Cómo proteger WordPress de forma eficaz: una lista de cosas que debes hacer
English version: How to protect WordPress effectively: a must-do list
Una lista de cosas que debes hacer para obtener una protección duradera y de alta seguridad para tu sitio web.
Para aprovechar al máximo los algoritmos de seguridad de WP Cerber, debes configurar todos los ajustes a continuación. Haga esto con cuidado porque algunas configuraciones pueden entrar en conflicto con otro complemento o la configuración de su servidor web. En caso de cualquier problema, consulte el registro de actividad para ver eventos relacionados, como solicitudes denegadas o direcciones IP bloqueadas. Tenga en cuenta que algunas de las funciones que se describen a continuación están disponibles sólo en la versión profesional .
1. Habilite las actualizaciones automáticas
Las actualizaciones periódicas de WP Cerber son cruciales para una sólida seguridad de WordPress, ya que mejoramos continuamente sus algoritmos, implementamos protección contra amenazas emergentes y solucionamos errores de software. Puedes habilitarlas con un par de clics: Cómo habilitar las actualizaciones automáticas para WP Cerber .
2. Verifique la configuración principal
- Vaya a la página "Configuración principal"
- Establezca " Cargar motor de seguridad" en "Modo estándar"
- Configurar "URL de inicio de sesión personalizada"
- Configure "Procesando solicitudes de autenticación de wp-login.php" en "Bloquear el acceso a wp-login.php" o, lo que es más avanzado, en "Denegar autenticación a través de wp-login.php".
- Habilite "Bloquear IP inmediatamente al intentar iniciar sesión con un nombre de usuario no existente"
- Habilite "Deshabilitar la redirección del panel"
- Opcionalmente habilite "Bloquear IP inmediatamente después de cualquier solicitud a wp-login.php"
3. Active las políticas de seguridad en la pestaña Reforzamiento.
El conjunto mínimo de configuraciones que debe habilitar en la sección Fortalecimiento de WordPress :
- "Detener enumeración de usuarios"
- "Evitar que se descubra el nombre de usuario mediante oEmbed"
- "Evitar el descubrimiento de nombres de usuario a través de mapas de sitio XML del usuario"
- "Bloquear el acceso a las páginas de los usuarios a través de sus nombres de usuario"
- "Bloquear la ejecución de scripts PHP en la carpeta multimedia de WordPress"
- "Deshabilitar la visualización de errores de PHP"
- "Desactivar XML-RPC"
Se recomienda habilitar las siguientes configuraciones en la sección Acceso a la API REST de WordPress :
- "Detener la enumeración de usuarios/Bloquear el acceso a los datos del usuario a través de la API REST"
- "Deshabilitar API REST"
- "Permitir API REST para usuarios registrados"
Leer más: Restringir el acceso a la API REST
4. Habilite el firewall del Inspector de tráfico
- Establezca "Habilitar inspección de tráfico" en "Máxima seguridad"
- Establezca "Habilitar protección contra errores" en "Máxima seguridad"
5. Habilite los análisis de malware programados y la eliminación automática de malware.
En la pestaña Configuración , se deben habilitar las siguientes configuraciones
- "Escanear directorio temporal"
- "Escanear directorio de sesiones"
En la pestaña Limpieza :
- Tienes que habilitar: "Eliminar archivos desatendidos", "Recuperar archivos de WordPress", "Recuperar archivos de complementos"
- Todas las casillas de verificación en la configuración "Archivos en la carpeta de carga" deben estar marcadas.
6. Habilite la protección antispam incluso si cree que no la necesita
En la pestaña Motor antispam , le recomendamos habilitar las siguientes configuraciones:
- "Formulario de comentarios (Proteger formulario de comentarios con motor de detección de bots)"
- "Formulario de registro (Proteger formulario de registro con motor de detección de bots)"
- "Otros formularios (Proteger todos los formularios del sitio web con un motor de detección de bots)"
7. Usa reglas GEO: bloquea países con los que no vas a tener un trato
En la página de administración de Reglas de seguridad , configure las políticas GEO para los países a los que se les permite interactuar con su sitio web: enviar formularios, poder iniciar sesión o registrarse, etc. Estas configuraciones no impiden que los motores de búsqueda indexen el sitio web.
8. Cambie el nombre de la carpeta de complementos de WordPress.
Cambiar el nombre de la carpeta de complementos es una de las formas más subestimadas de fortalecer la protección de WordPress. Y, sin embargo, es gratis y fácil.
Leer más: Cómo cambiar el nombre de la carpeta de complementos de WordPress
9. Habilite la autenticación de dos factores
Para proteger las cuentas de usuario, habilite la autenticación de dos factores (2FA). Proporciona una capa adicional de seguridad que requiere un segundo factor de identificación más allá del nombre de usuario y la contraseña.
Leer más: Cómo habilitar la autenticación de dos factores para WordPress