- Modificación de prefix por defecto en tablas y redirección de wp-admin
- Capcha en formularios y comentarios
- Control de accesos para cada uno de los perfiles: administración de WordPress, Webmail, FTP y para el acceso al panel de control del hosting.
- No usar FTP, utilizar SFTP o FTPS de forma que tu tráfico cliente/servidor quede cifrado.
- Mantener siempre actualizado tu WordPress y plugins, activar actualización automática
- Evitar el uso de plugins y temas que no estén actualizados y suficientemente contrastados, no descargar ninguno fuera del entorno de WP.
- Limitar el uso de plugins, revisión y des instalación de plugins y temas que no se utilicen. (Sobre todo los que vienen por defecto si no los usas)
- Instalación y uso de plugin Security Scanner que avisará de las nuevas vulnerabilidades que aparezcan en los plugins de tu instalación de WordPress.
- Límite de intentos de acceso fallidos bloqueando la IP’s automáticamente cuando detectamos varios intentos de acceso fallidos a la administración o al panel de control cPanel.
- Protección y control de Comentarios, sistema antispam
- Ocultar la versión de WordPress
- Utilizar herramientas para verificar distintos apartados importantes de la seguridad de tu WordPress (Google Console: https://www.google.com/webmasters/tools/security-issues)
- Protección del archivo wp-login.php
- Agregar una cabecera X-Content-Type. Con esta cabecera evitamos que haya usuarios que intenten suplantar archivos css o js por ejecutables.
- Agregar una cabecera X-Frame-Options. Añadiendo esta cabecera evitaremos que nuestra web cargue en un frame o iframe (marcos).
- Agregar una cabecera X-XSS-Protection. Añadiendo esta cabecera puedes aumentar la seguridad frente ataques de tipo XSS.
- Protección extra mediante el fichero .htaccess
- Denegar el acceso a determinadas herramientas como wget, curl, perl, etc.
- Evitar ataques de inyección SQL.
- Protección adicional mediante el wp-config.php
- Deshabilitar XMLRPC para evitar ataques de DoS
- Bloqueos por user-agent
- Bloqueos por referer
- Anti Crypto.php
Yo aconsejo estos plugins con los que puedes controlar casi todos los puntos de esta lista.
All In One WP Security
Anti-Malware Security and Brute-Force Firewall
Akismet Anti-Spam