La seguridad de su sitio web WordPress no puede ser subestimada. Aquí presentamos tácticas fundamentales para blindar su sitio de las amenazas más comunes.
Protección del área de administración (wp-admin)
El directorio wp-admin es el corazón de su sitio WordPress, por ello agregar una protección de contraseña a nivel de servidor, como BasicAuth, introduce una barrera adicional. Esto significa que los atacantes o bots deben superar esta defensa antes de tocar los archivos de administración reales.
Sin embargo, esta medida podría interferir con ciertas funcionalidades de WordPress, como el manejo de AJAX en wp-admin/admin-ajax.php. Es crucial implementar la protección de forma adecuada para evitar tales problemas, sin olvidar la importancia de una conexión HTTPS SSL para administrar el sitio de manera segura y encriptada.
Seguridad en wp-includes
Este directorio contiene archivos esenciales para el funcionamiento de WordPress pero no deberían ser accesibles directamente por los usuarios. Utilizar mod_rewrite en el archivo .htaccess es una forma de bloquear el acceso directo a estos scripts. Asegúrese de colocar las reglas de reescritura fuera de los marcadores # BEGIN WordPress y # END WordPress para que no sean sobreescritas por WordPress.
# Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
</IfModule>
# BEGIN WordPress
Protegiendo wp-config.php
Este archivo es crucial ya que contiene información sensible de la configuración de su sitio. Mover wp-config.php a un directorio superior al de la instalación de WordPress puede mejorar la seguridad, siempre y cuando se mantenga el archivo legible solo por usted y el servidor web.
Agregue reglas en su .htaccess para negar el acceso público a wp-config.php. Sin embargo, tenga en cuenta que, si bien algunos expertos recomiendan mover wp-config.php para aumentar la seguridad, otros advierten que si no se realiza correctamente, podría presentar vulnerabilidades.
<files wp-config.php>
order allow,deny
deny from all
</files>
Desactivación de la edición de archivos
Por defecto, WordPress permite que los administradores editen archivos PHP a través del tablero de control, lo que puede ser explotado fácilmente por un atacante. Para mitigar este riesgo, puede definir la constante DISALLOW_FILE_EDIT en el archivo wp-config.php, lo que deshabilita la capacidad de editar los archivos de temas y plugins desde el Dashboard.
define(‘DISALLOW_FILE_EDIT’, true);
Implementar estas medidas de seguridad puede parecer una tarea ardua, pero es fundamental para proteger su sitio web de los ataques más comunes y asegurar la integridad de su presencia en línea. Mantener su sitio WordPress seguro es un proceso continuo y requiere una vigilancia constante, pero con estas estrategias establecerá una fuerte defensa contra amenazas maliciosas.
