Consejos para resguardar la seguridad de tu sitio WordPress

Seguridad WordPress htaccess

Sin duda una de las plataformas más utilizadas para la creación y gestión de sitios web alrededor del mundo, pero... ¿Qué medidas tomar para resguardar la seguridad de tu web y evitar que tu página sea hackeada? En este artículo te contaremos las recomendaciones y acciones básicas que todo webmáster o creador de un sitio en WordPress debe conocer.


Cuando instales tu WordPress no utilices el prefijo “wp_” en el nombre de tu base de datos y tablas.

WordPress por defecto durante su instalación, ya sea manual o por medio de aplicaciones auto instaladoras como Softaculous o Fantástico Deluxe, asigna el prefijo “wp_” al nombre de tu base de datos o tabla que utilizará tu web. Los piratas informáticos, al saber que las instalaciones automáticamente utilizan este prefijo, tendrán una pista más cercana de cómo buscar la base que controla tu sitio para provocar ataques. De preferencia, al momento de la instalación, utiliza prefijos que no hagan ninguna referencia a la palabra “WordPress”.

Si ya realizaste la instalación de tu CMS y no consideraste esta recomendación, existen plugins de pago que pueden ayudarte a cambiar el prefijo de la base de datos. Uno de ellos es iTHEMES Security. Por el contrario, si aún tienes la posibilidad de reinstalar tu WordPress en una nueva base, recuerda cambiar el prefijo siempre.


Uso del archivo “.htaccess” para la protección de WordPress.

La instalación de WordPress trae consigo carpetas sensibles y comunes que administran la plataforma como contenido, plugins, temas y muchas más. Para proteger estos directorios vamos a utilizar “.htaccess” el cual es un archivo de configuración utilizado para anular los parámetros por defecto del servidor web.

Con algunos cambios simples se puede aumentar la seguridad del sitio, además de habilitar o deshabilitar funcionalidades y características adicionales para proteger tu web de spammers, hackers y otras amenazas.


Protege el archivo "wp-config.php".

Uno de los archivos más importantes de tu instalación de WordPress es el archivo "wp-config.php". Este archivo se encuentra en la raíz de tu directorio de archivos de WordPress y contiene detalles de configuración de la base de tu sitio, y claves de seguridad de WordPress e información de conexión de base de datos. Esta información, por supuesto, es sensible y cualquier persona que acceda a ella puede acabar afectando a tu sitio. La mejor forma de proteger este archivo es agregando el siguiente fragmento de código en el archivo ".htaccess":

<files wp-config.php>
order allow,deny
deny from all
</files>


Por supuesto, aun con esta protección, este archivo será accesible a través de FTP, cPanel, etc.


Evita el acceso a la carpeta "wp-content".

La carpeta wp-content contiene imágenes, temas y plugins y es una carpeta muy importante dentro de tu instalación de WordPress, así que tiene sentido evitar que se pueda acceder a esta carpeta de forma no autorizada. Esto requiere añadir al archivo ".htaccess" las indicaciones que permitan a los usuarios ver imágenes, CSS, etc., pero proteger los archivos PHP importantes:

Order deny,allow
Deny from all
<Files ~ ".(xml|css|jpe?g|png|gif|js)$">
Allow from all
</Files>


Desactiva el TRACE de HTTP y TRACK.

TRACE y TRACK son métodos HTTP, son funcionalidades por defecto de la mayoría de servidores web Apache utilizados con el propósito de depurar errores. Sin embargo, estos métodos pueden llegar a comprometer la seguridad de tu sitio WordPress, ya que hay algunos ataques como Cross Site Tracing (XST) y Cross Site Scripting (XSS), que pueden robar las cookies y muchas otras informaciones sensibles de tu servidor web. Afortunadamente estos métodos se pueden desactivar con facilidad mediante la colocación de las siguientes líneas de código en el archivo ".htaccess" de la raíz de tu Hosting:

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]


Evita la navegación por directorios.

La protección de los directorios de WordPress es importante y la seguridad por oscuridad en este caso es justificable. Es decir, se trata de esconder estas carpetas de la vista, lo que impide la navegación a través de los directorios a personas no autorizadas. Esta es una buena práctica para evitar la exploración de directorios, junto con la aplicación de otras medidas enfocadas a proteger tu sitio. Para deshabilitar la exploración de directorios debes añadir esto en el archivo ".htaccess":

# Navegación de directorios
Options All -Indexes


Evita el Hotlinking

El Hotlinking o robo de ancho de banda, se da cuando se enlazan las imágenes o archivos de tus artículos o post a artículos y/o post de un servidor diferente, normalmente externo y ajeno a ti, donde el ancho de banda que se consume es el tuyo. Añadiendo este código en tu archivo ".htaccess" evitarás ser víctima de hotlinking:

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)?tu_dominio.com/.*$ [NC]
RewriteRule .(gif|jpg)$ http://www.tu_dominio.com/hotlink.gif [R,L]


Nota: Cambia “tu_dominio.com” por el nombre real del dominio que utilices en tu sitio web. Tendrás que cambiar la imagen hotline.gif por el nombre del archivo de imagen que quieras mostrar en tu servidor que explica que el hotlinking está desactivado en tu sitio.


