FORMAS DE SEGURIZAR WORDPRESS

La seguridad de tu blog en WordPress es muy importante. Una gran atencin se requiere para que tu
blog en WordPress est seguro de los hackers. Se requiere que pongas atencin en la seguridad de
tus blogs para no dejar ninguna puerta abierta a los hackers. Si un hacker esta absolutamente
determinado a entrar a tu blog entonces probablemente tendr ito! pero puedes proteger a tu blog
de los hackers con los siguientes tips! consejos! trucos! etc. que te "oy a contar.
Son #$ consejos que puedes aplicar para que tu blog sea ms impenetrable que la caja %uerte de la
reser"a %ederal de &&UU.
1. Mantn actualizado tu WordPress
Siempre en la 'ltima actuali(acin de WordPress "ienen las soluciones a "arios problemas de
seguridad de ste. Si no actuali(as tu blog de WordPress a la 'ltima "ersin! los hackers
apro"echarn las brechas de seguridad de la "ersin antigua de WordPress y podrn entrar
%cilmente a tu blog.
. !az un "ac#U$ de tu %ase de datos & de tus arc'i(os $eri)dica*ente
)acer un *ackUp +respaldo, de tu *ase de -atos y de tus archi"os es muy importante para pre"enir
que se pierdan tus datos en un posible ataque de los hackers o cuando tu ser"idor se caiga.
Un plugin ecelente para manejar y automati(ar los respaldos de tu base de datos es WP.
-*/anager. &ste automticamente crear el backup de la base de datos y lo en"iar al correo que
se disponga en la con%iguracin del plugin.
+. Utiliza una contrase,a di-.cil
0unca utili(as tu nombre u otro dato personal en la contrase1a! pues ser2an %ciles de descubrir. Una
contrase1a %uerte es esencial para un usuario con pri"ilegios de administrador. por eso al elegir una
contrase1a para tu blog asegura de que3
Sea al%anumrico! o sea! contenga tanto n'meros como letras.
4enga tango may'sculas como min'sculas.
5ontenga caracteres como 6 7 89:;
/. As.0nale los $er*isos correctos 12!MOD3 a las car$etas de tu ser(idor
Para hacer esto deber2as utili(ar el plugin WP Security Scan. &ste plugin te ayudar a saber si tienes
los permisos ms seguros para tus carpetas de WordPress en el ser"idor.
4. E(ita la e5$loraci)n de las car$etas
&s "ital prohibir que tus "isitantes puedan eplorar las carpetas de tu sitio. Por ejemplo debemos
e"itar que si escribes http://www.tusitio.com/wp-admin/ se "ean todos los archi"os en esa carpeta.
Para e"itar esto solo debes a1adir la siguiente l2nea de cdigo en el archi"o .htaccess de la carpeta
ra2( de tu ser"idor3
01 Options All -Indexes
6. Utiliza el arc'i(o ro%ots.t5t $ara des'a%ilitar el acceso
&l archi"o robots.tt se utili(a para para decirle a los buscadores que carpetas de tu sitio no quieres
que eplore el robot del buscador. Por ejemplo deber2as desacti"ar la b'squeda en la carpeta
</plugins= y </wp-admin<. Solo debes copiar el siguiente teto en un archi"o del bloc de notas y
llamarlo <robots.tt= y subirlo a la carpeta ra2( de tu sitio de WordPress3
01 #
02 User-agent: *
03 Disallow: /cgi-bin
0 Disallow: /wp-ad!in
0" Disallow: /wp-incl#des
0$ Disallow: /wp-content/pl#gins/
0% Disallow: /wp-content/cac&e/
0' Disallow: /wp-content/t&e!es/
0( Disallow: */trac)bac)/
10 Disallow: */*eed/
11 Disallow: /*/*eed/rss/+
12 Disallow: /categor,/*
7. Prote0e la car$eta 89$lu0ins:
Los plugins que utili(as pueden decirle mucho a un usuario malicioso sobre tu sitio as2 que es mejor
esconderlos. Para esto solo debes crear un archi"o en el *loc de 0otas sin ning'n contenido y
guardarlo como <index.html= y luego sube este archi"o a la carpeta </wp-content/plugins/<.
