wordpress seguro

En una entrada anterior hablamos sobre la Seguridad en Wordpress y ahí te daba consejos básicos para proteger tu web. En esa misma entrada recuerdo haber dicho que escribiría otra dando más tips para hacer tu wordpress seguro.

Así que empecemos.

¿Cómo hacer mi Wordpress Seguro?

  • Protege el archivo de configuración de wordpress (wp-config.php)

Este archivo contiene información muy sensible sobre tu servidor:

      • Nombre de la base de datos
      • Usuario de la base de datos
      • Contraseña de la base de datos
      • Prefijo de las tablas de la base de datos

Así que a cómo podrás imaginarte es de vital importancia para tener un Wordpress protegido.

Para ello añade las siguientes reglas al fichero .htaccess para evitar accesos no deseados:

<Files wp-config.php>
order allow,deny
deny from all
</Files>



  • Protege la carpeta de archivos subidos

La carpeta uploads es la carpeta en donde se suben imágenes, archivos, vídeos y se encuentra ubicada en tuweb.com/wp-content/uploads.

Esta es una de las carpetas más frágiles de Wordpress y por ende hay que prestarle vital atención para tener un Wordpress seguro.

Para ello, añadiremos las siguientes líneas de código al fichero oculto de configuración de Apache .htaccess, situado en la carpeta donde instalaste WordPress:

<Files ~ ".*\..*">
	Order Allow,Deny
	Deny from all
</Files>
<FilesMatch "\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|key|zip|rar)$">
	Order Deny,Allow
	Allow from all
</FilesMatch>
  • Protege el archivo .htaccess

Has visto que este archivo se usa para tener tu web protegida, y es por esa misma razón que debemos protegerlo a toda costa.

Para proteger también el archivo .htaccess de accesos no deseados puedes incluir las siguientes líneas en el mismo archivo:

<files .htaccess>
order allow,deny
deny from all
</files>
  • Evita la vulnerabilidad pingback

Hay una vulnerabilidad concreta, denominada como vulnerabilidad pingback,que merece una mención especial porque, aunque de fácil solución, dejaría inactivas funciones importantes de WordPress como la gestión remota, el uso de aplicaciones móviles o incluso el sistema de pingbacks y trackbacks.

Lo malo es que es una vía abierta de posibles inyecciones de código por parte de atacantes.

No obstante, usando el mismo archivo .htaccess existe un método para tener nuestro wordpress protegido, así que añade la siguiente información:

# proteger xmlrpc
<Files xmlrpc.php>
	Order Deny,Allow
	Deny from all
</Files>