Resumen Seguridad en WP

Nombre: Rafael Moncayo Pérez

1
 ★ Aplicaciones Web.

Índice

1.-WordPress Hosting Seguro 3

4.-Utilice Siempre La Última Versión de WordPress, Plugins y temas 6
5. Bloquee su WordPress Admin 7
6. Saque Ventaja De La Autenticación De Dos Factores 9
7. Use HTTPS para Conexiones Cifradas – Certificado SSL 11
8. Endurezca su Archivo wp-config.php 12
9. Deshabilitar XML-RPC 13
10. Esconda su Versión de WordPress 14
11. Añada los Últimos Encabezados De Seguridad HTTP 15
12. Use Plugins de Seguridad WordPress 16
13. Reforzar la Seguridad de la Base de Datos 17
14. Siempre Use Conexiones Seguras 18
15. Verifique los Permisos de Archivo y Servidor 19
16. Desactive Editar Archivos en el Panel de Control de WordPress 21
17. Prevenir Hotlinking 22
18. Siempre Haga Backups 23
19. Protección DDoS 24

Pág-2
 ★ Aplicaciones Web.

1.-WordPress Hosting Seguro

❖ Si tienes un sitio web o estás planeando crear uno, entonces debes

implementar ciertas medidas de seguridad. El alojamiento ofrece
una variedad de funciones que respaldan tu página web y te
facilitan la implementación, independientemente del tamaño del
mismo. El uso de hosting seguro es una parte esencial del
funcionamiento de tu sitio.

❖ Elegir un hosting seguro es algo que proporciona una gran

sensación de seguridad al saber que tu sitio web seguirá
funcionando sin interrupciones. Al final del día, no deseas ser el
próximo que tiren la página y perder clientes potenciales.

2.-Usa la última versión de PHP

❖ La razón más obvia para actualizar es la seguridad. Las versiones

más recientes son mejores para contrarrestar a los hackers, por
ejemplo, porque el código obsoleto ya no es compatible. Sitios web
más rápidos: las versiones más nuevas de PHP son más rápidas.

Pág-3
 ★ Aplicaciones Web.

3.-Use Nombres de Usuario y Contraseñas

Inteligentes

❖ Durante la instalación de WordPress debes decidir el nombre del

primer usuario para acceder a la administración de tu web, usuario
que por defecto tendrá permisos totales de gestión de la misma.

❖ WordPress ha dado la opción de poner un nombre de usuario por

defecto que, por supuesto, no tienes que usar.

Pág-4
 ★ Aplicaciones Web.

❖ Cuando tengas que escoger el nombre de tu primer usuario para

acceder a WordPress no elijas los nombres comunes para esta
tarea, como admin, Admin, root, etc. Un hacker que quiera acceder
a tu web va a comprobar en primer lugar esos nombres. Y también
es fundamental que las contraseñas sean conscientes de que
cuanto más fácil sea para ti recordar una contraseña, también será
más fácil que los sistemas automáticos de acceso por fuerza bruta
de los atacantes la consigan.

Pág-5
 ★ Aplicaciones Web.

4.-Utilice Siempre La Última Versión de

WordPress, Plugins y temas

❖ Otra forma muy importante para endurecer su seguridad

WordPress es siempre mantenerse actualizado. Esto incluye el
núcleo de WordPress y sus plugins. Estos son actualizados por una
razón, y un montón de veces estos incluyen mejoras de seguridad y
correcciones de errores.

Pág-6
 ★ Aplicaciones Web.

5. Bloquee su WordPress Admin

❖ Por defecto, la URL de inicio de sesión de su sitio WordPress es

domain.com/wp-admin. Uno de los problemas con esto es que
todos los bots, hackers y secuencias de comando que existen
también lo saben. Al cambiar la URL, puede hacerse menos de un
objetivo y protegerse mejor de los ataques de fuerza bruta. Esto no
es una solución para todo, es simplemente un pequeño truco que
sin duda puede ayudar a protegerlo.

Pág-7
 ★ Aplicaciones Web.

