Revista Blog

¿Los artículos de tu blog publicados aquí? ¡Propón tu blog!


INICIO › 
INTERNET › 
BLOG

Cómo Mejorar la Seguridad WordPress

Por Juan J. Rodríguez @JurogaJJR

Incluso algunos desarrolladores pasan por alto algunas medidas de protección WordPress esenciales. Hagamos algunas preguntas sobre el tema:

  • ¿Aún utilizas el usuario admin?
  • ¿Cuántos métodos de protección login conoces?
  • ¿Las carpetas de tu wordpress son navegables para visitantes?
  • ¿Cómo llevas los temas relacionados con el archivo robots.txt?

Queremos dar respuesta a todas estas preguntas y otras incognitas con esta guía básica de seguridad WordPress de 6 pasos:

  1. Eliminar usuario admin de WordPress.
  2. Agregar captcha en login, formularios y comentarios.
  3. Esconder errores de acceso en página de login.
  4. Evitar la navegación ajena por tus carpetas WordPress.
  5. Actualizar y gestionar bien WordPress, plantillas y plugins.
  6. Evitar acceso a scripts desde el archivo robots.txt.

Comenzamos con la guía, no dudes en comentar si quieres compartir alguna cuestión relacionada con el tema.

#1 ELIMINAR USUARIO ADMIN DE WORDPRESS

Tan sencillo como suena, el primer paso es sustituir el usuario admin. La manera de hacerlo es ir a la opción de gestión de usuarios wordpress y crear uno nuevo con el perfil de administrador. Una vez hecho esto, sales completamente de wordpress y vuelves a entrar con el nuevo usuario para eliminar el antiguo "admin".

#2 AGREGAR CAPTCHA EN LOGIN, FORMULARIOS Y COMENTARIOS

Cómo mínimo debes implementar captcha en el login de wordpress pero también deberías en formularios y comentarios para evitar intrusiones spams, etc.

Alternativas hay las que queramos, con situarte en el repositorio Worpdress de plugins y realiza una búsqueda mediante la palabra captcha encontrarás unos cuantos.

Algunos recomendados siguiendo una selección que tiene en cuenta la empresa que hay detrás, el número de instalaciones y la frecuencia de actualización:

#3 ESCONDER ERRORES DE ACCESO EN PÁGINA LOGIN

WordPress indica donde te equivocaste cuando logeas mal para acceder al panel de control. Esto puede ser aprovechado para acceder a nuestro sistema wordpress.

Podemos esconder los errores de login en wordpress añadiendo este código al archivo functions.php:

Functions sin_errores(){
Return 'Acceso denegado.';
}
Add_filter( 'login_errors', 'sin_errores' );

#4 EVITAR NAVEGACIÓN POR LAS CARPETAS WORDPRESS

Cualquier usuario que navegue por tu web tiene acceso a algunas carpetas de tu sitio wordpress como por ejemplo la "carpeta content". Podemos leer por Internet que se puede cambiar las carpetas de WordPress de sitio, un buen método sí, pero requiere tener controlado si los plugins instalados lo permiten. Una buena solución es utilizar un plugin wordpress como este.

Pero hay otra forma un poco menos complicada. Sigue estos pasos:

Comprueba si tus carpetas wordpress son accesibles

  • Entra en el navegador y visita tu web
  • Clica F12 o bien en el navegador chrome selecciona "más herramientas " y luego "herramientas para desarrolladores".
  • Sitúate en la pestaña "Sources".

Si puedes ver la carpeta wp-content y wp-includes tus visitantes también. Debes proteger el acceso.

Proteger carpeta content y wp-includes

Debes tener acceso mediante panel de gestión hosting o aplicación como filezilla para poder incluir y modificar archivos wordpress.

  • Crear un archivo index.php en blanco
  • Subir el archivo dentro de las carpetas que queremos ocultar
  • Editar archivo htaccess con el siguiente código:
Otpions All -Indexes

#5 ACTUALIZAR Y GESTIONAR BIEN WORDPRESS Y PLUGINS

Un hábito, eso es lo que debe ser la acción de actualizar wordpress. Aun alucinamos cuando nos llega un proyecto nuevo y veo que no se ha actualizado la plantilla wordpress en 2 años.

El no realizar actualizaciones implica vulnerabilidades y además, posibles incompatibilidades entre plugins, themes o versión WordPress.

Otro hábito es reducir el código de wordpress al máximo evitando instalaciones de plantillas que no se usan, plugins innecesarios, etc.

En definitiva, trata de controlar las actualizaciones wordpress y compatibilidades entre WordPress, themes, plugins, etc.

#6 ACCESO A SCRIPTS WORDPRESS MEDIANTE ARCHIVO ROBOTS

Otro gran olvidado, el archivo robots.txt. Es un archivo de texto utilizado para controlar el acceso de los robots al alojamiento. Le indicamos que es lo que no queremos indexar para mejorar la información sobre sobre nuestra web y mejorar el posicionamiento.

Cómo evitar el indexado de los scripts de WordPress

Añadiendo el siguiente código al archivo robots.txt evitaremos que los bots accedan a scripts de Themes y Plugins:

User-agent: *
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /wp-content/plugins/
Disallow: /wp-content/themes/
Disallow: /*.js$
Disallow: /*.css$

¿Más recursos WordPress?

Publicamos posts cada semana, algunos para responder solicitudes. Únete a nuestra lista de suscriptores, solicita contenidos, recibe actualizaciones e información de nuestras actividades directamente en el buzón de correo.

Y si te gusta nuestros contenidos gratuitos HAZ CLIC AQUÍ, descubre lo que tenemos preparado para tí.


Volver a la Portada de Logo Paperblog
Ver el artículo original
Denunciar

Sobre el autor


Juan J. Rodríguez ver su perfil
ver su blog

Sus últimos artículos

Ver todos

Revistas