Cómo proteger WordPress de manera efectiva: una lista de cosas que debes hacer
English version: How to protect WordPress effectively: a must-do list
Una lista de cosas que debe hacer para obtener una protección duradera y de alta seguridad para su sitio web.
Para aprovechar al máximo los algoritmos de seguridad de Cerber, debe configurar todos los ajustes a continuación. Haga esto cuidadosamente porque algunas configuraciones pueden entrar en conflicto con otro complemento o con la configuración de su servidor web. En caso de cualquier problema, verifique el registro de actividad para eventos relacionados, como solicitudes denegadas o direcciones IP bloqueadas. Tenga en cuenta que algunas de las funciones descritas a continuación están disponibles solo en la versión profesional .
1. Verifique la configuración principal
- Establezca " Cargar motor de seguridad" en "Modo estándar"
- Configure "URL de inicio de sesión personalizado" y active "Deshabilitar wp-login.php"
- Habilite "Bloquear IP inmediatamente cuando intente iniciar sesión con un nombre de usuario inexistente"
- Habilitar "Deshabilitar la redirección del tablero"
- Habilite "Bloquear IP inmediatamente después de cualquier solicitud a wp-login.php"
2. Active las políticas de seguridad en la pestaña de Endurecimiento
El conjunto mínimo de configuraciones que debe habilitar en la sección Fortalecimiento de WordPress :
- "Detener la enumeración de usuarios"
- "Bloquear la ejecución de scripts PHP en la carpeta multimedia de WordPress"
- "Deshabilitar XML-RPC"
- "Deshabilitar la visualización de errores de PHP"
Se recomienda habilitar las siguientes configuraciones en la sección Acceso a la API REST de WordPress :
- "Detener la enumeración de usuarios/Bloquear el acceso a los datos del usuario a través de la API REST"
- "Deshabilitar API REST"
- "Permitir API REST para usuarios registrados"
Leer más: Restringir el acceso a la API REST
3. Habilite la configuración del firewall del inspector de tráfico
- Establezca "Habilitar inspección de tráfico" en "Máxima seguridad"
- Establezca "Habilitar protección contra errores" en "Seguridad máxima"
4. Habilite los análisis de malware programados y la eliminación automática de malware
En la pestaña Configuración , las siguientes configuraciones deben estar habilitadas
- "Escanear directorio temporal"
- "Escanear directorio de sesión"
En la pestaña Limpieza :
- Debe habilitar: "Eliminar archivos desatendidos", "Recuperar archivos de WordPress", "Recuperar archivos de complementos"
- Todas las casillas de verificación en la configuración "Archivos en la carpeta de carga" deben estar marcadas
5. Habilite la protección antispam incluso si cree que no la necesita
En la pestaña del motor Antispam , le recomendamos que habilite las siguientes configuraciones:
- "Formulario de comentarios (proteger el formulario de comentarios con el motor de detección de bots)"
- "Formulario de registro (Proteger formulario de registro con motor de detección de bots)"
- "Otros formularios (Proteja todos los formularios en el sitio web con un motor de detección de bots)"
6. Usa reglas GEO: bloquea países con los que no vas a tener un trato
En la página de administración de Reglas de seguridad , configure las políticas GEO para los países que pueden interactuar con su sitio web: enviar formularios, poder iniciar sesión o registrarse, etc. Estas configuraciones no impiden que los motores de búsqueda indexen el sitio web.
7. Cambie el nombre de la carpeta de complementos
Cambiar el nombre de la carpeta de complementos es una de las formas más subestimadas de fortalecer la protección de WordPress. Y, sin embargo, es gratis y fácil.
Leer más: Cómo cambiar el nombre de la carpeta de complementos de WordPress
8. Habilite la autenticación de dos factores
Para proteger las cuentas de los usuarios, habilite la autenticación de dos factores. Proporciona una capa adicional de seguridad que requiere un segundo factor de identificación más allá de un nombre de usuario y una contraseña.
Leer más: Cómo habilitar la autenticación de dos factores para WordPress