Seguridad de WordPress: este wp-config.php protege su sitio web

Seguridad de WordPress: este wp-config.php protege su sitio web

La mayoría de la gente piensa que su sitio web de WordPress es seguro solo porque no tiene ningún contenido que valga la pena piratear. Desafortunadamente, eso no es verdad. Los sitios web a menudo son pirateados para distribuir correos electrónicos no deseados, por ejemplo. O los archivos principales y temáticos están llenos de código malicioso para infectar y piratear las computadoras de los visitantes de su sitio web. Es posible que solo notes el daño cuando Google ya te eliminó del índice. No permita que esto suceda y considere mis consejos para el wp-config.php perfecto.

Hay muchas maneras de proteger su sitio web basado en WordPress para que no sea pirateado. La optimización de la wp-config.php puede considerarse una parte importante de una estrategia de seguridad adecuada. Por supuesto, el sitio no se convertirá en el Banco de Inglaterra, pero lo ha hecho un poco más difícil para los piratas informáticos.

Para optimizar wp-config.php, se utilizan las llamadas constantes. WordPress tiene muchas constantes que se pueden emplear. Pero, ¿qué es una constante? PHP.net describe las constantes de la siguiente manera:

Una constante es un identificador (nombre) para un valor simple. Como sugiere el nombre, ese valor no puede cambiar durante la ejecución del script (excepto las constantes mágicas, que en realidad no son constantes). Una constante distingue entre mayúsculas y minúsculas de forma predeterminada. Por convención, los identificadores constantes siempre están en mayúsculas.

Las constantes están incrustadas en la función define() y se ven así: define('NAME_OF_THE_CONSTANT', value);

El wp-config.php es el archivo de control para WordPress. Se carga antes que todos los demás archivos porque WordPress necesita configurar una conexión de base de datos. La información requerida se encuentra en el archivo de configuración. Al cambiar el valor de una constante o agregar una constante, también cambia el comportamiento de WordPress.

Antes del trabajo: cree una copia de seguridad

Antes, editando el wp-config.php, crea Una copia de seguridad de este archivo. Su sitio web no funcionará con entradas incorrectas o faltantes.

Importante: actualice siempre WordPress y los complementos de inmediato

Probablemente ya hayas escuchado esto un par de veces. Pero este aspecto es tan importante que no puedo repetirlo lo suficiente. Toneladas de sitios web fueron pirateados porque WordPress o los complementos no estaban actualizados. ¡Las actualizaciones son el mejor seguro contra la piratería!

La situación actual de seguridad:

Los especialistas en seguridad Sucuri advierten actualmente sobre una brecha de seguridad en el popular complemento Jetpack para WordPress. El código malicioso se puede implementar a través de la función de inserción de shortcode. De hecho, Automattic reaccionará pronto y lanzará una nueva versión.

Cómo cerrar la brecha de seguridad por ahora:

Si sucede que estás usando mi archivo «óptimo .htaccess», usted no está en peligro. Ahí, el gran firewall 6G, que puede defenderse de este tipo de ataques.

La preparación:

Para todo el trabajo siguiente, necesitará un programa FTP, así como un editor de HTML. El wp-config.php se descarga en el escritorio, se edita dentro del editor de HTML y luego se vuelve a cargar en el servidor.

1 – Usa las llaves de seguridad

Las claves de seguridad en WordPress son críticas, ya que encriptan cosas como la información de inicio de sesión en las cookies, por ejemplo. Incluso cuando tu wp-config.php ya tiene claves de seguridad, cambiarlas no hace daño. Cuando se cambian las claves, todos los inicios de sesión pendientes de sus usuarios se cierran. Posteriormente, podrá iniciar sesión regularmente, utilizando su nombre de usuario y contraseña.

Sin embargo, si ya ha sido pirateado, primero debe eliminar el código malicioso de su sitio web. Una guía al respecto se puede encontrar en la información adicional sobre este aspecto. Luego, visite el Generador de WordPress para obtener claves de seguridad y copie un nuevo conjunto. Reemplace la parte vieja con las nuevas – ver captura de pantalla:

Las claves de seguridad en wp-config.php.

Si aún no ha implementado claves de seguridad, este es el momento adecuado para hacerlo.

