Security Blog
Posted By Gregory

Cómo proteger WordPress de forma eficaz: una lista de tareas imprescindibles

English version: How to protect WordPress effectively: a must-do list


Una lista de tareas imprescindibles para conseguir una protección segura y duradera para tu sitio web.

Para aprovechar al máximo los algoritmos de seguridad de WP Cerber, configure todos los ajustes que se indican a continuación. Hágalo con atención, ya que algunos ajustes pueden entrar en conflicto con otros plugins o con la configuración de su servidor web. En caso de cualquier problema, consulte el registro de actividad para ver eventos relacionados, como solicitudes denegadas o direcciones IP bloqueadas. Tenga en cuenta que algunas de las funciones que se describen a continuación solo están disponibles en la versión profesional .

1. Habilitar actualizaciones automáticas

Las actualizaciones periódicas de WP Cerber son cruciales para una seguridad sólida de WordPress, ya que mejoramos continuamente sus algoritmos, implementamos protección contra amenazas emergentes y corregimos errores de software. Puedes activarlas en un par de clics: Cómo activar las actualizaciones automáticas de WP Cerber .

2. Comprobar la configuración principal

  1. Ve a la página de "Configuración principal".

  2. Configure " Cargar motor de seguridad" en "Modo estándar".

  3. Configurar "URL de inicio de sesión personalizada"

  4. Establezca "Procesar solicitudes de autenticación de wp-login.php" en "Bloquear el acceso a wp-login.php" o, lo que es más avanzado, en "Denegar la autenticación a través de wp-login.php".

  5. Habilitar "Bloquear inmediatamente la IP al intentar iniciar sesión con un nombre de usuario inexistente"

  6. Habilitar "Deshabilitar la redirección del panel de control"

  7. Opcionalmente, active la opción "Bloquear inmediatamente la IP después de cualquier solicitud a wp-login.php".

3. Active las políticas de seguridad en la pestaña Refuerzo.

El conjunto mínimo de ajustes que debe habilitar en la sección de Refuerzo de seguridad de WordPress :

  1. "Detener la enumeración de usuarios"

  2. "Evitar la detección de nombres de usuario a través de oEmbed"

  3. "Evitar la detección de nombres de usuario mediante mapas del sitio XML de usuario"

  4. "Bloquear el acceso a las páginas de usuario mediante sus nombres de usuario"

  5. "Bloquear la ejecución de scripts PHP en la carpeta de medios de WordPress"

  6. "Deshabilitar la visualización de errores de PHP"

  7. "Deshabilitar XML-RPC"

Se recomienda habilitar las siguientes configuraciones en la sección Acceso a la API REST de WordPress :

  1. "Detener la enumeración de usuarios / Bloquear el acceso a los datos de usuario a través de la API REST"

  2. "Deshabilitar la API REST"

  3. "Permitir la API REST para usuarios registrados"

Leer más: Restringir el acceso a la API REST

4. Habilitar el firewall Traffic Inspector

  1. Establezca "Habilitar inspección de tráfico" en "Máxima seguridad".

  2. Establezca "Habilitar protección contra errores" en "Máxima seguridad".

5. Habilitar los análisis programados de malware y la eliminación automática de malware.

En la pestaña Configuración , se deben habilitar las siguientes opciones.

  1. "Escanear directorio temporal"

  2. "Escanear directorio de sesión"

En la pestaña Limpieza :

  1. Debes habilitar: "Eliminar archivos no gestionados", "Recuperar archivos de WordPress", "Recuperar archivos de plugins".

  2. Todas las casillas de verificación en la configuración de "Archivos en la carpeta de cargas" deben estar marcadas.

6. Habilita la protección antispam aunque creas que no la necesitas.

En la pestaña del motor antispam , le recomendamos que habilite las siguientes configuraciones:

  1. "Formulario de comentarios (Proteja el formulario de comentarios con un motor de detección de bots)"

  2. "Formulario de registro (Proteja el formulario de registro con un motor de detección de bots)"

  3. "Otros formularios (Proteja todos los formularios del sitio web con un motor de detección de bots)"

7. Utilice reglas GEO: bloquee los países con los que no vaya a tener un acuerdo.

En la página de administración de Reglas de seguridad , configure las políticas geográficas para los países que tienen permitido interactuar con su sitio web: enviar formularios, iniciar sesión o registrarse, etc. Estas configuraciones no impiden que los motores de búsqueda indexen el sitio web.

8. Cambia el nombre de la carpeta de plugins de WordPress.

Cambiar el nombre de la carpeta de plugins es una de las maneras más subestimadas de reforzar la protección de WordPress. Y, además, es gratis y fácil.

Leer más: Cómo renombrar la carpeta de plugins de WordPress

9. Habilitar la autenticación de dos factores

Para proteger las cuentas de usuario, active la autenticación de dos factores (2FA). Esta proporciona una capa adicional de seguridad que requiere un segundo factor de identificación, además del nombre de usuario y la contraseña.

Leer más: Cómo habilitar la autenticación de dos factores para WordPress

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.