3. 20 CLAVES PARA
BLINDAR WORDPRESS
@fernandot
AyudaWP.com
#desayunoSiteGround
@SiteGround_ES
4. 1. CAMBIA EL USUARIO “ADMIN”
➤ Durante años WordPress se ha instalado con el usuario
“admin” como principal. Si encuentras una instalación así
crea otro y borra el anterior (asigna el contenido al nuevo,
claro)
#desayunoSiteGround
5. 1. CAMBIA EL USUARIO “ADMIN”
➤ Solución SiteGround: Se ha modificado el auto-instalador
para que se genere el primer usuario aleatoriamente, y nunca
sea “admin”
#desayunoSiteGround
6. 2. USA CONTRASEÑAS SEGURAS
➤ Desde el momento de la instalación de WordPress debes elegir la contraseña de administrador.
WordPress te ofrece una contraseña segura tanto en la instalación como en cambios y creación de
usuarios : ÚSALA
➤ REGLA: Utiliza mayúsculas, minúsculas, números y símbolos - CÁMBIALA CON REGULARIDAD
#desayunoSiteGround
7. 2. USA CONTRASEÑAS SEGURAS
➤ Solución SiteGround: En el auto-instalador de SiteGround se
generan contraseñas seguras y, al contrario que en el de
WordPress, no deja usar una insegura
#desayunoSiteGround
8. 2. USA CONTRASEÑAS SEGURAS
➤ Solución SiteGround: En el auto-instalador de SiteGround se
generan contraseñas seguras y, al contrario que en el de
WordPress, no deja usar una insegura
#desayunoSiteGround
9. 2. USA CONTRASEÑAS SEGURAS
➤ Solución SiteGround: En el auto-instalador de SiteGround se
generan contraseñas seguras y, al contrario que en el de
WordPress, no deja usar una insegura
#desayunoSiteGround
10. 2. USA CONTRASEÑAS SEGURAS
➤ Solución SiteGround: En las herramientas WordPress de
SiteGround puedes reiniciar la contraseña de administrador si
no puedes acceder o crees que pueda estar comprometida
#desayunoSiteGround
11. 3. NO USES WP_ COMO PREFIJO DE TABLAS
➤ Por defecto, WordPress ofrece wp_ como prefijo de tabla.
CÁMBIALO A CUALQUIER OTRO
#desayunoSiteGround
12. 3. NO USES WP_ COMO PREFIJO DE TABLAS
➤ Por defecto, WordPress ofrece wp_ como prefijo de tabla.
CÁMBIALO A CUALQUIER OTRO
#desayunoSiteGround
13. 3. NO USES WP_ COMO PREFIJO DE TABLAS
➤ Solución SiteGround: En el auto-instalador de SiteGround se
generan automáticamente prefijos aleatorios de tabla para la
base de datos.
#desayunoSiteGround
14. 4. PERMISOS DE ARCHIVOS Y CARPETAS
➤ Los archivos y carpeta de WordPress deben tener los permisos
correctos para protegerlos de escritura.
➤ REGLA: Archivos (644) - Carpetas (755)
➤ TRUCO: Cambiar permisos wp-config.php y .htaccess a 444
#desayunoSiteGround
15. 4. PERMISOS DE ARCHIVOS Y CARPETAS
➤ Los archivos y carpeta de WordPress deben tener los permisos
correctos para protegerlos de escritura.
➤ REGLA: Archivos (644) - Carpetas (755)
➤ TRUCO: Cambiar permisos wp-config.php y .htaccess a 444
#desayunoSiteGround
16. 4. PERMISOS DE ARCHIVOS Y CARPETAS
➤ Solución SiteGround: Herramienta WordPress de
recuperación recursiva de permisos correctos de archivos y
carpetas.
➤ Solución SiteGround: Aislamiento de cuentas en entorno
chrooted para evitar ejecución y escritura de “otros”
#desayunoSiteGround
17. 4. PERMISOS DE ARCHIVOS Y CARPETAS
➤ Solución SiteGround: Herramienta WordPress de
recuperación recursiva de permisos correctos de archivos y
carpetas.