Información adicional:

2 – Forzar el uso de HTTPS

Un certificado SSL cifra la conexión entre su sitio web y los navegadores de los visitantes. HTTPS hace que sea imposible que los piratas informáticos atrapen y roben datos personales. Si ya tiene un certificado SSL para su sitio web, puede forzar el uso de HTTPS en lugar de HTTP. Esto aumenta significativamente la seguridad de su sitio. Si aún no tiene un certificado SSL, debería considerar seriamente usar uno.

No debe temer los costos importantes, ya que SSL también está disponible de forma gratuita.

Las siguientes entradas deben usarse cuando su sitio web ya usa SSL. La entrada superior está destinada al inicio de sesión seguro, mientras que la inferior obliga al navegador a hacer que el área de administración de WordPress se pueda utilizar solo con SSL.

https://gist.github.com/anonymous/712f774fc40c460a7aedc45a6dead338

3 – Cambiar el prefijo de la base de datos

El prefijo de la base de datos también se conoce con la etiqueta «prefijo de tabla». Este prefijo se usa como una extensión de cada tabla de base de datos generada por WordPress. Aquí, el estándar es wp_. Este estándar debe cambiarse por otro. Cuanto más críptico, mejor. No te preocupes; no necesita recordar lo que ingresa aquí. Este valor solo se coloca una vez.

Pensándolo bien, la posibilidad de una inyección SQL no es muy probable. Pero es posible. Por lo tanto, modifique el valor antes de instalar WordPress. Usa algo como hdr7rf_, por ejemplo.

Atención: si cambia el valor de una instalación de WordPress ya existente, ¡ya no se podrá acceder al sitio web!

Si desea cambiar el prefijo de la tabla de un sitio web de WordPress existente, el complemento Acunetix WP Seguridad podría ayudarte Le permite cambiar el valor fácilmente, y todo lo que tiene que hacer después es volver a iniciar sesión. No obstante, aún debe crear una copia de seguridad de antemano.

4 – Desactivar el complemento y el editor de temas

En cada instalación de WordPress, es posible editar archivos de temas y complementos directamente dentro del área de administración. En los elementos de menú «Diseño» y «Complemento», encontrará el editor respectivo para cada archivo. Este editor es muy peligroso si llega a caer en manos de un hacker. Los datos se pueden destruir y se pueden agregar virus, troyanos, spam y otro malware. Pero el editor también es importante para el administrador de un sitio web. Un solo error, un solo punto y coma faltante es todo lo que se necesita para que aparezcan las infames páginas blancas, y ya nada funcionará.

Los cambios en los archivos de temas o complementos generalmente se realizan a través de (S)FTP, ya que es mucho más seguro. Por lo tanto, los editores deben desactivarse. Una sola línea en wp-config.php es suficiente para desactivar ambos editores de forma segura:

https://gist.github.com/anonymous/0ba02504a6a6c771058b34053ec10066

5 – Mueve el archivo wp-config.php

El wp-config.php es el corazón de su sitio web. Todos los datos relevantes, incluidas las contraseñas de la base de datos, se ingresan allí. Por eso es imperativo mantener este archivo lo más seguro posible. Hay dos enfoques para esto. El primero es un bloque de acceso a través de .htaccess-file. El segundo enfoque mueve el archivo a un lugar diferente, donde un hacker no esperaría que estuviera.

  • Moverlo puede ser problemático si el sitio web está en un subíndice y está utilizando un alojamiento compartido económico.
  • También puede volverse difícil si tiene muchos sitios web en directorios personalizados. Si ninguna de las constelaciones se aplica a usted, puede mover el archivo.

https://gist.github.com/anonymous/faec409f9e620c55f01ce7356b311fec

Si ha ajustado la ruta a wp-config.php correctamente, su sitio web debería funcionar después.

6 – Forzar el uso de FTPS

Si su servidor web ha activado el Protocolo seguro de transferencia de archivos (FTPS), puede forzar el uso de FTPS para la transferencia de archivos. Esto cifrará la conexión entre el visitante y su servidor. Ahora, es imposible acceder a los datos en el servidor con el protocolo FTP inseguro. FTP no es seguro, ya que la información de acceso se transfiere a su servidor sin cifrar. Por lo tanto, si es posible, utilice únicamente la conexión segura a través de FTPS. Su servidor web puede decirle si es posible una conexión FTPS.

