WordPress es una gran plataforma, pero usuarios malintencionados y otros, en Internet, pueden causar estragos en cualquier momento en un sitio WordPress, sobre todo si tu tema (o instalación de WordPress) es vulnerable, no está actualizada y carece de las debidas protecciones a nivel servidor y a nivel instalación (por parte del usuario administrador).
La proliferación de Temas (themes) para WordPress, principalmente temas gratuitos, hace que sea fácil para ellos. Si bien el uso de temas gratuitos no es en sí un problema, hay buenos temas gratuitos en Internet, pero mejor en WordPress.org, la gran mayoría de temas libres que podemos encontrar no son realmente "gratuitos".
Estos temas a menudo llevan líneas de código ocultas o enlaces que el desarrollador o un usuario malintencionado colocan únicamente para su propio beneficio. Estos códigos suelen estar ocultos o encriptados (base64, etc.), por lo que es difícil detectar este código subyacente a menos que usemos las herramientas adecuadas.
El plugin Acunetix WP Security es una herramienta gratuita e integral de seguridad que te ayuda a proteger tu instalación de WordPress y te sugiere medidas correctivas para: corregir permisos de archivos y carpetas incorrectos, mejorar la seguridad de la base de datos, ocultar la versión de WordPress, proteger el acceso al dashboard de WordPress (wp-admin) y otras opciones documentadas en este artículo y el vídeo que lo acompaña.
En los servidores de Webempresa "siempre":
- Carpetas wp-content, wp-admin y wp-includes con permisos 755 (rwx r-x r-x).
- Ficheros con permisos 644 (rw- r– r–).
Acunetix WP Security comprueba en tu sitio web de WordPress posibles vulnerabilidades y te sugiere acciones correctivas, tales como:
- Mejora de las contraseñas.
- Corrección de permisos de archivos y carpetas (644/755).
- Mejorar la seguridad de la base de datos.
- Ocultar tu versión de WordPress.
- Proteger el acceso a la administración de WordPress (dashboard).
- Eliminar WP Generador y WP META TAG del código del núcleo de WordPress.
- WordPress versión 3.0 o superior.
- PHP 5.x (verificado en versiones >= 5.2.9).
- Es compatible con multisitios.
- Copia de seguridad de la base de datos de WordPress para la recuperación ante desastres.
- Eliminación de errores de información en la página de acceso (wp-admin).
- Adición del archivo index.php a wp-content, wp-content/plugins, wp-content/themes y directorios wp-content/uploads para evitar el listado de directorios.
- Eliminación de la versión de WordPress, excepto en el área de administración.
- Eliminación de la etiqueta WP Generador y WP META TAG.
- Eliminación de la etiqueta Windows Live Writer.
- Eliminación de la información de actualizaciones del núcleo para los no administradores.
- Eliminación de la información de actualización de plugins para los no administradores.
- Eliminación de información de actualización de temas para los no administradores.
- Ocultación de la versión de WordPress en el dashboard para los no administradores.
- Eliminación de la versión en las URL de los scripts y hojas de estilo solo en el frontend.
- Informes de introducción a la seguridad después de haber escaneado el sitio de WordPress.
- Presentación de informes de los permisos de archivos siguiendo los controles de seguridad de Acunetix.
- Herramienta de tráfico en tiempo real para monitorizar la actividad de tu sitio web.
- Herramienta integrada para cambiar el prefijo de la base de datos.
- Desactivación de la notificación de errores de la base de datos (si está activada).
- Permite deshabilitar el informe de errores de PHP.
Acunetix WP Security
Requisitos de Acunetix WP Security:
Características de Acunetix WP Security:
En el siguiente vídeo te mostramos como instalar Acunetix WP Security y repasamos algunas de sus funcionalidades.
La seguridad pasiva es tan importante como la seguridad activa. Mantener WordPress actualizado, usar plugins no vulnerables y acordes a tu versión de WordPress y tener un control de lo que sucede en tu instalación forman parte de las medidas a tomar para mantener WordPress siempre seguro.