Esta guía incluye una serie de pasos posteriores a la instalación de WordPress para mejorar aún más la seguridad de tu sitio. Estamos haciendo algunas suposiciones en esta guía:
- Que antes de instalar WordPress habilitaste SSL en su dominio (usando LetsEncrypt) y luego seleccionaste la forma https:// del nombre de tu sitio cuando realizaste la instalación de WordPress.
- Que instalaste WordPress usando Softaculous
Plugins sugeridos.
Por lo general, recomendamos que minimices la cantidad de plugins que instalas, por varias razones:
- Cuantos más plugins, más tiene que procesar WordPress para mostrar su sitio, lo que a menudo da como resultado un sitio más lento.
- Cuantos más plugins uses, más probabilidades tendrás de exponerte a un problema con un plugin mal codificado o de tener un problema que pueda provocar que su web sea pirateada.
- Compruebe siempre que los plugins que utilices tengan soporte, se actualicen regularmente y tengan buenas críticas.
Dicho esto, los siguientes plugins proporcionan una capa de protección para tu web que vale la pena tener.
1.- Instala un firewall de aplicaciones de WordPress (WAF): te sugerimos WordFence o Sucuri.
Ambos son tienen buenas valoraciones y tienen una gran cantidad de opciones integradas que puedes habilitar para mejorar la seguridad de su web.
2.- Añade la autenticación de dos factores (2FA): esto agrega seguridad al inicio de sesión de WordPress, por lo que cualquier persona que intente iniciar sesión requiere una autenticación de un mensaje de texto SMS o un código de una aplicación en su teléfono móvil.
WordFence, mencionado anteriormente, tiene opciones 2FA integradas. Una alternativa sería Google Authenticator, que funciona con con Authy
Actualizaciones a .htaccess
Los archivos .htaccess son especiales por varias razones:
- El punto final delante de sus nombres los oculta, por lo que si usa el Administrador de archivos cPanel deberás asegurarte de tener habilitados los archivos ocultos.
- Se pueden colocar en cualquier directorio (solo crea un nuevo archivo llamado
.htaccesssi aún no existe) para realizar acciones en las solicitudes entrantes a esa y cualquier subcarpeta.
Ten en cuenta que los archivos .htaccess son súper frágiles: un punto fuera de lugar u otro caracter podría interrumpir el acceso a todo su sitio. Asegúrete de realizar siempre una copia de seguridad del archivo antes de realizar cualquier cambio, de modo que pueda revertirlo fácilmente en caso de que haya algún problema.
Proteje tu archivo .htaccess
# Deny access to .htaccess Order allow,deny Deny from all
Proteje tu archivo wp-config.php
# Block access to wp-config.php order allow,deny deny from all
Bloquea el acceso a tu wp-includes
# Block the include-only files. RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ – [F,L] RewriteRule !^wp-includes/ – [S=3] RewriteRule ^wp-includes/[^/]+\.php$ – [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L] RewriteRule ^wp-includes/theme-compat/ – [F,L]
Deshabilitar la exploración de directorios
# Disable directory browsing Options All -Indexes
Bloquea las solicitudes xml-rpc
# Block any attempted XML-RPC requests order deny,allow deny from all
_Gracias por leernos.