Protección de WordPress
Para verificar y proteger instalaciones de WordPress:
- Vaya a Sitios web y dominios > WordPress.
- Realice una de las siguientes acciones:
- Para comprobar la seguridad de todas las instalaciones de WordPress, haga clic en Comprobar seguridad.
- Si solo desea proteger una instalación de WordPress, haga clic en el icono presente en la columna S al lado del nombre de la instalación deseada.
- Para proteger dos o más instalaciones de WordPress, seleccione las casillas correspondientes a las instalaciones deseadas y haga clic en Comprobar seguridad.
- Seleccione las casillas correspondientes a las mejoras de seguridad que desea aplicar y haga clic en Proteger.
¡Atención! Tenga en cuenta que no todas las mejoras de seguridad pueden revertirse. Es por este motivo que le recomendamos crear un backup de la suscripción antes de proceder con la protección de instalaciones de WordPress.
Lista completa de las mejoras de seguridad de WordPress
-
La carpeta wp-content. El directorio
wp-content
puede contener archivos PHP que no sean seguros y que puedan usarse para comprometer su sitio. Una vez instalado WordPress, los archivos PHP pueden ejecutarse a través del directoriowp-content
. La comprobación de seguridad verifica que se prohíbe la ejecución de archivos PHP en el directoriowp-content
. Tenga en cuenta que las directivas personalizadas en los archivos.htaccess
oweb.config
pueden invalidar esta medida de seguridad. Considere también que es posible que algunos de sus plugins dejen de funcionar tras proteger la carpeta wp-content. -
La carpeta wp-includes. El directorio
wp-includes
puede contener archivos PHP que no sean seguros y que puedan utilizarse para comprometer su sitio. Una vez instalado WordPress, los archivos PHP pueden ejecutarse a través del directoriowp-includes
. La comprobación de seguridad verifica que se prohíbe la ejecución de archivos PHP en el directoriowp-includes
. Tenga en cuenta que las directivas personalizadas en los archivos.htaccess
oweb.config
pueden invalidar esta medida de seguridad. Considere también que es posible que algunos de sus plugins dejen de funcionar tras proteger la carpeta wp-includes. -
El archivo de configuración. El archivo
wp-config.php
contiene las credenciales de acceso a la base de datos y otros datos confidenciales. Una vez instalado WordPress, puede ejecutarse el archivowp-config.php
. Si por algún motivo se desactivara el procesamiento de archivos PHP por parte del servidor web, los hackers podrían acceder al contenido del archivowp-config.php
. La comprobación de seguridad verifica que se bloquea el acceso no autorizado al archivowp-config.php
. Tenga en cuenta que las directivas personalizadas en los archivos.htaccess
oweb.config
pueden invalidar esta medida de seguridad. - Permisos para la exploración de directorios. Si la exploración de directorios está activada, los hackers podrían obtener información de su sitio, como por ejemplo los plugins usados. Por omisión, la exploración de directorios está desactivada en Plesk. La comprobación de seguridad verifica que la exploración de directorios en la instalación de WordPress está desactivada.
-
Prefijo de la base de datos
. Las tablas de la base de datos de WordPress tienen los mismos nombres en todas las instalaciones de WordPress. Cuando se utiliza el prefijo estándarwp_
en el nombre de las tablas de la base de datos, la estructura de la base de datos de WordPress deviene insegura y cualquier persona puede acceder a sus datos. La comprobación de seguridad cambia este prefijo a otro valor distinto awp_
. Se activará el modo de mantenimiento, se desactivarán todos los plugins, se modificará el prefijo en la base de datos, se volverán a activar los plugins, se actualizará la estructura permalink y se desactivará el modo de mantenimiento. -
Claves de seguridad
. WordPress utiliza claves de seguridad (AUTH_KEY
,SECURE_AUTH_KEY
,LOGGED_IN_KEY
yNONCE_KEY
) para cifrar la información almacenada en las cookies del usuario. Una buena clave de seguridad debería ser larga (estar formada por un mínimo de 60 caracteres), además de ser aleatoria y suficientemente complicada. Esta comprobación de seguridad verifica que se han definido claves de seguridad y que al menos contienen caracteres numéricos y caracteres alfanuméricos. -
Permisos para archivos y directorios
. Si los permisos para archivos y directorios no cumplen la directiva de seguridad, estos archivos pueden usarse para hackear su sitio Una vez instalado WordPress, los archivos y directorios pueden tener distintos permisos. La comprobación de seguridad verifica que los permisos para el archivowp-config.php
se han definido a600
, que los permisos para otros archivos se han definido a644
y que los permisos para los directorios se han definido a755
. -
Nombre de usuario del administrador
. Cuando se instala una copia de WordPress, por omisión existe un usuario con privilegios administrativos y con el nombre de usuarioadmin
. Como el nombre de usuario de un usuario no puede modificarse en WordPress, solo es necesario adivinar la contraseña para disponer de acceso al sistema como administrador. La comprobación de seguridad verifica que no existe ningún usuario con privilegios administrativos y con el nombre de usuarioadmin
. -
Información de la versión
. Cada versión de WordPress presenta vulnerabilidades de seguridad conocidas. Es por este motivo que el hecho de mostrar la versión de su instalación de WordPress hace que esta sea más vulnerable frente a posibles ataques por parte de hackers. La versión de una instalación no protegida de WordPress puede verse en los metadatos de las páginas y en los archivosreadme.html
. La comprobación de seguridad verifica que todos los archivosreadme.html
están vacíos y que todos los temas tienen un archivofunctions.php
que contenga la línea:remove_action(\'wp_head\', \'wp_generator\');
.