;. Re(isa tus co*entarios
4odos sabemos como los spammers llenan los blogs de comentarios si no eiste una moderacin o
un %iltro anti.spam. &stos comentarios spam pueden contener enlaces a sitios potencialmente
da1inos los cuales pueden a%ectar a nuestros inocentes lectores e incluso a%ectar al blog. >qu2 hay
algunos plugins que deber2as instalar para e"itar el spam en los comentarios de tu blog3
>kismet3 /ara"illoso plugin para la proteccin anti.spam. &ste re"isa tus comentarios con
el ser"icio ?eb de >kismet para "er si parece spam o no y deja que re"ises si ese comentario
marcado es spam o no.
/ath 5omment Spam Protection3 Le pregunta al lector antes de comentar una simple
pregunta mtemtica. &sto para probar que el "isitantes es humano en "e( de un robot de
spam.
re5>P45)>3 &ste plugin utili(a el ya conocido mtodo de ingresar los caracteres que "es
en la imgen para comprobar si eres humano o un robots spam.
<. 2a*%ia el $re-i=o de la "ase de Datos
Para hacer que tu base de datos sea ms segura deber2as cambiar el pre%ijo de sta. Por de%ecto todas
las tablas tienen el pre%ijo <wp_= y deber ser cambiado por algo un poco ms di%2cil de adi"inar!
algo como <t45s4w_<.
Primero el pre%ijo debe ser cambiado en el archi"o wp-config.php3
01 +table-pre*ix . /t"sw-/0 // 1olo #tili2a n3!eros4 letras , g#i5n ba6o7
Luego debes cambiar el nombre de las tablas de la base de datos con el nue"o pre%ijo! para esto
debes ejecutar la siguiente sentencia S@L en tu base de datos +probablemente en Php/y>dmin,3
01 89:A;9 <A=>9 wp-co!!ents to t"sw-co!!ents0
02 89:A;9 <A=>9 wp-lin)s to t"sw-lin)s0
03 89:A;9 <A=>9 wp-options to t"sw-options0
0 89:A;9 <A=>9 wp-post!eta to t"sw-post!eta0
0" 89:A;9 <A=>9 wp-posts to t"sw-posts0
0$ 89:A;9 <A=>9 wp-ter!s to t"sw-ter!s0
0% 89:A;9 <A=>9 wp-ter!-relations&ips to t"sw-ter!-relations&ips0
0' 89:A;9 <A=>9 wp-ter!-taxono!, to t"sw-ter!-taxono!,0
0( 89:A;9 <A=>9 wp-#ser!eta to t"sw-#ser!eta0
10 89:A;9 <A=>9 wp-#sers to t"sw-#sers0
A luego debes ejecutar la siguiente sentencia S@L para que WordPress %uncione correctamente3
01 U?DA<9 t"sw-options 19< option-na!e . 89?>A@9Aoption-na!e4
/wp-/4 /t"sw-/B0
02 U?DA<9 t"sw-#ser!eta 19< !eta-)e, . 89?>A@9A!eta-)e,4 /wp-/4
/t"sw-/B0
1>. Restrin0e el acceso de arc'i(os de la car$eta wp-content
La carpeta wp-content contiene los archi"os de tu theme! las imgenes que has subido y los plugins.
WordPress no accede a estos archi"os "2a )44P. Las 'nicas peticiones desde un eplorador ?eb
deber2an ser a archi"os de imgen! ja"ascript! css y ml.
Por esta ra(n debes restringir la carpeta <wp-content= para que solo se permitan "er esos archi"os y
ninguno ms.