Forzar el uso de FTPS es así de simple:

https://gist.github.com/anonymous/dee35fd75287505b9301e069d9eac832

7 – Forzar el uso de SFTP

En lugar del protocolo FTPS, algunos hosters han activado el protocolo SFTP para la transferencia de datos. Aquí, la conexión entre el programa FTP del usuario y el servidor también está encriptada. La siguiente línea de código le permite forzar el uso de SFTP:

https://gist.github.com/anonymous/3bc66a7c7c3abedeccb3805827be5e45

8 – Desactivar el Modo Depuración

Si ha activado el modo de depuración de WordPress con fines de desarrollo, es fundamental que lo vuelva a desactivar. En algunas circunstancias, un modo de depuración activado puede transmitir datos confidenciales que podrían ayudar a los piratas informáticos a hacer lo suyo. Es por eso que un modo de depuración activado es extremadamente peligroso en un sistema vivo. Ya he cometido este pequeño y tonto error; los humanos olvidan rápidamente las cosas. Es por eso que deberías echar un vistazo rápido, solo para comprobarlo. Así es como se desactiva el modo de depuración:

https://gist.github.com/anonymous/521df173573afc7da42cf73a94cba38e

9 – Desactivar la visualización de errores de PHP

Si por alguna razón necesita activar el modo de depuración, le recomiendo desactivar la visualización pública de mensajes de error. Los mensajes de error relevantes también se pueden escribir en un registro que no es accesible al público. Esta es la opción mucho más segura y elegante. Esta constante es necesaria para dejar activado el modo de error de WordPress y para suprimir la visualización pública de errores:

https://gist.github.com/anonymous/5b56f92bd64285d5e1d304e2ec864d19

10 – Activar actualizaciones automáticas

Como ya mencioné anteriormente, actualizar inmediatamente el núcleo de WordPress y todos los complementos es crucial para la seguridad del sistema. Con cada lanzamiento de una nueva versión de WordPress, las brechas de seguridad de sus predecesores se hacen públicas. Esto le da a un pirata informático una base sólida para poder piratear su sitio web. Por lo tanto, estas debilidades deben eliminarse lo más rápido posible.

Desde la versión 3.7 de WordPress, las actualizaciones de seguridad más pequeñas se realizan automáticamente. Sin embargo, este no es el caso de las versiones principales de las actualizaciones principales. Las versiones principales aún deben actualizarse manualmente. Sin embargo, activar las actualizaciones automáticas para todas las versiones de WP es muy fácil:

https://gist.github.com/anónimo/a40a17173a2f2ac1f28b12862f0f8ad5

Por cierto, también es posible hacer que los complementos se actualicen automáticamente. Sin embargo, eso está relacionado con un poco de trabajo. Requiere la creación de un plugin:

https://gist.github.com/anonymous/2c5829ebdacdb86935c5e056b56ea552

Este complemento tiene que ser movido a la carpeta /wp-content/mu-complementos/. Si la carpeta no existe, simplemente créela. La carpeta /mu-plugins/ contiene los complementos «imprescindibles». Su contenido es cargado por todos los demás complementos.

Las actualizaciones automáticas de temas se pueden hacer de la misma manera. Para eso, el complemento debe extenderse con la siguiente línea:

https://gist.github.com/anonymous/59e2fcf9aa5a73ea4188d4c7c110c57b

Infórmese sobre estos complementos automáticos con anticipación y solo use el código si sabe exactamente lo que hace. Por supuesto, los dos filtros solo pueden mantener actualizados los complementos y temas que se originan en el índice oficial de WordPress. Los temas y complementos de una fuente diferente no se actualizarán.

Información adicional:

Códice de WordPress: Debe usar complementos

Conclusión

Todos estos aspectos juntos ya aumentarán mucho la seguridad de su WordPress y deberían ser parte de una buena estrategia de seguridad. El hecho de que WordPress sea el sistema de administración de contenido más popular del mundo atrae a muchos piratas informáticos. La situación podría compararse con el sistema operativo de la computadora Windows. En Windows, instala un software antivirus y WordPress requiere un poco de trabajo manual. Pero la ganancia en seguridad definitivamente compensa el pequeño esfuerzo de trabajo.

(dpe)

#Seguridad #WordPress #este #wpconfigphp #protege #sitio #web

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *