Generalidades
Este artículo detalla cómo fortalecer tu instalación de WordPress. Si tu sitio de WordPress ha sido hackeado, revisa primero el siguiente artículo:
Hay algunos pasos comunes que puedes seguir para fortalecer tu instalación de WordPress de inmediato. La tabla a continuación enumera algunas precauciones básicas:
| Cosas a tener en cuenta | Detalles |
|---|---|
| Conexiones seguras |
|
| Mantener el software actualizado | |
| Eliminar software antiguo |
|
| Comprobación de registros y archivos |
|
| Mantener copias de seguridad |
|
Este artículo describe algunos de los anteriores ítems con más detalle.
Agregar un usuario administrador de WordPress con nombre
Asegúrate de que tu usuario administrador no se llame admin.
Si tu usuario administrador se llama ‘admin’, crea un nuevo usuario con otro nombre y dale privilegios de administrador. Después de que hayas confirmado que esta cuenta funciona, inicia sesión como esta cuenta y regresa a la pestaña de usuarios de la izquierda y elimina el usuario de la cuenta llamado ‘admin’.
Esto es muy importante ya que ‘admin’ es el nombre de usuario más atacado. Revisa el siguiente artículo para obtener más información:
Usar el protocolo HTTPS en tu sitio
Para evitar que tu contraseña se transmita libremente, debes agregar un certificado SSL a tu sitio. Esto te permite conectarte utilizando una conexión cifrada y segura. Revisa el siguiente artículo para obtener detalles sobre cómo utilizar un certificado SSL con WordPress.
Eliminar software viejo
Incluso si un plugin o tema está inactivo, aún podría representar un riesgo de seguridad. Si no estás utilizando un tema o plugin, asegúrate de eliminarlo de tu servidor web. Los plugins y temas se encuentran en el siguiente directorio. Asegúrate de cambiar el username a tu usuario Shell.
/home/username/example.com/wp-content/
Dentro de esa carpeta /wp-content, navega al directorio /plugins o /themes y elimina los que no uses.
Lo mismo ocurre con las instalaciones adicionales de WordPress. Por ejemplo, es posible que se haya creado un sitio de prueba en example.com/wptest. O tal vez tenías un sitio antiguo pero ya no lo usas. En cualquier caso, si tienes otra instalación de WordPress que no estás usando, elimínala.
Finalmente, si tienes otras aplicaciones como Joomla, Drupal o Moodle instaladas bajo tu usuario que no está usando, asegúrate de eliminarlas también.
La conclusión es que si no estás utilizando el software instalado bajo tu usuario, es mejor eliminarlo. Solo guarda lo que necesitas.
Proteger tu sitio con un archivo .htaccess
Puedes usar un archivo .htaccess para proteger aún más tu sitio. Por ejemplo, wp-config.php nunca debe ser accesible públicamente. Para proteger este archivo, agrega lo siguiente a un archivo .htaccess en el directorio de tu sitio donde se encuentran todos los demás archivos de WordPress:
<Files wp-config.php> order allow,deny deny from all </Files>
Hay varias otras cosas que puedes hacer con un archivo .htaccess para proteger tu sitio. Mira el siguiente artículo para más detalles:
Ver también
- ¿Cómo usar un certificado SSL con WordPress?
- Generalidades sobre WordPress wp-cli
- Diferentes tipos de usuarios en DreamHost
- Generalidades sobre contraseñas
- Generalidades sobre certificados SSL
- Actualizaciones automáticas para las instalaciones de WordPress de DreamHost
- Ver tus registros de acceso y error a través de SFTP
- Ver y examinar tu registro de errores a través de SSH
- Herramientas de copia de seguridad de WordPress
- Generalidades sobre .htaccess
- Comandos de UNIX — cambio de permisos