Si cree que su sitio es seguro porque no es de interés para los piratas informáticos, está equivocado, porque la gran mayoría de las brechas de seguridad no tienen como objetivo robar sus datos o desfigurar su sitio.
Los piratas informáticos generalmente quieren usar su servidor como retransmisor de correos electrónicos no deseados o para configurar un servidor web temporal, generalmente para entregar archivos ilegales. Si lo piratean, prepárese para desembolsar algo de efectivo para los costos relacionados con el servidor.
Hay varias formas diferentes de fortalecer la seguridad de su sitio o de una red de varios sitios, pero una de las más fáciles es editar su archivo. wp-config.php. Actualizar este archivo de configuración, aunque no existe una solución única para todos, es una política que debe seguirse para la seguridad general.
Con eso en mente, vamos a explorar las diversas modificaciones que puede hacer para asegurar su blog de WordPress.
Configurar las constantes de WordPress
En su archivo de configuración de WordPress, también llamado wp-config.php , puede definir lo que se denominan constantes PHP para realizar determinadas tareas. WordPress tiene muchas constantes que puedes usar.
Las constantes también están envueltas en la función de definición() como se muestra en este ejemplo de sintaxis:
define ( 'NOM_DE_LA_CONSTANTE', valor);
En WordPress, el archivo wp-config.php se carga antes que el resto de archivos que componen el kernel. Esto significa que si cambia el valor de una constante en wp-config.php, puedes cambiar la forma en que WordPress reacciona y funciona. Puede deshabilitar algunas funciones o activarlas cambiando el valor. En muchos casos, esto se puede hacer cambiando true para falsa, y viceversa, por ejemplo.
A continuación encontrará las diferentes constantes, así como otros tipos de código PHP que puede utilizar en su archivo. wp-config.php para aumentar su seguridad. Colóquelos todos encima de la siguiente línea en su archivo wp-config.php:
/ * Eso es todo, detener la edición! blogs feliz. * /
Atención: ten cuidado
Dado que los cambios que está a punto de realizar pueden cambiar drásticamente su sitio, esta es una buena idea de respaldarlo. Si ocurre un error, puede restaurar rápidamente su sitio a un punto anterior a estos cambios y una vez que su sitio esté funcionando normalmente, puede intentarlo nuevamente.
1. Cambia tus llaves de seguridad
Es posible que ya conozca las diferentes claves de seguridad y que ya haya agregado claves únicas, lo cual es algo bastante bueno.
Las claves de seguridad de la información cifran los datos almacenados en las cookies y puede ser útil cambiarlas, especialmente después de que su sitio haya sido pirateado. Esto pondría fin a todas las sesiones abiertas de usuarios registrados en su sitio, lo que significa que los piratas informáticos también se cerrarán.
Cuando restablece las contraseñas y se asegura de que su sitio esté libre de exploits de puerta trasera y similares.
Puede generar un nuevo conjunto de claves de seguridad utilizando Generador de clave de seguridad de WordPress. Copie todo el contenido y péguelo para reemplazar la sección que tiene el siguiente aspecto:
define( 'AUTH_KEY', 't`DK%X:>xy|eZ(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|' ); define( 'SECURE_AUTH_KEY ', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj' ); define( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*~&0s;{k0 (hdXW|5M=X={we4;Mpvtg+Vo<$|#_}qG(GaVDEsn,~*2i' ); define( 'NONCE_SALT', 'a|#h{c7|P &xWs0IZ2c8&%883!c( /uG}W:mAvy
2. Forzar el uso de SSL
Un certificado SSL cifra la conexión entre su sitio y el navegador de su visitante, por lo que los piratas no pueden interceptar y robar información personal. Si ya tiene un certificado SSL instalado, entonces necesita forzar a WordPress a usarlo, puede aumentar su seguridad.
