Durante la instalación de wordpress se nos pide datos como Table prefix que nos sugiere por defecto wp_, tenemos que cambiar las letras del prefijo con el fin de dificultar el acceso a nuestras tablas por Sql injection, cada tabla tiene un nombre delante y lo podemos cambiar ejemplo wp_user y podemos utilizar miweb_user.
Cambie el login por defecto admin. Cuando instala WordPress, el nombre de usuario por defecto siempre es admin. Recuerda que existen exploit y malware, que estos nombre y claves por defecto, así como combinaciones posibles, las tiene en sus bases de datos de ataques.
Instalar plugin que busquen vulnerabilidades en la web Instale el plugin WP Security Scan. Este tipo de plugin imprescindible. Analiza la web bajo WordPress en busca de problemas de seguridad y lo mejor de todo, ofrece soluciones para cualquier vulnerabilidad que encuentre.
Use archivos .htaccess para proteger el wp-admin y otros directorios. El archivo .htaccess está disponible en el directorio root de la web y si no esta deberemos crearlo para indicar que reglas queremos que se sigan.
En esta web www.cvedetails.com podemos acceder a un historial de las ultimas vulnerabilidades por software o por producto o vendedor.
Eliminar siempre los archivos readme.html que delata la versión de wordpress que utilizamos, también eliminar wp-trackback que informa a otras blog que nuestra web esta disponible para enlaces.
Otro plugin importante es Secure WordPress refuerza la seguridad de de WordPress, eliminando la información de errores en las páginas de inicio de sesión, añade index.html a los directorios del plugin, se esconde la versión de WordPress y mucho más.
Otro muy poderoso en combinación con los anteriores es Wordfence Security que incluye un firewall, análisis antivirus, teléfono móvil como inicio de sesión (autenticación de dos modos), análisis de enlaces maliciosos y tráfico en tiempo real incluyendo rastreadores. Wordfence es el único complemento de seguridad de WordPress que puede verificar y reparar los archivos core de wordpress, plantillas y plugin, incluso si no se tiene copias de seguridad.
Permite bloquear los países y asegura permanentemente el sitio web de ataques hacks de tipo fuerza bruta en lo formularios de login y de envio de email.
También desde el panel de control de tu servidor o hosting puedes bloquear el acceso al directorio wp-admin desde .htaccess,que se puede utilizar para proteger carpetas con contraseña (suponiendo que utilices un servidor web Apache). Mediante el panel de control de tu hosting, como puede ser cPanel o directadmin , o mediante algún plugin, puedes configurar esto de forma sencilla y activar un doble login, uno para entrar a la carpeta de administración y otro para entrar al propio WordPress.
Cada .htaccess afecta solo al directorio donde se encuentra, editamos el archivo .htaccess en el directorio wp-admin y escribimos
AuthName "Restricted Area"
AuthType Basic
AuthUserFile /var/www/midominio.com/.htpasswd
AuthGroupFile /dev/null
require valid-user
Luego creamos un archivo y escribimos los datos separados por :
usuario:clave
Esto hará que al intentar acceder al directorio wp-admin se nos pida primero un usuario y clave, para ejecutar esa web.
Cambie el login por defecto admin. Cuando instala WordPress, el nombre de usuario por defecto siempre es admin. Recuerda que existen exploit y malware, que estos nombre y claves por defecto, así como combinaciones posibles, las tiene en sus bases de datos de ataques.
Instalar plugin que busquen vulnerabilidades en la web Instale el plugin WP Security Scan. Este tipo de plugin imprescindible. Analiza la web bajo WordPress en busca de problemas de seguridad y lo mejor de todo, ofrece soluciones para cualquier vulnerabilidad que encuentre.
Use archivos .htaccess para proteger el wp-admin y otros directorios. El archivo .htaccess está disponible en el directorio root de la web y si no esta deberemos crearlo para indicar que reglas queremos que se sigan.
En esta web www.cvedetails.com podemos acceder a un historial de las ultimas vulnerabilidades por software o por producto o vendedor.
Eliminar siempre los archivos readme.html que delata la versión de wordpress que utilizamos, también eliminar wp-trackback que informa a otras blog que nuestra web esta disponible para enlaces.
Otro plugin importante es Secure WordPress refuerza la seguridad de de WordPress, eliminando la información de errores en las páginas de inicio de sesión, añade index.html a los directorios del plugin, se esconde la versión de WordPress y mucho más.
Otro muy poderoso en combinación con los anteriores es Wordfence Security que incluye un firewall, análisis antivirus, teléfono móvil como inicio de sesión (autenticación de dos modos), análisis de enlaces maliciosos y tráfico en tiempo real incluyendo rastreadores. Wordfence es el único complemento de seguridad de WordPress que puede verificar y reparar los archivos core de wordpress, plantillas y plugin, incluso si no se tiene copias de seguridad.
Permite bloquear los países y asegura permanentemente el sitio web de ataques hacks de tipo fuerza bruta en lo formularios de login y de envio de email.
También desde el panel de control de tu servidor o hosting puedes bloquear el acceso al directorio wp-admin desde .htaccess,que se puede utilizar para proteger carpetas con contraseña (suponiendo que utilices un servidor web Apache). Mediante el panel de control de tu hosting, como puede ser cPanel o directadmin , o mediante algún plugin, puedes configurar esto de forma sencilla y activar un doble login, uno para entrar a la carpeta de administración y otro para entrar al propio WordPress.
Cada .htaccess afecta solo al directorio donde se encuentra, editamos el archivo .htaccess en el directorio wp-admin y escribimos
AuthName "Restricted Area"
AuthType Basic
AuthUserFile /var/www/midominio.com/.htpasswd
AuthGroupFile /dev/null
require valid-user
Luego creamos un archivo y escribimos los datos separados por :
usuario:clave
Esto hará que al intentar acceder al directorio wp-admin se nos pida primero un usuario y clave, para ejecutar esa web.