➤ Solución SiteGround: Aislamiento de cuentas en entorno
chrooted para evitar ejecución y escritura de “otros”
#desayunoSiteGround
18. 4. PERMISOS DE ARCHIVOS Y CARPETAS
➤ Solución SiteGround: Herramienta WordPress de
recuperación recursiva de permisos correctos de archivos y
carpetas.
➤ Solución SiteGround: Aislamiento de cuentas en entorno
chrooted para evitar ejecución y escritura de “otros”
#desayunoSiteGround
19. 5. PROTEGE WP-CONFIG.PHP
➤ Es vital proteger el archivo de configuración de WordPress al
contener información de conexión a base de datos.
➤ TRUCO: Moverlo al directorio superior
➤ TRUCO: Protegerlo desde .htaccess
#desayunoSiteGround
20. 5. PROTEGE WP-CONFIG.PHP
➤ Es vital proteger el archivo de configuración de WordPress al
contener información de conexión a base de datos.
➤ TRUCO: Moverlo al directorio superior
➤ TRUCO: Protegerlo desde .htaccess
#desayunoSiteGround
21. 5. PROTEGE WP-CONFIG.PHP
➤ Es vital proteger el archivo de configuración de WordPress al
contener información de conexión a base de datos.
➤ TRUCO: Moverlo al directorio superior
➤ TRUCO: Protegerlo desde .htaccess
<Files wp-config.php>
order allow,deny
deny from all
</Files>
#desayunoSiteGround
22. 5. PROTEGE WP-CONFIG.PHP
➤ Solución SiteGround: Aislamiento de cuentas en entorno
chrooted que impide la escritura y ejecución en archivos y
carpetas
#desayunoSiteGround
23. 6. PROTEGE EL ACCESO A WP-ADMIN
➤ Protege el acceso a wp-admin y la pantalla de acceso
desde .htaccess
➤ NOTA: Cambia x.x.x.x a tu IP pública
<FilesMatch "(wp-login).php">
deny from all
allow from X.X.X.X
</FilesMatch>
#desayunoSiteGround
24. 6. PROTEGE EL ACCESO A WP-ADMIN
➤ Solución SiteGround: En la herramienta WordPress de
SiteGround “Secure Admin Panel” puedes limitar el acceso
por IP de manera sencilla y sin modificar archivos
manualmente
#desayunoSiteGround
25. 6. PROTEGE EL ACCESO A WP-ADMIN
➤ Solución SiteGround: El auto-instalador WordPress en
SiteGround permite por defecto instalar el plugin Limit Login
Attempts, para frenar los ataques de fuerza bruta a la pantalla
de acceso.
#desayunoSiteGround
26. 6. PROTEGE EL ACCESO A WP-ADMIN
➤ Solución SiteGround: El auto-instalador WordPress en
SiteGround permite por defecto instalar el plugin Limit Login
Attempts, para frenar los ataques de fuerza bruta a la pantalla
de acceso.
#desayunoSiteGround
27. 6. PROTEGE EL ACCESO A WP-ADMIN
➤ Solución SiteGround: El auto-instalador WordPress en
SiteGround permite por defecto instalar el plugin Limit Login
Attempts, para frenar los ataques de fuerza bruta a la pantalla
de acceso.
#desayunoSiteGround
28. 6. PROTEGE EL ACCESO A WP-ADMIN
➤ Solución SiteGround: El auto-instalador WordPress en
SiteGround permite por defecto instalar un sustituto de
usuario/contraseña por una solución de acceso móvil.
