Generalidades
Este artículo detalla cómo fortalecer tu instalación de WordPress. Si tu sitio de WordPress ha sido hackeado, primero revisa el siguiente artículo:
Hay algunos pasos comunes que puedes seguir para fortalecer tu instalación de WordPress de inmediato. La tabla a continuación enumera algunas precauciones básicas:
| Cosas a tener en cuenta | Detalles |
|---|---|
| Conexiones seguras |
|
| Mantener el software actualizado |
|
| Eliminar software antiguo |
|
| Comprobación de registros y archivos |
|
| Mantener copias de seguridad |
Este artículo describe cada uno de los anteriores con más detalle.
Usar contraseñas seguras
Uno de los pasos más importantes que puedes tomar es utilizar siempre contraseñas seguras para todos los inicios de sesión de tus usuarios. Estos incluyen:
- Usuario del Sitio Web. Este es el usuario que utilizas para iniciar sesión en tu servidor a través de FTP, SFTP, o SSH.
- Usuario de MySQL. Este es el usuario que tiene acceso a tu base de datos.
- Usuario de WordPress. Este es el nombre de usuario que usas para iniciar sesión en tu sitio de WordPress.
Para obtener más información sobre cómo crear contraseñas seguras, consulta el siguiente artículo:
Usar nombres de usuario diferentes
Una contraseña segura es un buen comienzo. También es una buena idea usar diferentes nombres de usuario para tus inicios de sesión. Por ejemplo, tu nombre de usuario SFTP debe ser diferente del nombre de usuario de tu base de datos MySQL, que debe ser diferente de tu nombre de usuario de WordPress.
Además, también es una buena idea alojar tu sitio de WordPress solo con un nombre de usuario específico/único. En tu panel, puedes asignar un solo usuario a todos los dominios que desees. Mira el siguiente artículo para más detalles:
Sin embargo, si ese usuario se ve comprometido, todos los sitios bajo ese usuario son vulnerables. Por lo tanto, se recomienda crear un nuevo usuario SFTP y asignar solo ese usuario a tu sitio específico de WordPress.
Si luego creas un nuevo sitio, crea un nuevo usuario. Esto asegurará que todos los datos estén separados en el servidor web.
Agregar un usuario administrador de WordPress con nombre
Asegúrate de que tu usuario administrador no se llame admin.
Si tu usuario administrador se llama ‘admin’, crea un nuevo usuario con otro nombre y dale privilegios de administrador. Después de que hayas confirmado que esta cuenta funciona, inicia sesión como esta cuenta y regresa a la pestaña de usuarios de la izquierda y elimina el usuario de la cuenta llamado ‘admin’.
Esto es muy importante ya que ‘admin’ es el nombre de usuario más atacado. Revisa el siguiente artículo para obtener más información:
Usar el protocolo HTTPS para tu sitio
Cuando creas originalmente un sitio web, las conexiones al sitio se realizan mediante el protocolo HTTP que no está encriptado. Esto significa que si inicias sesión en tu sitio de WordPress usando HTTP://example.com, tu contraseña se envía en texto sin formato. Este también es el caso si inicias sesión en tu base de datos a través de phpMyAdmin.
Para evitar que tu contraseña se transmita libremente, se recomienda que agregues un certificado SSL a tu sitio. Esto agrega un certificado SSL que te permite conectarte usando HTTPS (ten en cuenta la s al final). Cuando te conectas usando HTTPS, tu conexión está encriptada y segura de cualquier persona que espíe en tu red.
Revisa el artículo Agregar un certificado SSL para obtener detalles sobre cómo agregar el certificado.
Luego, debes usar un plugin como WordPress-https para configurar un alojamiento seguro en tu sitio web.
Consulta el siguiente artículo para obtener detalles sobre cómo utilizar un certificado SSL con WordPress.
Usar SFTP o SSH para conectarte a tu servidor
Debes conectarte a tu servidor web de vez en cuando para realizar ajustes en tu sitio o solucionar un problema. Hay algunas formas de conectarse.
Opciones sin cifrar (No recomendada)
- FTP - Puedes usar cualquier cliente FTP para conectarte a tu servidor a través del puerto #21. Esto no está encriptado, por lo que toda la información se envía en texto plano para que cualquiera pueda verla.
