Protección de WordPress

Para verificar y proteger instalaciones de WordPress:

1. Vaya a WordPress.
2. Realice una de las siguientes acciones:
   • Para comprobar la seguridad de todas las instalaciones de WordPress, haga clic en Comprobar seguridad.
   • Si solo desea proteger una instalación de WordPress, haga clic en el icono presente en la columna S al lado del nombre de la instalación deseada.
   • Para proteger dos o más instalaciones de WordPress, seleccione las casillas correspondientes a las instalaciones deseadas y haga clic en Comprobar seguridad.
3. Seleccione las casillas correspondientes a las mejoras de seguridad que desea aplicar y haga clic en Proteger.

¡Atención! Tenga en cuenta que no todas las mejoras de seguridad pueden revertirse. Es por este motivo que le recomendamos crear un backup de la suscripción antes de proceder con la protección de instalaciones de WordPress.

Lista completa de las mejoras de seguridad de WordPress

• La carpeta wp-content. El directorio wp-content puede contener archivos PHP que no sean seguros y que puedan usarse para comprometer su sitio. Una vez instalado WordPress, los archivos PHP pueden ejecutarse a través del directorio wp-content. La comprobación de seguridad verifica que se prohíbe la ejecución de archivos PHP en el directorio wp-content. Tenga en cuenta que las directivas personalizadas en los archivos .htaccess o web.config pueden invalidar esta medida de seguridad. Considere también que es posible que algunos de sus plugins dejen de funcionar tras proteger la carpeta wp-content.
• La carpeta wp-includes. El directorio wp-includes puede contener archivos PHP que no sean seguros y que puedan utilizarse para comprometer su sitio. Una vez instalado WordPress, los archivos PHP pueden ejecutarse a través del directorio wp-includes. La comprobación de seguridad verifica que se prohíbe la ejecución de archivos PHP en el directorio wp-includes. Tenga en cuenta que las directivas personalizadas en los archivos .htaccess o web.config pueden invalidar esta medida de seguridad. Considere también que es posible que algunos de sus plugins dejen de funcionar tras proteger la carpeta wp-includes.
• El archivo de configuración. El archivo wp-config.php contiene las credenciales de acceso a la base de datos y otros datos confidenciales. Una vez instalado WordPress, puede ejecutarse el archivo wp-config.php. Si por algún motivo se desactivara el procesamiento de archivos PHP por parte del servidor web, los hackers podrían acceder al contenido del archivo wp-config.php. La comprobación de seguridad verifica que se bloquea el acceso no autorizado al archivo wp-config.php. Tenga en cuenta que las directivas personalizadas en los archivos .htaccess o web.config pueden invalidar esta medida de seguridad.
• Permisos para la exploración de directorios. Si la exploración de directorios está activada, los hackers podrían obtener información de su sitio, como por ejemplo los plugins usados. Por omisión, la exploración de directorios está desactivada en Plesk. La comprobación de seguridad verifica que la exploración de directorios en la instalación de WordPress está desactivada.
• Prefijo de la base de datos. Las tablas de la base de datos de WordPress tienen los mismos nombres en todas las instalaciones de WordPress. Cuando se utiliza el prefijo estándar wp_ en el nombre de las tablas de la base de datos, la estructura de la base de datos de WordPress deviene insegura y cualquier persona puede acceder a sus datos. La comprobación de seguridad cambia este prefijo a otro valor distinto a wp_. Se activará el modo de mantenimiento, se desactivarán todos los plugins, se modificará el prefijo en la base de datos, se volverán a activar los plugins, se actualizará la estructura permalink y se desactivará el modo de mantenimiento.
• Claves de seguridad. WordPress utiliza claves de seguridad (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY y NONCE_KEY) para cifrar la información almacenada en las cookies del usuario. Una buena clave de seguridad debería ser larga (estar formada por un mínimo de 60 caracteres), además de ser aleatoria y suficientemente complicada. Esta comprobación de seguridad verifica que se han definido claves de seguridad y que al menos contienen caracteres numéricos y caracteres alfanuméricos.
• Permisos para archivos y directorios. Si los permisos para los archivos y directorios no cumplen la directiva de seguridad, dichos archivos pueden usarse para hackear su sitio. Una vez completada la instalación de WordPress, los archivos y directorios pueden tener distintos permisos. La comprobación de seguridad verifica que los permisos para el archivo wp-config.php se han definido a 600, que los permisos para otros archivos se han definido a 644 y que los permisos para los directorios se han definido a 755.
• Nombre de usuario del administrador. Cuando se instala una copia de WordPress, por omisión existe un usuario con privilegios administrativos y con el nombre de usuario admin. Como el nombre de usuario de un usuario no puede modificarse en WordPress, solo es necesario adivinar la contraseña para disponer de acceso al sistema como administrador. La comprobación de seguridad verifica que no existe ningún usuario con privilegios administrativos y con el nombre de usuario admin.
• Información de la versión. Cada versión de WordPress presenta vulnerabilidades de seguridad conocidas. Es por este motivo que el hecho de mostrar la versión de su instalación de WordPress hace que esta sea más vulnerable frente a posibles ataques por parte de hackers. La versión de una instalación no protegida de WordPress puede verse en los metadatos de las páginas y en los archivos readme.html. La comprobación de seguridad verifica que todos los archivos readme.html están vacíos y que todos los temas tienen un archivo functions.php que contenga la línea: remove_action(\'wp_head\', \'wp_generator\');.