Te ayudamos a gestionar tu negocio

En este articulo final de como asegurar nuestro sitio de WordPress damos los últimos retoques a nuestros principales ficheros de la instalación.

Proteger el fichero wp-config

El archivo wp-config .php es uno de los archivos más importantes de tu WordPress en él tienes los datos de conexión a tu base de datos, obviamente no quieres que nadie pueda ver ese archivo, para ello solo debes agregar el siguiente código:

<files wp-config .php>
order allow,deny
deny from all
</files>

Esto bloquea el acceso a cualquier persona desde el navegador.

Proteger el acceso al escritorio

Escritorio con conexión segura (SSL)

Aunque siempre es mejor proteger todo el sitio con el candado verde, si no fuera posible, al menos configura el escritorio (/wp-admin) para que las conexiones estén cifradas.

Hay que tener en cuenta que para poder usar el certificado de seguridad —SSL— antes debe estar instalado en el alojamiento. El método de instalarlo depende del proveedor de alojamiento. 

Proteger los ficheros

Comprueba los permisos de los ficheros

Unos permisos de ficheros inadecuados son un riesgo de seguridad importante.

Los permisos de los ficheros se pueden revisar y cambiar usando Filezilla, Cyberduck o cualquier cliente FTP.

Todos los ficheros deben pertenecer a tu usuario —normalmente el usuario con el que te conectas por FTP— y tendrán los permisos 755 para los directorios y 644 para los ficheros. Significa que otorgas permiso completo a tu usuario y permiso de solo lectura al resto.

Elimina ficheros innecesarios

La instalación de WordPress deja algunos ficheros innecesarios de los que un atacante puede extraer información valiosa para realizar posteriormente un ataque.

Borra los ficheros readme.html y license.txt que muestran la versión de WordPress instalada en el sitio y el fichero wp-admin/install.php que es un resto de la instalación y sirve para reinstalar el sitio.

Restringir el listado de directorios

Es habitual que el proveedor del alojamiento haya desactivado el listado de directorios. Aún así, conviene reforzar la protección añadiendo esta línea al fichero .htaccess en la raíz (carpeta public_html/) del sitio:

# public_html/.htaccess
Options All -Indexes

Asegurar la base de datos

Cambia el prefijo de la base de datos

Como WordPress es un sistema abierto y conocido, es posible conocer de antemano el nombre de las tablas de la base de datos. Así, sabemos que las tablas más importantes son: wp_users o wp_options. Del mismo modo, un atacante también conoce la estructura de la base de datos y utiliza esta información para hacer modificaciones usando plugins vulnerables a ataques de inyección SQL.

Una técnica para dificultar los ataques de inyección SQL consiste en cambiar el prefijo de las tablas de la base datos. En lugar de usar el prefijo wp_ genera uno aleatorio y único para el sitio, por ejemplo ej3mpl0_.

Puedes cambiar el prefijo durante la instalación de WordPress o usar el plugin Change Table Prefix para un sitio que ya esta instalado.

También se puede bloquear el acceso a la base de datos de tu hosting bloqueando el acceso interno a localhost. Esto se realiza desde el panel de control de tu empresa de hosting.

Un buen fichero robots.txt 

Google o Bing guardan mucha información de tu sitio web que utilizan para sus buscadores. El problema viene cuando un atacante utiliza el buscador para encontrar agujeros de seguridad en tu sitio. Estas técnicas se llaman Google Dorks.

Para proteger los sitios web surge el fichero robots.txt que sirve para dar instrucciones a Google sobre que debe y que no debe indexar. WordPress no tiene un fichero robots.txt por defecto por eso es importante crear uno a medida de las necesidades de tu sitio. Este es un ejemplo de un fichero Robots.txt localizado por internet.

Sitemap: http://tusitio/sitemap.xml 
User-Agent: *
Allow: /wp-content/uploads/
Allow: /feed/$
Disallow: /wp-
Disallow: /wp-content/
Disallow: /trackback/
Disallow: /wp-admin/
Disallow: /feed/
Disallow: /?s=
Disallow: /search
Disallow: /archives/
Disallow: /index.php
Disallow: /*?
Disallow: /*.php$
Disallow: /*.js$
Disallow: /*.inc$
Disallow: /*.css$
Disallow: */feed/
Disallow: */trackback/
Disallow: /page/
Disallow: /tag/
Disallow: /category/

# No indexar copias de seguridad
Disallow: /*.sql$
Disallow: /*.tgz$
Disallow: /*.gz$
Disallow: /*.tar$
Disallow: /*.svn$

# Reglas para bots conocidos

User-agent: Googlebot

User-agent: Googlebot-Image
Disallow: /wp-includes/
Allow: /wp-content/uploads/

User-agent: Mediapartners-Google*
Disallow:

User-agent: ia_archiver
Disallow: /

User-agent: duggmirror
Disallow: /

User-agent: noxtrumbot
Crawl-delay: 50

User-agent: msnbot
Crawl-delay: 30

User-agent: Slurp
Crawl-delay: 10

User-agent: MSIECrawler
Disallow: /

User-agent: WebCopier
Disallow: /

User-agent: HTTrack
Disallow: /

User-agent: Microsoft.URL.Control
Disallow: /

User-agent: libwww
Disallow: / 

La primera linea Sitemap: http://tusitio.org/sitemap.xml es el fichero que sirve para ubicar el rastreo que hace google en el sitio.

Pero recuerda realizar copias de seguridad diarias de tu sitio web, ya que hay veces que es el ultimo recurso ante una perdida de datos o un hackeo

Compartenos en sus Redes Sociales

Deja un comentario

Le Puede Interesar...
Bases de datos
Formación
admin

ABD

– Formación – Administración de sistemas gestores de bases de datos ( abr ) Lunasoft Consultoria Informática dejanos a nosotros estas en buenas manos Un

Leer Más >>
Sai Trifasico en CPD
Equipos
admin

Sai Online, Interactivo y Offline

– Hardware – SAIS Online-Offline-Interactivo  ¿Qué es un SAI? Un SAI es un Sistema de Alimentación Ininterrumpida, estos aparatos de protección contra problemas eléctricos y

Leer Más >>

Da el primer paso nosotros hacemos el resto

Además somos especialistas en las nueva tecnologías,Tiendas Online, certificados web, Dominios, Software de Grabación, video vigilancia, Formación…

Estamos aquí para ayudarle, nuestra experiencia a lo largo de los años nos hace un equipo competitivo y Profesional de todas las necesidades para los particulares y las Pymes.

Ultimas Noticias

Bases de datos

ABD

– Formación – Administración de sistemas gestores de bases de datos ( abr ) Lunasoft Consultoria Informática dejanos a nosotros estas en buenas manos Un

Leer Más >>
Sai Trifasico en CPD

Sai Online, Interactivo y Offline

– Hardware – SAIS Online-Offline-Interactivo  ¿Qué es un SAI? Un SAI es un Sistema de Alimentación Ininterrumpida, estos aparatos de protección contra problemas eléctricos y

Leer Más >>
Boton de Compra Segura en Lunasoft

Estamos aquí para ayudarte

contactanos hoy

© 2020 All Rights Reserved