WP: 8 pasos para incrementar la seguridad en wordpress

Además de estos pasos que mencionaré mas abajo es nuestro deber como usuarios de wordpress leer el artículo oficial acerca de reforzar la seguridad en nuestro blog  y realizar respaldos seguido de nuestra base de datos y archivos…Después no queremos andar llorando por los pasillos…lamentándonos de haber dejado nuestro blog a la deriva. 😀

Algunos puntos que menciona el artículo oficial de wordpress que voy a destacar:

1) siempre debe estar al día con la última versión de WordPress

2) La última versión de WordPress está siempre disponible en la página web principal de WordPress en http://wordpress.org. Comunicados oficiales no están disponibles en otros sitios web – Nunca descargues ni instales WordPress desde cualquier sitio web que no sea http://wordpress.org.

3) Muchas vulnerabilidades potenciales se pueden evitar con buenos hábitos de seguridad. Una contraseña segura es un aspecto importante de esta. para mayor información sobre otras directivas de seguridad dejo por aquí el artículo oficial de wordpress.

 

Adicionalmente,  estos son mis pasos básicos por donde comienzo revisando:

PASO 1: Archivo wp-config.php

Al abrir el archivo wp-config.php del release actual de wordpress
Copiar y reemplazar estas líneas por las que salen en este Link: https://api.wordpress.org/secret-key/1.1/salt/

define(‘AUTH_KEY’,         ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’,  ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’,    ‘put your unique phrase here’);
define(‘NONCE_KEY’,        ‘put your unique phrase here’);
define(‘AUTH_SALT’,        ‘put your unique phrase here’);
define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);
define(‘LOGGED_IN_SALT’,   ‘put your unique phrase here’);
define(‘NONCE_SALT’,       ‘put your unique phrase here’);

PASO 2: cambiar prefijo wp_

El prefijo del nombre por defecto de la BD que viene configurado es    “wp_”
Cambiarlo por cualquier otro, respetando el guión bajo final. Ejemplo: “xqer_”

PASO 3: eliminar archivo readme.html

borrar archivo readme.html que viene en la carpeta de instalación de wordpress en el servidor remoto.

Por la sencilla razón de que es una ruta archi-conocida y facilmente puedes saber que versión usa un sitio web basado en wordpress si digitas www.lapaginaenwordpress.com/readme.html

PASO 4: Akismet antispam

Instalar Plugin Akismet.

Utilizado por millones, Akismet es posiblemente la mejor manera en el mundo para proteger tu blog de ​​comentarios y trackback spam. Mantiene su sitio protegido contra el spam, incluso mientras duerme.

Para comenzar:

1)  clic en el enlace “Activar” al pluggin. viene por defecto con WordPress

2) Regístrate para obtener una clave de API de Akismet.

3) Ir a la página de configuración de Akismet, y guardar su clave de API.

 PASO 5:  plugin Sucuri Security.

Sucuri Security – Auditing, Malware Scanner and Hardening.
El plugin Sucuri ofrece a tu sitio web la mejor Auditoría, SiteCheck remoto malware de exploración, eficaz para reforzar la seguridad y Post-Hack . El servicio de SiteCheck revisará en busca de malware, spam, listas negras y otras cuestiones de seguridad como redirecciones htaccess, código eval escondido.

 PASO 6: nuevo usuario administrador.

Crear un Nuevo usuario Administrador, y eliminar el que viene por defecto al crear wordpress.

1)    Login con el administrador por defecto, y creas un nuevo usuario administrador con un username y password más creativas que las primeras que usaste.
2)    Loguearse con el nuevo usuario admin creado.
3)    Borrar el admin por defecto.
4)    Asociale todos los post al nuevo admin creado. (Screenshoot)

 PASO 7: wp-admin

Despues de instalar wordpress, ir a carpeta wp-admin y borrar los archivos:
– INSTALL.PHP
– INSTALL-HELPER.PHP

 PASO 8: cambiar ruta /wp-login.php

En lo posible, cambia la tipica ruta misitio.com/wp-login.php por otra.

Existe un plugin para eso que se puede encontrar aquí 

Written by Daniela Gattoni

Software Engineering Student at USM, Santiago, Chile. Web Designer & programmer. #hack4good Santiago 1st place 2014 with #BringYourCup app.

Leave a Comment

Your email address will not be published. Required fields are marked *