Security Blog
Posted By Gregory

Cómo proteger con eficacia WordPress: una obligada lista


English version: How to protect WordPress effectively: a must-do list


Una lista obligada que proporciona alta seguridad y protección duradera para su sitio web.

Queremos que aproveche al máximo nuestros algoritmos de seguridad. Por eso le recomendamos que configure todos los ajustes a continuación. Haga esto cuidadosamente porque algunas configuraciones pueden entrar en conflicto con otro complemento o la configuración de su servidor web. En caso de que surja algún problema, consulte el registro de actividades para ver si hay eventos relacionados, como solicitudes denegadas o direcciones IP bloqueadas.

1. Compruebe la configuración principal

  1. Configure " Cargar motor de seguridad" en "Modo estándar"
  2. Configure "URL de inicio de sesión personalizada" y active "Deshabilitar wp-login.php"
  3. Habilitar "Bloquear inmediatamente la IP al intentar iniciar sesión con un nombre de usuario que no existe"
  4. Habilitar "Deshabilitar redirección de panel de control"
  5. Habilite "Bloquear IP inmediatamente después de cualquier solicitud a wp-login.php"

2. Active las políticas de seguridad en la pestaña Hardening.

El conjunto mínimo de configuraciones que debe habilitar en la sección de Hardening WordPress :

  1. "Detener enumeración de usuarios"
  2. "Bloquear la ejecución de scripts PHP en la carpeta de medios de WordPress"
  3. "Deshabilitar XML-RPC"
  4. "Deshabilitar la visualización de error PHP"

Se recomienda habilitar las siguientes configuraciones en la sección de la API REST de Access to WordPress :

  1. "Detener la enumeración de usuarios / Bloquear el acceso a los datos del usuario a través de la API REST"
  2. "Deshabilitar la API REST"
  3. "Permitir API REST para usuarios registrados"

Leer más: restringir el acceso a la API REST

3. Habilitar la configuración del firewall del inspector de tráfico

  1. Establezca "Habilitar inspección de tráfico" en "Seguridad máxima"
  2. Establezca "Habilitar protección contra errores" en "Máxima seguridad"

4. Habilitar las exploraciones de malware programadas y la eliminación automática de malware

En la pestaña Configuración , se deben habilitar las siguientes configuraciones

  1. "Escanear directorio temporal"
  2. "Escanear directorio de sesión"

En la pestaña Limpieza :

  1. La configuración de "Archivos desatendidos" debe estar habilitada
  2. Todas las casillas de verificación en la configuración de "Archivos en la carpeta de cargas" están marcadas

5. Habilite la protección antispam incluso si cree que no la necesita

En la pestaña del motor de Antispam , se recomienda habilitar las siguientes configuraciones:

  1. "Formulario de comentarios (Proteger formulario de comentarios con motor de detección de bot)"
  2. "Formulario de registro (Proteger formulario de registro con motor de detección de bot)"
  3. "Otras formas (Proteja todas las formas en el sitio web con el motor de detección de bot)"

6. Use las reglas de GEO: bloquee países con los que no va a tener un acuerdo

En la página de administración de Reglas de seguridad , configure las políticas de GEO para los países que tienen permitido interactuar con su sitio web: enviar formularios, poder iniciar sesión o registrarse, etc. Esta configuración no impide que los motores de búsqueda indexen el sitio web.

7. Renombrar la carpeta de complementos.

Cambiar el nombre de la carpeta de complementos es una de las formas más subestimadas que fortalecen la protección de WordPress. Y sin embargo es gratis y fácil.

Leer más: Cómo cambiar el nombre de la carpeta de complementos de WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.