➤ NOTA: Los plugins preinstalados por SiteGround se pueden
inactivar y borrar como cualquier otro de WordPress
#desayunoSiteGround
29. 7. USA UN CAPTCHA
➤ Añade un CAPTCHA en las pantallas de acceso y registro para frenar
los ataques de fuerza bruta (80% según estadísticas de SiteGround)
➤ PLUGIN RECOMENDADO: No CAPTCHA reCAPTCHA
#desayunoSiteGround
30. 8. UTILIZA SIEMPRE SFTP
➤ Las conexiones FTP no son seguras y debe usarse siempre que
sea posible SFTP
#desayunoSiteGround
31. 8. UTILIZA SIEMPRE SFTP
➤ Solución SiteGround: Servicio incluido SSH para crear el par
de claves
#desayunoSiteGround
32. 8. UTILIZA SIEMPRE SFTP
➤ Solución SiteGround: Servicio incluido SSH para crear el par
de claves
#desayunoSiteGround
33. 8. UTILIZA SIEMPRE SFTP
➤ Solución SiteGround: Servicio incluido SSH para crear el par
de claves
#desayunoSiteGround
34. 8. UTILIZA SIEMPRE SFTP
➤ Solución SiteGround: Servicio incluido SSH para crear el par
de claves
#desayunoSiteGround
35. 8. UTILIZA SIEMPRE SFTP
➤ Solución SiteGround: Servicio incluido SSH para crear el par
de claves
#desayunoSiteGround
36. 9. PROTEGER CARPETAS CON CONTRASEÑA
➤ Podemos proteger carpetas mediante contraseña creando un
fichero .htpasswd generado y añadiendo la protección al fichero
.htaccess
AuthType basic
AuthName "Este directorio está protegido"
AuthUserFile /home/ruta/.htpasswd
AuthGroupFile /dev/null
Require valid-user
#desayunoSiteGround
37. 9. PROTEGER CARPETAS CON CONTRASEÑA
➤ Solución SiteGround: Solución incluida en cPanel de
protección sencilla de carpetas mediante contraseña en pocos
clics.
#desayunoSiteGround
38. 10. ANULA LA VULNERABILIDAD XML-RPC
➤ WordPress arrastra una vulnerabilidad a través del protocolo
XML-RPC que puede permitir inyecciones de código. Se
puede desactivar el protocolo en wp-config.php
➤ … y desde .htaccess
add_filter('xmlrpc_enabled', '__return_false');
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
#desayunoSiteGround
39. 10. ANULA LA VULNERABILIDAD XML-RPC
➤ Solución SiteGround: A través del WAF (Web Application
Firewall) integrado aplica reglas mod_security por defecto para
evitarlo.
#desayunoSiteGround
40. 11. SI NO LO USAS BÓRRALO
➤ En WordPress es común instalar muchos plugins y temas para probarlos,
pero tenerlos instalados aunque no estén activos es fuente de posibles
ataques que aprovechen vulnerabilidades no solucionadas. Si no lo usas
bórralo
➤ TRUCO: WordPress instala 3 temas por defecto, borra los que no uses
salvo uno, que se activará en caso de problemas con el tema activo
#desayunoSiteGround
41. 12. ACTUALIZA, ACTUALIZA, ACTUALIZA
➤ Mantén actualizado WordPress, plugins y temas a la última versión
desde el actualizado automático integrado.
➤ TRUCO: WordPress actualiza en segundo plano las versiones
menores pero puedes activar también el resto desde wp-config.php
#desayunoSiteGround
42. 11. ACTUALIZA, ACTUALIZA, ACTUALIZA
➤ TRUCO: Activar actualizaciones mayores y de desarrollo en segundo plano
desde wp-config.php
➤ TRUCO: Activar actualizaciones en segundo plano de plugins mediante
filtros
➤ TRUCO: Activar actualizaciones en segundo plano de temas mediante filtros
define( 'WP_AUTO_UPDATE_CORE', true );
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );
#desayunoSiteGround
43. 11. ACTUALIZA, ACTUALIZA, ACTUALIZA
➤ Solución SiteGround: Herramienta WP Auto Update para
activar actualizaciones completas en segundo plano, también
de plugins (Nota: SiteGround hace backup justo antes de
actualizar)
#desayunoSiteGround
44. 11. ACTUALIZA, ACTUALIZA, ACTUALIZA
➤ Solución SiteGround: Herramienta WP Auto Update para
activar actualizaciones completas en segundo plano, también
