Formación
ABD
– Formación – Administración de sistemas gestores de bases de datos ( abr ) Lunasoft Consultoria Informática dejanos a nosotros estas en buenas manos Un
1 octubre, 2023
No hay comentarios
Menú
- Seguridad Sitio Web -
asegurar wordpress -Part I-
La seguridad de nuestro sitio web es esencial, ya que meses o años de trabajo se pueden ir en menos de 1h a la basura, si nuestra seguridad no esta debidamente actualizada. Para ello ello hemos realizado una pequeña guía de todos los pasos que en la actualidad se pueden llevar a cabo en nuestros sitios web de WordPress.
Seguramente que no estarán todos, de hecho esta entrada se irá actualizando cada vez que haya una nueva medida de seguridad para nuestra web.
Elegir un alojamiento seguro
El alojamiento web es la primera opción y posiblemente una de las más importantes a la hora de empezar a realizar la seguridad de nuestro sitio web, cabe destacar que esto es esencial da igual en que projecto web trabajes.es el elemento básico para cualquier proyecto en Internet. Es el lugar en el que vamos a depositar todo nuestro trabajo por lo que tiene que ser un sitio contrastado y seguro. unas cosas básicas que se deben tener en cuenta.
- Realiza actualizaciones automáticas
Versiones actualizadas de WordPress y PHP, temas y plugins. - Proporciona certificados de seguridad
Un certificado de seguridad, sirve para cifrar las conexiones entre los visitantes y el servidor del alojamiento. - Usa un WAF (Web Application Firewall)
Es el cortafuegos que supervisa todo el tráfico del sitio web y bloquea las peticiones que le resultan sospechosas en base a patrones de ataque o vulnerabilidades conocidas. - Hace copias de seguridad
De forma periódica y automáticas. Sirven para recuperar el funcionamiento del sitio ante un desastre. No tener copias recientes supone la pérdida del trabajo de los últimos días o incluso meses si ocurre un desastre. - Registra todas las actividades
Almacena en un registro todas las llamadas que se hacen a un sitio —en ficheros de log-..
Proteger wordpress con htaccess
Aparte de los plugins existen una serie de configuraciones que puedes hacer en tu archivo .htaccess para que en conjunto con los plugins y las actualizaciones constantes puedas reforzar la seguridad de tu wordpress y darle un nivel de protección extra. Comenzamos con un archivo .htaccess típico de wordpress:
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Toda configuración que agregues al archivo .htaccess colócalo debajo de la última línea de código “#END WordPress” para tener todo ordenado. Además realiza un backup de tu archivo .htaccess por si algo te llega a salir mal.
Asegurar WordPress
La importancia de las actualizaciones
Mantener WordPress, sus plugins y temas actualizados es fundamental para mantener un sitio seguro.
Contraseñas seguras
El ataque de fuerza bruta basado en diccionario es el ataque más común que sufre un sitio hecho con WordPress. Y la mejor manera de protegerse es emplear una contraseña fuerte: larga y con símbolos, mayúsculas y números.
Temas y plugins: los imprescindibles
Desinstala los temas y plugins que no uses. Es una medida fácil de llevar a cabo y tiene dos ventajas: Evitas vulnerabilidades que puedan introducir los temas y plugins instalados —aunque no estén activos— y ganarás en rendimiento y velocidad en el sitio.
En general, te recomiendo no sobrepasar el total de 19 plugins instalados y, si no es posible, procura ceñirte a los realmente imprescindibles.
Aprovechando que haces mantenimiento en los plugins, revisa todos los que estén activos. Es posible que alguno ya no te haga falta. En esto caso, lo recomendable es que lo desactives y desinstales.
A la hora de escoger temas y plugins de WordPress confía solo en los plugins del repositorio oficial o de tiendas conocidas.
Ten en cuenta:
- Escoge temas y plugins del repositorio oficial de WordPress como primera opción.
- Comprueba la puntuación, los comentarios de los usuarios y el foro de soporte.