6. Saque Ventaja De La Autenticación De Dos

Factores

❖ La autenticación de dos factores implica un proceso de dos pasos

en el que necesita no sólo su contraseña para iniciar sesión, sino
un segundo método. Generalmente es un texto (SMS), una llamada
telefónica o una contraseña de un solo uso en función del tiempo
(TOTP). En la mayoría de los casos, esto es 100% eficaz en la
prevención de ataques de fuerza bruta a su sitio WordPress. ¿Por
qué? Porque es casi imposible que el atacante tenga tanto su
contraseña como su móvil.

Pág-8
 ★ Aplicaciones Web.

Pág-9
 ★ Aplicaciones Web.

7. Use HTTPS para Conexiones Cifradas –

Certificado SSL

❖ Una de las maneras más ignoradas de reforzar su seguridad

WordPress es instalar un certificado SSL y ejecutar su sitio a
través de HTTPS. HTTPS (Hypertext Transfer Protocol Secure) es
un mecanismo que permite que su navegador o aplicación web se
conecte de forma segura con un sitio web. Una gran equivocación
es que si usted no acepta tarjetas de crédito entonces no necesita
SSL.

Pág-10
 ★ Aplicaciones Web.

8. Endurezca su Archivo wp-config.php

❖ Su archivo our wp-config.php es como el corazón y el alma de su

instalación de WordPress. Es el archivo más importante en su sitio
cuando se trata de seguridad WordPress. Contiene la información
de acceso de su base de datos y las claves de seguridad que
controlan el cifrado de la información en las cookies. A
continuación, se presentan algunas cosas que puede hacer para
proteger mejor este importante archivo.

❖ Para mover su archivo wp-config.php simplemente copie todo de él

en un archivo diferente. Después, en su archivo wp-config.php
puede colocar el fragmento siguiente para incluir simplemente su
otro archivo. Nota: la ruta del directorio puede ser diferente según
el host y la configuración. Normalmente, aunque es simplemente
un directorio arriba.

Pág-11
 ★ Aplicaciones Web.

9. Deshabilitar XML-RPC

❖ XML-RPC se ha vuelto un objetivo cada vez más grande para

ataques de fuerza bruta. Como Sucuri mencionó, una de las
características ocultas de XML-RPC es que puede utilizar el
método system.multicall para ejecutar varios métodos dentro de
una sola solicitud. Eso es muy útil ya que permite que la aplicación
pase varios comandos dentro de una solicitud HTTP. Pero lo que
también sucede es que se utiliza para intenciones maliciosas.

❖ Para deshabilitar completamente, se puede instalar el plugin

gratuito Disable XML-RPC-API . O se puede deshabilitar con el
plugin premium de perfmatters, que incluye también mejoras de
rendimiento web.

Pág-12
 ★ Aplicaciones Web.

10. Esconda su Versión de WordPress

❖ Esconder su versión de WordPress vuelve a tocar el tema de la

seguridad WordPress por anonimato. Cuanta menos gente conozca
su configuración de sitio WordPress, mejor. Si ven que está
ejecutando una instalación de WordPress no actualizada, esto
podría ser una señal de bienvenida a los intrusos. De forma
predeterminada, la versión de WordPress aparece en el
encabezado del código fuente de su sitio. Una vez más, le
recomendamos que simplemente asegúrese de que su instalación
de WordPress esté siempre actualizada para que no tenga que
preocuparse por esto.

Pág-13
 ★ Aplicaciones Web.

11. Añada los Últimos Encabezados De

Seguridad HTTP

❖ Otro paso que puede tomar para mejorar su seguridad WordPress

es aprovechar los encabezados de seguridad HTTP. Normalmente se
configuran en el nivel del servidor web y le indican al navegador
cómo comportarse al manejar el contenido de su sitio. Hay muchos
encabezados de seguridad HTTP diferentes, pero abajo son
típicamente los más importantes.

❖ Puede comprobar qué encabezados se ejecutan actualmente en su

sitio WordPress abriendo Chrome devtools y mirando el
encabezado en la primera respuesta de su sitio. A continuación, se
muestra un ejemplo en kinsta.com. Puede ver que estamos
utilizando los encabezados de strict-transport-security, x-content-type y

x-frame-options.