de plugins (Nota: SiteGround hace backup justo antes de
actualizar)
#desayunoSiteGround
45. 12. BACKUPS
➤ Da igual las medidas que apliquemos, siempre deberíamos tener
una copia de seguridad de respaldo en caso de desastre
➤ TRUCO: Usa plugins de tareas de backup como backWPup
#desayunoSiteGround
46. 12. BACKUPS
➤ Solución SiteGround: Guarda 30 copias de seguridad diarias
que puedes restaurar en cualquier momento
#desayunoSiteGround
47. 13. VERSIONES PHP
➤ Solución SiteGround: Herramienta para elegir y cambiar para cada
instalación de WordPress la versión de PHP
➤ NOTA: Usa siempre la última versión estable y segura compatible
con tus aplicaciones
#desayunoSiteGround
48. 14. WAF INTEGRADO
➤ Solución SiteGround: Además de reglas mod_security por
defecto, incluye CloudFlare gratuito en cada cuenta el cual
contiene ajustes de seguridad incluidos:
✓ 5 niveles de seguridad desde offline a “me están atacando”
✓ Ofuscación de emails
✓ Siempre online
#desayunoSiteGround
49. 14. WAF INTEGRADO
➤ Solución SiteGround: Además de reglas mod_security por
defecto, incluye CloudFlare gratuito en cada cuenta el cual
contiene ajustes de seguridad incluidos:
✓ 5 niveles de seguridad desde offline a “me están atacando”
✓ Ofuscación de emails
✓ Siempre online
#desayunoSiteGround
50. 15. MOD_SECURITY
➤ Soluciones SiteGround
➡ Cuando se detecta cualquier vulnerabilidad se aplican
nuevas reglas de escritura en mod_security sin esperar a que
los desarrolladores emitan un parche que la soluciones.
➡ Búsqueda activa y permanente de patrones de hackeo y
aplicación de nuevas reglas para mod_security cuando se
detecta alguno.
➡ Si un desarrollador decide usar mod_security para escribir
sus propias reglas deben mantenerse actualizadas.
#desayunoSiteGround
51. 16. SOFTWARE DE SERVIDOR ACTUALIZADO
➤ Solución SiteGround: Siempre se instalan y ejecutan
versiones estables y seguras de Apache y PHP, configuradas
con la estabilidad y la seguridad como objetivo.
➤ NOTA: Los symlinks incorrectos pueden generar exploits
#desayunoSiteGround
52. 17. ACCESO RESTRINGIDO A SSH
➤ Solución SiteGround: Los planes de hosting de SiteGround
no permiten accesos root a SSH. El acceso shell SSH está
restringido a tu cuenta de usuario para evitar accesos remotos
potencialmente peligrosos.
#desayunoSiteGround
53. 18. PROTECCIÓN CONTRA MALWARE
➤ Solución SiteGround: En los servidores de SiteGround se
utiliza el servicio de detección de Sucuri para identificar las
infecciones del malware en su primera etapa, antes de que se
activen los exploits
#desayunoSiteGround
54. 19. MONITORIZACIÓN DE SERVIDORES
➤ Soluciones SiteGround:
➡ Para protección ante ataques DDOS SiteGround utiliza
herramientas especiales de protección de hardware en sus
servidores, revisiones periódicas de IPs y, en caso de
detección, se detienen los ataques.
➡ Para protección ante ataques de fuerza bruta SiteGround
utiliza un potente sistema de prevención de intrusiones
denominado 1H Hawk, que identifica si alguien está
tratando de realizar un ataque de este tipo sobre cualquiera
de tus contraseñas (FTP, email, etc.) y desactiva el acceso
de las IPs atacantes en tiempo real.
#desayunoSiteGround
55. 19. MONITORIZACIÓN DE SERVIDORES
➤ Solución SiteGround: Desde tu panel de SiteGround tienes
la herramienta gratuita de denegación de IPs para denegar
acceso a cualquier IP atacante o sospechosa
#desayunoSiteGround
56. 20. AISLAMIENTO DE CUENTAS Y PROCESOS
➤ Solución SiteGround: Si gestionas múltiples sitios, propios o
de clientes, puedes aislar los sitios utilizando procesos chroot
ya que SiteGround usa aislamiento chroot. SiteGround
también puede aislar aplicaciones web completas de otras.
#desayunoSiteGround