Opciones encriptadas (Recomendada)
- SFTP - La mayoría de los clientes que admiten FTP también admiten SFTP a través del puerto #22. Esta es una forma segura de conectarte a tu servidor y siempre se recomienda.
- SSH - Esta es una forma de conectarte a tu servidor utilizando un programa de terminal como PuTTY para Windows.
- Administrador de archivos - Este cliente está disponible desde el panel de DreamHost.
Siempre que sea posible, usa siempre una conexión encriptada como SFTP o SSH para conectarte a tu servidor.
Mantener el software actualizado
Es muy importante actualizar continuamente tu software. Las actualizaciones de software a menudo se realizan para resolver problemas de seguridad. Cuanto más actualizado esté, menos vulnerable será. Esto significa mantener tu versión, plugins y temas de WordPress actualizados.
Actualizar tu versión de WordPress
Actualizar plugins
Una de las formas más rápidas de destruir tu credibilidad como blog de WordPress es tener toneladas de spam en las áreas de comentarios. La manera fácil de resolver esto es con un plugin anti spam como los siguientes:
Revisa la siguiente guía de WordPress para obtener más información:
Actualiza temas
Eliminar software antiguo
Incluso si un plugin o tema está inactivo, aún podría representar un riesgo de seguridad. Si no estás utilizando un tema o plugin, asegúrate de eliminarlo de tu servidor web. Los plugins y temas se encuentran en el siguiente directorio. Asegúrate de cambiar el username a tu usuario Shell.
/home/username/example.com/wp-content/
Dentro de esa carpeta /wp-content, navega al directorio /plugins o /themes y elimina los que no uses.
Lo mismo ocurre con las instalaciones adicionales de WordPress. Por ejemplo, es posible que se haya creado un sitio de prueba en example.com/wptest. O tal vez tenías un sitio antiguo pero ya no lo usas. En cualquier caso, si tienes otra instalación de WordPress que no estás usando, elimínala.
Finalmente, si tienes otras aplicaciones como Joomla, Drupal o Moodle instaladas bajo tu usuario que no está usando, asegúrate de eliminarlas también.
La conclusión es que si no estás utilizando el software instalado bajo tu usuario, es mejor eliminarlo. Solo guarda lo que necesitas.
Comprobación de registros y archivos
Si sospechas algún comportamiento inusual, es una buena idea verificar tus archivos access.log y error.log. Mira al siguiente artículo para más detalles:
Asegúrate de verificar también los permisos de tu carpeta:
Mantener copias de seguridad
Con cualquier sitio web, siempre es importante hacer una copia de seguridad continua de tus datos. Esto significa hacer una copia de seguridad tanto de los archivos de tu sitio web como de cualquier base de datos. Revisa al siguiente artículo para más detalles:
Una opción más avanzada es usar un sistema de control de versiones como Subversion o git. Sin embargo, para la mayoría de los usuarios, una copia de seguridad normal es suficiente.
Proteger tu sitio con un archivo .htaccess
Puedes usar un archivo .htaccess para proteger aún más tu sitio. Por ejemplo, wp-config.php nunca debe ser accesible públicamente. Para proteger este archivo, agrega lo siguiente a un archivo .htaccess en el directorio de tu sitio donde se encuentran todos los demás archivos de WordPress:
<Files wp-config.php> order allow,deny deny from all </Files>
Hay varias otras cosas que puedes hacer con un archivo .htaccess para proteger tu sitio. Mira el siguiente artículo para más detalles:
Ver también
Enlaces internos
- ¿Cómo acceder a tu sitio WordPress?
- Generalidades sobre SSH
- Diferentes tipos de usuarios en DreamHost
- Generalidades sobre contraseñas
- Generalidades sobre certificados SSL
- Actualizaciones automáticas para las instalaciones de WordPress de DreamHost
- Ver tus registros de acceso y error a través de SFTP
- Ver y examinar tu registro de errores a través de SSH
- Herramientas de copia de seguridad de WordPress
- Generalidades sobre .htaccess
- Comandos de UNIX — cambio de propiedad
- Comandos de UNIX — cambio de permisos
