Seguridad del sitio

Esta página contiene una lista de herramientas para ayudarte a fortalecer la seguridad de tu sitio WordPress y mantenerlo a salvo de malware, exploits y otras acciones maliciosas. Las opciones etiquetadas como recomendadas son esenciales para la seguridad de tu sitio.

Bloquear y proteger carpetas del sistema

Al habilitar esta opción, los archivos .htaccess se colocan en las carpetas del sistema de WordPress, lo que evita la ejecución de scripts no autorizados o sospechosos desde ellos.

Ocultar la versión de WordPress

Al habilitar esta opción, la información sobre tu versión WordPress se elimina del código HTML de tu sitio. Esto evita que cualquier atacante potencial que tenga como objetivo versiones específicas de WordPress marque tu sitio web para ataques masivos.

Desactivar el editor de temas y plugins

Esto eliminará la opción de editar el tema de tu sitio web y el código de los plugins desde el panel de administración de WordPress, lo que evitará cualquier acceso no autorizado a través del editor de WordPress.

Forzar HTTP Strict-Transport-Security (HSTS)

HSTS (HTTP Strict-Transport-Security) es un encabezado de respuesta. Permite al sitio web decirle a los navegadores que solo se debe acceder a él mediante HTTPS, en lugar de mediante HTTP. Si un sitio web acepta una conexión a través de HTTP y redirige a HTTPS, los visitantes pueden comunicarse inicialmente con la versión no cifrada del sitio antes de ser redirigidos. Esto crea una oportunidad para un ataque de intermediario. La redirección podría explotarse y los visitantes habituales podrían ser redirigidos a un sitio malicioso en lugar de a la versión segura del origen.

Deshabilitar XML-RPC

XML-RPC fue diseñado como un protocolo que permite a WordPress comunicarse con sistemas de terceros, pero se ha utilizado en una serie de exploits. A menos que necesites usarlo específicamente, se recomienda que XML-RPC siempre esté deshabilitado.

Deshabilitar las fuentes RSS y ATOM

Las fuentes RSS y ATOM permiten la extracción de contenido que se puede utilizar en ataques a tu sitio web. Si no tienes lectores que utilicen fuentes RSS, debes habilitar esta opción.

Protección XSS avanzada

Los ataques de Cross-Site Scripting (XSS) son un tipo de inyección, en el que se inyectan scripts maliciosos en sitios web que de otro modo serían benignos y confiables. Esta función protegerá tu sitio web contra este tipo de ataques insertando líneas adicionales dentro del archivo .htaccess de tu sitio web.

Eliminar el archivo Readme.html predeterminado

Esto eliminará el archivo readme.html predeterminado que viene con tus archivos principales de WordPress. Los atacantes pueden utilizar el archivo para compilar listas de sitios potencialmente vulnerables que pueden ser pirateados o atacados.

Menú Tutorial

Comparte este artículo