Pág-14
 ★ Aplicaciones Web.

12. Use Plugins de Seguridad WordPress

❖ Tenemos cortafuegos de hardware, seguridad activa y pasiva,

comprobaciones de tiempo de actividad al minuto y muchas otras
características avanzadas para evitar que los atacantes tengan
acceso a sus datos. Si, a pesar de nuestros mejores esfuerzos, su
sitio está comprometido, lo arreglaremos de forma gratuita.

❖ Estas son algunas de las características y usos típicos de los

plugins anteriores:
➢ Generar y forzar contraseñas seguras al crear perfiles de
usuario
➢ Forzar la caducidad de las contraseñas y reestablecerlas
periódicamente
➢ Logs de actividad de usuario
➢ Actualizaciones fáciles de las claves de seguridad WordPress
➢ Análisis de malware
➢ Autenticación de dos factores

Pág-15
 ★ Aplicaciones Web.

13. Reforzar la Seguridad de la Base de Datos

❖ Hay un par de maneras de mejorar la seguridad en su base de

datos de WordPress. La primera es usar un nombre de base de
datos inteligente. Si su sitio se llama trucos de voleibol, por
defecto su base de datos de WordPress es más probable que se
llame wp_trucosdevoleibol. Al cambiar el nombre de su base de
datos a algo más complicado, ayuda a proteger su sitio haciendo
que sea más difícil para los hackers identificar y acceder a los
detalles de su base de datos.

❖ Una segunda recomendación es utilizar un prefijo de tabla de base

de datos diferente. Por defecto, WordPress utiliza wp_. Cambiar
esto a algo como 39xw_ puede ser mucho más seguro. Al instalar
WordPress se le pide un prefijo de tabla (como se ve a
continuación). También hay maneras de cambiar el prefijo de tabla
WordPress en sitios existentes. ¡Tenemos el sitio y la base de datos
bloqueados!

Pág-16
 ★ Aplicaciones Web.

14. Siempre Use Conexiones Seguras

❖ Asegure a su host de WordPress tomando precauciones tales como

SFTP o SSH. SFTP o protocolo seguro de transferencia de archivos
(también conocido como protocolo de transferencia de archivos
SSH), es un protocolo de red que se utiliza para transferencias de
archivos. Es un método más seguro vs estándar FTP.

Pág-17
 ★ Aplicaciones Web.

❖ Si alguien hackea su red doméstica, podría tener acceso a todo

tipo de información, incluyendo posiblemente donde se almacene
su información importante acerca de sus sitios de WordPress.
Estos son algunos consejos sencillos:
➢ No active la gestión remota (VPN). Los usuarios típicos nunca usan
esta característica y manteniéndola apagada usted puede evitar
exponer su red al mundo exterior.
➢ Los enrutadores usan por defecto IPs en el rango tal como
192.168.1.1. Utilice un rango diferente, tal como 10.9.8.7.
➢ Active el nivel más alto de cifrado en su Wifi.
➢ Ponga su Wifi en lista blanca de IPs para que sólo las personas con
contraseña y una determinada IP puedan acceder a ella.
➢ Mantenga actualizado el firmware en su enrutador.

15. Verifique los Permisos de Archivo y Servidor

❖ Los permisos de archivo tanto en su instalación como en el

servidor web son cruciales para reforzar la seguridad WordPress.
Si los permisos están demasiado sueltos, alguien podría acceder
fácilmente a su sitio y causar estragos. Por otra parte, si sus
permisos son demasiado estrictos esto podría romper la
funcionalidad en su sitio. Por lo tanto, es importante contar con
los permisos correctos establecidos a través del panel.

Pág-18
 ★ Aplicaciones Web.

❖ Permisos del Archivo

➢ Permisos de lectura se asignan si el usuario tiene derechos para leer
el archivo.
➢ Permisos de escritura se asignan si el usuario tiene derechos para
escribir o modificar el archivo.
➢ Permisos de ejecución se asignan si el usuario tiene los derechos para
ejecutar el archivo y/o ejecutarlo como una secuencia de comandos.