Para forzar el uso de su certificado SSL durante la conexión, agregue esta línea:
define ( 'FORCE_SSL_LOGIN', true);
También puede forzar su certificado SSL en el panel de administración con esta línea:
define ( 'FORCE_SSL_ADMIN', true);
Estos son muy buenos puntos para empezar, aunque lo ideal sería utilizar el certificado SSL en todos tus sitio web.
3. Modifique el prefijo de la base de datos
El prefijo se coloca delante de los nombres de todas las tablas de su base de datos. De forma predeterminada, la tabla usa el prefijo " wp_" y agregarlo a su base de datos agregará una tarea adicional que debe realizar el hacker. Cuantos más obstáculos agregues, más tu blog Será difícil de hackear.
Cambiar el prefijo predeterminado ayuda y todo lo que tiene que hacer es cambiar la constante en el archivo " wp-config.php ", pero también sería necesario que las tablas de la base de datos en su instalación tengan el mismo nuevo prefijo. Puedes cambiar wp_ para algo como g628_. Tienes que elegir algo que realmente no sea fácil de adivinar.
4. Deshabilite la edición de temas y complementos
En cada instalación de WordPress, puede editar complementos y temas directamente a través del panel de control. Si un pirata informático pudo obtener acceso a su panel de control, tendrá acceso a este editor especial donde puede hacer lo que quiera dentro de su complemento y archivos de temas, como agregar malware, virus o correo no deseado.
5. Deshabilitar depuración
Si alguna vez habilitaste la depuración en tu sitio o en una red, probablemente lo hagas porque es una gran herramienta para solucionar problemas, pero no olvides deshabilitarla cuando hayas terminado. Dejar esta opción habilitada puede revelar información importante sobre su sitio y la ubicación de sus archivos a los piratas informáticos a cualquier persona que visite su sitio.
Para desactivar el modo de depuración, puede alternar la constante WP_DEBUG de verdadero a falso de la siguiente manera:
define ( 'WP_DEBUG', false);
6. Desactive el registro de errores en WordPress
Si no puede realizar el cambio anterior porque aún necesita depurar activamente su sitio, aún puede proteger la información vital de su sitio desactivando los errores de front-end y desactivando el registro de errores.
Para deshabilitar el informe de errores de la interfaz, agregue esta línea mientras mantiene su depuración (WP_DEBUG) configurada en verdadero:
define ( 'WP_DEBUG_DISPLAY', false);
7. Habilitar actualizaciones automáticas
Mantener su sitio actualizado con las últimas versiones de WordPress, junto con sus complementos y temas, debería ser una parte importante en el desarrollo de una estrategia de seguridad. Desde elLas actualizaciones proporcionan correcciones de seguridad para vulnerabilidades conocidas, no actualizaciones expuestas tu blog a estos riesgos potenciales.
A partir de la versión 3.7 de WordPress, las correcciones de seguridad menores se aplican automáticamente a los sitios de WordPress, pero las versiones básicas no. Sin embargo, puede habilitar las actualizaciones automáticas para todas las versiones nuevas cambiando el valor de la constante para las actualizaciones automáticas:
define ( 'WP_AUTO_UPDATE_CORE', true);
Asimismo, puede agregar la siguiente línea debajo de la anterior para habilitar actualizaciones automáticas para complementos:
add_filter ( 'auto_update_plugin', '__return_true');
También puede seguir esta línea para permitir actualizaciones automáticas para los temas:
add_filter ( 'auto_update_theme', '__return_true');
Eso es todo por este tutorial. Espero que le permita asegurar mejor su blog de WordPress.
Hola a todo el equipo.
BRAVO para su sitio, que parece lleno de recursos y de gran interés: cuando mi presupuesto lo permita, no dejaré de acudir a sus servicios (realmente lo necesito ...)
Un pequeño inconveniente del artículo de seguridad de * Hervé *: nos perdemos rápidamente en las explicaciones, si no estamos familiarizados con php. [Además, al editar el texto, puede ser beneficioso volver a leer: se han omitido algunas palabras, pero no los errores ortográficos. ;-)))]
Ivan gracias por el regreso y el perdón por los errores.