5rea un archi"o en el *loc de 0otas! gurdalo como .htaccess! a1dele las siguientes l2neas y
s'belo a la carpeta wp-content de tu instalacin de WordPress3
01 Order den,4allow
02 Den, *ro! all
03 CDiles E F7Ap&pGloc)Gx!lGcssG6peHgGpngGgi*G6sB+FI
0 Allow *ro! all
0" C/DilesI
11. "lo?uea el acceso a la car$eta wp-admin
Puedes limitar el acceso a ciertas direcciones BP para que no puedan entrar a la carpeta ?p.admin!
ecepto las BPCs que tu quieras +Si no sabes la direccin BP de tu computador! esta pgina te puede
ser"ir3 What Bs /y BP , . Para esto debes crear un archi"o .htaccess en la carpeta wp-admin con las
siguientes l2neas3
D$ A#t&UserDile /deJ/n#ll
D# A#t&Kro#pDile /deJ/n#ll
DE A#t&:a!e FAccess @ontrolF
DE A#t&<,pe =asic
DF order den,4allow
DG den, *ro! all
DH # Direcci5n I? de !i @asa
DI allow *ro! 0070007000700
DJ #Direcci5n I? del <raba6o
DK allow *ro! 00700070007000
$D allow *ro! 00070007007000
$# # Direcci5n I? de la @asa de !i <La
$E allow *ro! 000700070700
Solo debes reempla(ar los +DDD.DDD.DDD.DDD, con las BPCs "erdaderas para permitir el acceso
mediante ellas.
1. Prote0e el arc'i(o wp-config.php
&l archi"o wp-config.php contiene toda la in%ormacin que WordPress necesita para acceder a tu
base de datos. Proteger este archi"o es muy importante.
Para esto! a1adimos las siguientes l2neas de cdigo al archi"o .htaccess de la carpeta ra2( del
ser"idor de WordPress3
01 C*iles wp-con*ig7p&pI
02 order allow4den,
03 den, *ro! all
0 C/*ilesI
&sto pre"endr que cualquier robot o persona pueda entrar directamente en este archi"o.
1+. Utiliza las cla(es secretas de autenticaci)n en wp-config.php
&stas cla"es secretas son usadas para que tu contrase1a sea ms di%2cil de adi"inar mediante la
%uer(a bruta. Simplemente "isita WordPress Ley Menerator y copia las J cla"es en las siguientes
l2neas del archi"o wp-config.php3
01 de*ineA/AU<M-N9O/4 /pon aP#L t# *rase aleatoria/B0 // @a!bia
esto por t# *rase aleatoria7
02 de*ineA/19@U89-AU<M-N9O/4 /pon aP#L t# *rase aleatoria/B0 //
@a!bia esto por t# *rase aleatoria7
03 de*ineA/>OKK9D-I:-N9O/4 /pon aP#L t# *rase aleatoria/B0 //
@a!bia esto por t# *rase aleatoria7
0 de*ineA/:O:@9-N9O/4 /pon aP#L t# *rase aleatoria/B0 // @a!bia
esto por t# *rase aleatoria7
0" de*ineA/AU<M-1A></4 /pon aP#L t# *rase aleatoria/B0 // @a!bia
esto por t# *rase aleatoria7
0$ de*ineA/19@U89-AU<M-1A></4 /pon aP#L t# *rase aleatoria/B0 //
@a!bia esto por t# *rase aleatoria7
0% de*ineA/>OKK9D-I:-1A></4 /pon aP#L t# *rase aleatoria/B0 //
@a!bia esto por t# *rase aleatoria7
0' de*ineA/:O:@9-1A></4 /pon aP#L t# *rase aleatoria/B0 // @a!bia
esto por t# *rase aleatoria7
1/. Mue(e el arc'i(o wp-config.php
-esde WordPress #.H se puede mo"er la ubicacin del archi"o ?p.con%ig.php de la carpeta ra2( de
la instalacin de WordPress. Simplemente mue"e tu archi"o ?p.con%ig.php a cualquier carpeta que
se encuentre en la carpeta ra2( de tu instalacin y WordPress automticamente buscar este archi"o
por todas las carpetas si no puede encontrarlo en la carpeta ra2(.