- Revisa el número de versión y la fecha de la última actualización.
- Verifica que sea compatible con la última versión de WordPress.
Modera los comentarios
Un atacante usa el sistema de comentarios para colocar spam en el propio sitio o para mandar spam a través del sistema de notificaciones por correo electrónico.
Así, es mejor desactivar los comentarios si no los vas a usar. Y si son imprescindibles piensa en moderar los comentarios antes de publicarlos.
Desactiva los pingbacks
En el apartado «Ajustes de comentario» es posible desactivar los pingbacks. Los pingbacks son un tipo de comentario especial que sirve para avisar al autor de un artículo cuando alguien lo enlaza desde otro WordPress.
Conviene desactivarlos ya que un atacante puede usar los pingback para hacer un ataque de denegación de servicio y dejar fuera de línea tu sitio.
Desactiva el registro de usuarios
WordPress permite crear usuarios con distintos roles —administrador, editor, autor, suscriptor—y sus correspondientes permisos. Aunque esta característica esta activa por defecto, muy pocos sitios la necesitan y lo normal es que solo tengan un usuario que es el administrador. En esta situación conviene desactivar el registro de usuarios.
Puedes desactivar el registro de nuevos usuarios desde el escritorio de WordPress. Pulsa en «Ajustes» y luego en «Generales». Comprueba que no esta marcada o desmarca la casilla «Cualquiera puede registrarse».
Protección con Cabeceras HSTS
A través de las cabeceras de respuesta HTTP enviadas desde el servidor es posible establecer opciones de seguridad en el navegador del visitante. Es una capa extra de seguridad fácil de realizar,a continuación os paso el ejemplo, todos esto hay que incluirlo en el fichero .htaccess.
# Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN
# Cabecera Strict-Transport-Security para indicar la duración de la cabecera HSTS Header add Strict-Transport-Security "max-age=157680000; includeSubDomains; preload" # Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome Header set X-XSS-Protection "1; mode=block" # Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos Header set X-Content-Type-Options "nosniff" # Cabecera Referer-Policy Header set Referrer-Policy no-referrer-when-downgrade # Cabecera Content-Security-Policy Header set Content-Security-Policy "self" # Cabecera Feature-Policy Header set Feature-Policy "accelerometer 'none'; camera 'none'; geolocation 'none'; gyroscope 'none'; magnetometer 'none'; microphone 'none'; payment 'none'; usb 'none'"
Compartenos en sus Redes Sociales
Le Puede Interesar...
Equipos
Sai Online, Interactivo y Offline
– Hardware – SAIS Online-Offline-Interactivo ¿Qué es un SAI? Un SAI es un Sistema de Alimentación Ininterrumpida, estos aparatos de protección contra problemas eléctricos y
3 noviembre, 2020
1 comentario
Web
¿ Qué es el SEO y Por qué Lo Necesito?
– Conceptos Web – ¿ Que es el seo lo necesitas ? Lunasoft Consultoria Informática dejanos a nosotros estas en buenas manos Un Servicio definitivo.
1 noviembre, 2020
No hay comentarios
Estamos aquí para ayudarle, nuestra experiencia a lo largo de los años nos hace un equipo competitivo y Profesional de todas las necesidades para los particulares y las Pymes.
- 944-531-908
- 09569 Villasante
- 09:00 - 14:00 / 16:00 - 19:00
Ultimas Noticias
ABD
1 octubre, 2023
– Formación – Administración de sistemas gestores de bases de datos ( abr ) Lunasoft Consultoria Informática dejanos a nosotros estas en buenas manos Un
Sai Online, Interactivo y Offline
3 noviembre, 2020
– Hardware – SAIS Online-Offline-Interactivo ¿Qué es un SAI? Un SAI es un Sistema de Alimentación Ininterrumpida, estos aparatos de protección contra problemas eléctricos y
Estamos aquí para ayudarte
contactanos hoy
© 2020 All Rights Reserved