❖ Permisos del Archivo

➢ Permisos de lectura se asignan si el usuario tiene los derechos para
acceder al contenido de la carpeta/directorio identificado.
➢ Permisos de escritura se asignan si el usuario tiene los derechos para
agregar o eliminar archivos que se contienen dentro de la
carpeta/directorio.
➢ Permisos de ejecución se asignan si el usuario tiene los derechos para
acceder al directorio actual y ejecutar funciones y comandos, incluida
la posibilidad de eliminar los datos dentro de la carpeta/directorio.

Pág-19
 ★ Aplicaciones Web.

16. Desactive Editar Archivos en el Panel de

Control de WordPress

❖ Muchos sitios de WordPress tienen varios usuarios y

administradores, lo que puede hacer que la seguridad WordPress
sea más complicada. Una muy mala práctica es dar a los autores o
contribuyentes acceso de administrador, pero, lamentablemente,
sucede todo el tiempo. Es importante dar a los usuarios las
funciones y permisos correctos para que no rompan nada. Debido a
esto, puede ser beneficioso simplemente desactivar el «editor de
apariencia» en WordPress.

❖ La mayoría de ustedes probablemente han estado allí en un

momento u otro. Usted va a editar rápidamente algo en el editor
de apariencia y de repente se quedan con una pantalla blanca de
muerte. Es mucho mejor editar el archivo localmente y subirlo a
través de FTP. Y, por supuesto, en la mejor práctica, debe probar
cosas como esta en un sitio de desarrollo en primer lugar. Si no
tienen acceso a esto desde el panel de control, para empezar
pueden ayudar a prevenir los ataques. Coloque el siguiente código
en su archivo wp-config.php para eliminar las capacidades de
‘edit_themes’, ‘edit_plugins’ y ‘edit_files’ de todos los usuarios.

Pág-20
 ★ Aplicaciones Web.

17. Prevenir Hotlinking

❖ El concepto de hotlinking es muy simple. Se encuentra una imagen

en Internet en algún lugar y utiliza la URL de la imagen
directamente en su sitio. Esta imagen se mostrará en su sitio web,
pero se servirá desde la ubicación original. Esto en realidad es un
robo, ya que está utilizando el ancho de banda del sitio hotlinked.
Esto podría no parecer una gran cosa, pero podría generar una
gran cantidad de costos adicionales.

❖ Para prevenir hotlinking en Apache simplemente agregue el

siguiente código a su archivo .htaccess file.

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://dropbox.com/hotlink-placeholder.jpg [NC,R,L]

Pág-21
 ★ Aplicaciones Web.

18. Siempre Haga Backups

❖ Los backups son la única cosa que todo el mundo sabe que
necesitan pero no siempre hacen. La mayoría de las
recomendaciones anteriores son medidas de seguridad que puede
tomar para protegerse mejor. Pero no importa lo seguro que sea su
sitio, nunca será 100% seguro. Así que haga backups en caso de
que lo peor suceda.

Pág-22
 ★ Aplicaciones Web.

19. Protección DDoS

❖ DDoS es un tipo de ataque de DOS en el que se utilizan sistemas

múltiples para orientar un sistema único que causa un ataque de
denegación de servicio (DoS). Los ataques DDoS no son nada
nuevo, según Britannica el primer caso documentado se remonta a
principios de 2000. A diferencia de alguien está hackeando su
sitio, estos tipos de ataques normalmente no dañan su sitio, sino
más bien simplemente dejan a su sitio inactivo por unas horas o
días.

❖ ¿Qué puede hacer para protegerse? Una de las mejores

recomendaciones es usar un servicio de seguridad de terceros de
renombre como Cloudflare o Sucuri. Si está ejecutando un negocio
puede tener sentido invertir en sus planes premium. Si estás
alojado en Kinsta, no tienes que preocuparte de configurar la
protección DDoS por ti mismo. Todos nuestros planes incluyen una
integración gratuita de Cloudflare con protección DDoS
incorporada.

Pág-23