14. 2a*%ia el usuario 8admin: $or otro
)acer esto pondr mucho ms di%2cil entrar a tu blog a usuarios maliciosos. Solo debes ejecutar la
siguiente sentencia S@L en tu base de datos +0o ol"ides poner tu propio usuario donde dice <Tu
Nuevo Usuario<,3
01 U?DA<9 wp-#sers 19< #ser-login . /<# :#eJo Us#ario/ QM989
#ser-login . /ad!in/0
16. Prote0e tu %lo0 de in&ecciones de c)di0o
&l siguiente cdigo protege a tu blog de inyecciones de cdigo que modi%ican las "ariables
MLN*>LS y OP&@U&S4 de P)P. Pega esto en el archi"o .htaccess del ser"idor3
01 Options RDollow1,!>in)s
02 8ewrite9ngine On
03 8ewrite@ond STUU98O-1<8I:KV AWCGS3@B7*script7*AWIGS39B X:@4O8Y
0 8ewrite@ond STUU98O-1<8I:KV K>O=A>1A.GWXGWSX0-(A-ZYT042VB XO8Y
0$ 8ewrite@ond STUU98O-1<8I:KV -89UU91<A.GWXGWSX0-(A-ZYT042VB
0% 8ewrite8#le [A7*B+ index7p&p XD4>Y
17. @o *uestres la (ersi)n de tu WordPress
5uando muestras la "ersin que tienes de WordPress puedes darle in%ormacin a usuarios
maliciosos sobre si tu blog esta actuali(ado o no. Si es una "ersin antigua! ellos pueden utili(ar los
errores que tenga dicha "ersin y apoderarse de tu blog.
WordPress automticamente publica este dato en tu theme. La siguiente l2nea de cdigo le dice a
WordPress que no publique este dato! pgala en el archi"o functions.php de tu theme3
01 CHp&p re!oJe-actionA/wp-&ead/4 /wp-generator/B0 HI
1;. Ai*ita los intentos de in0reso al Panel de Ad*inistraci)n
> "eces el hacker cree que sabe nuestra contrase1a! o ha desarrollado un script para adi"inarla. &n
este caso necesitas limitar la cantidad de "eces que un usuario puede equi"ocarse al ingresar sus
datos de ingreso. Puedes hacer esto %cilmente con el plugin Login Lockdo?n! que bloquear a un
usuario por tanto tiempo si ha ingresado mal los datos despus de tantas "eces.
1<. Utiliza un in0reso se0uro
Los usuarios de WordPress que tienen el SSL +SSL es un protocolo criptogr%ico que blinda la
comunicacin entre redes, habilitado para su dominio! deber2an utili(ar este canal encriptado para
acceder al Panel de >dministracin.
Para esto solo debes poner el siguiente cdigo en el archi"o wp-config.php3
01 de*ineA/DO8@9-11>-AD;I:/4 tr#eB0
Pecuerda que no todos los hosting tienen habilitada la opcin de SSL! as2 que debes asegurarte
primero de tener habilitada esta opcin.
>. @o *uestres errores de in0reso
5uando ingresas un usuario o contrase1a incorrecta! sale un mensaje de error en la pgina de
ingreso. >s2 que si el hacker ingresa un dato correcto! el mensaje de error le ayudaQra a identi%icarlo.
entonces! es recomendable que elimines completamente ese mensaje de error.
Bngresa el siguiente cdigo en el archi"o functions.php de tu theme3
01 add-*ilterA/login-errors/4create-*#nctionA/+a/4 Fret#rn n#ll0FBB0
1. Eli*ina los $lu0ins innecesarios
Siempre aseg'rate de eliminar los plugins que no ests utili(ando pues pueden crear agujeros de
seguridad que pueden ser apro"echados %cilmente por usuarios maliciosos.
&spero que esta gu2a te haya sido de ayuda para mantener completamente segura tu instalacin de
WordPress.