Diccionario de WordPress

WordPress es la herramienta más usada del mundo para hacer páginas Web, no solo para blog o pymes, también la usan entidades como: La Casa Blanca de Estados Unidos (whitehouse.gov), Mercedes Benz, Renault, El New York Times (nytco.com),  BBC America, Spotify, el sitio oficial de Suecia (sweden.se), Harvard Gazette y wordpress.com (123M de visitas) entre otros. Por lo tanto no se puede dudar de su seguridad, escalabilidad o capacidad para adaptarse a diferentes escenarios.

El Diccionario de WordPress es un espacio de nuestra página Web donde recogemos temas de interés relacionados con este CMS de referencia mundial en el desarrollo Web. Se debe ver como un complemento a los manuales existentes.

Diccionario de WordPress. Logo azul de WordPress

Seguridad en WordPress

Es recomendable aplicar una capa de seguridad extra a WordPress para aumentar los niveles de seguridad de las páginas Web. Generalmente se usan plugins específicos para este tema.


Estos son acciones que se deben tener en cuenta al aplicar la capa de seguridad:

  • Auditoria de Cabeceras: Comprueba las cabeceras de una página Web
  • Auditoría WP-Doctor: Pasar la auditoría de seguridad de WP-Doctor y obtener la información
  • Avisos de incidencias: El sistema de seguridad avisa por email al administrador en caso de incidencia.
  • Bloqueo de IP por lista HackRepair.com: Se bloquean automáticamente las IP que figuran en la lista.
  • Bloqueo de IP por reincidencia: Se bloquean automáticamente las IP de infractores reincidentes y se guardan en una lista negra. Hay parámetros para determinar el nivel de reincidencia.
  • Detección 404 automática: Bloquea IP de usuarios que generan muchos errores 404 en poco tiempo. Son robots rastreadores de URL para intentar acceder a la Web.
  • Modo reposo: No permtie acceder al escritorio de WordPress a determinadas horas.
  • Cambiar prefijo de tablas wp_: Dificulta ataques por ScriptsSQL. Obligatorio hacer una copia de seguridad previa. Confirmar que los plugins y el theme lo tienen en cuenta.
  • Copias de seguridad de bases de datos: Realizar una copia periódica de la base de datos semanalmente o diaramente. Opción de recibirla por email
  • Detección de cambios de archivo: Comprueba los cambios en los archivos de WordPress previniendo posibles inyecciones de código maligno.
  • Ocultar escritorio: Oculta los accesos habituales de Admin, wp-login, etc. Obligatorio en sitios de un solo adminitrador.
  • Activar protección contra fuerza bruta en red: Evita la mayoría de ataques que recibe un sitio
  • Cadenas de consulta sospechosas: Estas cadenas suelen ser signos de alguien que trata de obtener acceso al sitio Web. ATENCIÓN algunos plugins y temas también pueden ser bloqueados.
  • Cadenas URL largas: Limita el número de caracteres que se pueden enviar en la dirección URL, usado para tratar de inyectar información en su base de datos.
  • Desactivar PHP en los plugins: Desactiva la ejecución de PHP en el directorio de plugins. Esto bloquea las peticiones a los archivos de PHP dentro del directorio de plugins que pueden ser explotados directamente.
  • Desactivar PHP en temas: Desactiva la ejecución de PHP en el directorio de temas. Esto bloquea la peticiones a ficheros PHP dentro de los directorios del tema que pueden ser atacados directamente.
  • Desactivar PHP en uploads: Bloquea las peticiones a los archivos de PHP subidos maliciosamente al directorio de subidas.
  • Eliminar permisos de escritura de archivos: Evita a scripts y usuarios el poder escribir en los archivos wp-config.php y .htaccess.
  • Filtrar métodos de petición: Filtrar las visitas con los métodos de rastreo, eliminar de petición.
  • Navegación de directorios: Impide ver una lista de archivos en un directorio
  • Protección de archivos: Proteger archivos del sistema readme.html, readme.txt, wp-config.php, install.php, wp-includes, y. htaccess.
  • Red de protección contra ataques: Esta red contra atacantes encontrados en otros sitios que utilizan iThemes Security.