Restringe el acceso al área de administración (dashboard).

Hay muchas formas de proteger el acceso al dashboard de WordPress (directorio /wp-admin), algunas las hemos explicado en este blog, en otros artículos. Una forma sencilla de restringir el acceso si tu conexión a Internet utiliza una dirección IP fija y siempre accedes a tu sitio desde el mismo lugar, es mediante la creación de un nuevo archivo .htaccess con el siguiente fragmento en la carpeta /wp-admin:

order deny,allow
allow from 202.108.5.1
deny from all


Nota: Cambia la dirección IP por la que quieras permitir el acceso a tu sitio web o por la dirección IP tuya (puedes averiguar tu dirección IP en Cual es mi IP). Esto te permitirá tener acceso a área de administración de tu sitio, bloqueando todos los demás intentos de acceso a esta carpeta desde otras IPs. Adicionalmente puedes añadir la dirección IP de otros administradores de tu sitio, o incluso de otros lugares desde los que te conectas habitualmente, teniendo en cuenta que no es recomendable añadir IPs dinámicas por razones de seguridad.


Prohíbe el acceso a IPs no deseadas.

Si utilizas extensiones como Wordfence que te permiten ver que IPs de forma persistente y constante tratan de acceder a tu sitio, principalmente al dashboard "/wp-admin" para lanzar un ataque de fuerza bruta, puedes prohibir estas IPs utilizando el siguiente código en el archivo ".htaccess":

<Limit GET POST>
order allow,deny
deny from 202.090.21.1
allow from all
</Limit>


Nota: Cambia la dirección IP por la que quieras bloquear el acceso a tu sitio web. Este código impedirá que la citada IP no pueda volver a acceder a tu sitio. También puedes agregar más IPs replicando la línea de negación "deny from", por ejemplo:

<Limit GET POST>
order allow,deny
deny from 202.090.21.1
deny from 211.190.151.122
allow from all
</Limit>


Nota: Cambia la dirección IP por la que quieras bloquear el acceso a tu sitio web.


Protege el archivo ".htaccess".

No tiene sentido aplicar protecciones adicionales a carpetas, etc., sino se protege el propio archivo ".htaccess" pues este archivo suele ser objetivo de atacantes para invalidar otras protecciones adicionales. Cuando alguien intenta acceder a tu archivo ".htaccess", el servidor genera automáticamente un error 403, Prohibido, incluso con permisos predeterminados del archivo. Protegerlo es sencillo implementando el siguiente código en el archivo ".htaccess" de la carpeta principal del sitio WordPress:

<Files .htaccess>
order allow,deny
deny from all
</Files>


Evita el SPAM en comentarios desde ".htaccess".

Puedes evitar SPAM en el formulario de comentarios nativo de WordPress, procedentes de visitas sin cabecera HTTPS (sin URI), habituales de bots de spam, añadiendo el siguiente código en tu archivo ".htaccess":

RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post.php*
RewriteCond %{HTTP_REFERER} !.*dominio.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^https://%{REMOTE_ADDR}/$ [R=301,L]


Nota: Cambia “dominio.com” por el nombre real del dominio que utilices en tu sitio web.


Conclusión

La seguridad de nuestro WordPress está en nuestra manos, por lo que debemos darnos un poco de tiempo para aplicar estas recomendaciones en nuestra instalación y así evitar grandes dolores de cabeza o pérdidas de información por hackeos a nuestro sitio web. Comparte este artículo con tus colegas y amigos webmásters para que juntos creemos una comunidad consciente en seguridad web.

 

 

Al aceptar, accederá a un servicio proporcionado por un tercero externo a https://hostingydominios.com.ec/



PBX: 046020765

Telf.: 046042210 - 046038572
WhatsApp: +593989745947 | +593993216670
Av. Agustín Freire y Rodolfo Baquerizo Nazur
Cdla. Alborada ET2 MZ AM V2
Guayaquil, Ecuador EC090502

Grupo Empresarial Viteri Escobar VITESCO
Derechos Reservados © 2008 - 2020