  • Requisitos de contraseñas: Obliga a los usuarios a usar contraseñas seguras.
  • WP Acceso restringido a la API REST: La mayoría de las peticiones requerirán un usuario conectado o con un privilegio exclusivo,
  • WP Bloquea las solicitudes XML-RPC: Bloquea las solicitudes XML-RPC que contienen múltiples intentos de inicio de sesión.
  • WP Desactiva el editor de archivos de plugins y temas: Los plugins y temas se deben editar manualmente mediante una herramienta distinta a WordPress.
  • WP Desactiva la página del autor sin publicaciones: Esto hace que sea más difícil para los robots determinar los nombres de usuario mediante la desactivación de colocar archivos para los usuarios que no publiquen en su sitio.
  • WP Desactivar función XML-RPC: La funcionalidad XML-RPC de WordPress permite a servicios externos acceder y modificar contenido en el sitio. Lo usa el plugin Jetpack, la aplicación móvil de WordPress y los pingbacks.
  • WP Desactivar mensajes de error de inicio de sesión: Evita que los mensajes de error se muestren a un usuario en un intento fallido de inicio de sesión.
  • WP Eliminar la cabecera RSD (Real Simple Discovery): Si la web no se integra con servicios externos XML-RPC como Flickr entonces la función "RSD" es bastante inútil.
  • WP Evitar que las miniaturas de adjuntos se traspasen a otros archivos.: Ayuda a mitigar un ataque en el que los usuarios con perfil de "autor" o superior podrían borrar cualquier archivo de tu instalación de WordPress, incluidos archivos sensibles como wp-config.php.
  • WP Forzar a los usuarios a elegir un alias único: Evita que los bots y los atacantes obtengan con facilidad los nombres de usuario de acceso a partir del código de páginas de autor. D
  • WP Protección contra el tabnapping: Alterar enlaces target="_blank" para protegerte del tabnapping. Proteger a los visitantes de ataques de phishing lanzados por un sitio enlazado
  • WP Quita la cabecera de Windows Live Writer: Esto no es necesario si no utilizas Windows Live Writer u otros clientes de blogs que se basen en este archivo.
  • WP Reducir comentarios spam: Reduce el spam en los comentarios por negar comentarios de los robots sin remitente o sin un agente de usuario identificado.
  • WP Archivos de Licencia: Renombrar archivos que informan de la versión de WordPress como los tipo License. Se conoce como Information Leak.
  • WP cabeceras HTTP de seguridad: Añadir cabeceras HTTP de seguridad en WordPress. 1. X-Content-Type-Options. El objetivo de establecer esta cabecera es evitar que se cargue un archivo JS ó CSS con un MIME-Type diferente al declarado. 2. X-Frame-Options. La cabecera X-Frame-Options sirve para prevenir que la página pueda ser abierta en un frame, o iframe. De esta forma se pueden prevenir ataques de clickjacking sobre tu web. 3. Content-Security-Policy. Content Security Policy (CSP) es un estándar de seguridad informático introducido para evitar cross-site scripting (XSS), clickjacking y otros ataques de inyección de código resultantes de la ejecución de contenido malicioso en el contexto de la página web.
  • Instalar un firewall: Un firewall o muro cortafuegos protege a la página Web de ataques externos.


Etiquetas: Plugins,Seguridad.

Contenido relacionado

Detectar WP
WP All Import
Acceso al escritorio de un subsitio
Desinfección de specialadves
Auto Featured Image
Volver

Más datos sobre el uso de WordPress

Correspondientes a 2021.

  • Su cuota de mercado de CMS es del 64%, el segundo es Shopify con el 5,2%.
  • Es el número uno en soluciones de eCommerce con un 25% de cuota de mercado gracias al plugin WooCommerce.
  • 455 millones de sitios Web están hechos con WP.
  • 409 millones de personas ven 21,2 mil millones de páginas de WP cada mes.
  • 661 nuevos sitios de WordPress se activan todos los días.

Actualizado con Limpiar HTML.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Salir de la versión móvil