Security Blog
Posted By Gregory

Cómo proteger WordPress eficazmente: una lista de cosas que debes hacer

English version: How to protect WordPress effectively: a must-do list


Una lista de cosas que debes hacer para obtener una protección duradera y de alta seguridad para tu sitio web.

Para aprovechar al máximo los algoritmos de seguridad de WP Cerber, debe configurar todos los ajustes a continuación. Tenga cuidado al configurarlos, ya que algunos ajustes podrían entrar en conflicto con otro plugin o con la configuración de su servidor web. En caso de cualquier problema, revise el registro de actividad para ver eventos relacionados, como solicitudes denegadas o direcciones IP bloqueadas. Tenga en cuenta que algunas de las funciones descritas a continuación solo están disponibles en la versión profesional .

1. Habilitar actualizaciones automáticas

Las actualizaciones periódicas de WP Cerber son cruciales para una seguridad robusta de WordPress, ya que mejoramos continuamente sus algoritmos, implementamos protección contra amenazas emergentes y corregimos errores de software. Puedes activarlas con un par de clics: Cómo activar las actualizaciones automáticas de WP Cerber .

2. Verifique la configuración principal

  1. Vaya a la página "Configuración principal"

  2. Establezca " Cargar motor de seguridad" en "Modo estándar"

  3. Configurar "URL de inicio de sesión personalizada"

  4. Establezca "Procesando solicitudes de autenticación de wp-login.php" en "Bloquear el acceso a wp-login.php" o, lo que es más avanzado, en "Denegar la autenticación a través de wp-login.php".

  5. Habilitar "Bloquear IP inmediatamente al intentar iniciar sesión con un nombre de usuario inexistente"

  6. Habilitar "Deshabilitar redirección del panel"

  7. Habilite opcionalmente "Bloquear IP inmediatamente después de cualquier solicitud a wp-login.php"

3. Active las políticas de seguridad en la pestaña Fortalecimiento

El conjunto mínimo de configuraciones que debes habilitar en la sección Endurecimiento de WordPress :

  1. "Detener la enumeración de usuarios"

  2. "Evitar el descubrimiento de nombres de usuario mediante oEmbed"

  3. "Evitar el descubrimiento de nombres de usuario mediante mapas de sitio XML de usuario"

  4. Bloquear el acceso a las páginas de los usuarios a través de sus nombres de usuario.

  5. Bloquear la ejecución de scripts PHP en la carpeta multimedia de WordPress

  6. "Deshabilitar la visualización de errores de PHP"

  7. "Deshabilitar XML-RPC"

Se recomienda habilitar las siguientes configuraciones en la sección Acceso a la API REST de WordPress :

  1. Detener la enumeración de usuarios / Bloquear el acceso a los datos de usuario mediante la API REST

  2. "Deshabilitar API REST"

  3. "Permitir API REST para usuarios registrados"

Leer más: Restringir el acceso a la API REST

4. Habilite el firewall de Traffic Inspector

  1. Establezca "Habilitar inspección de tráfico" en "Máxima seguridad"

  2. Establezca "Habilitar protección contra errores" en "Máxima seguridad".

5. Habilite los análisis programados de malware y la eliminación automática de malware

En la pestaña Configuración , se deben habilitar las siguientes configuraciones

  1. "Escanear directorio temporal"

  2. "Escanear directorio de sesiones"

En la pestaña Limpieza :

  1. Debes habilitar: "Eliminar archivos desatendidos", "Recuperar archivos de WordPress", "Recuperar archivos de plugins"

  2. Todas las casillas de verificación en la configuración de "Archivos en la carpeta de cargas" deben estar marcadas

6. Habilite la protección antispam incluso si cree que no la necesita

En la pestaña Motor antispam , le recomendamos habilitar las siguientes configuraciones:

  1. Formulario de comentarios (Proteger el formulario de comentarios con un motor de detección de bots)

  2. Formulario de registro (Proteger el formulario de registro con un motor de detección de bots)

  3. Otros formularios (Proteger todos los formularios del sitio web con un motor de detección de bots)

7. Utiliza reglas GEO: bloquea países con los que no vas a tener un acuerdo

En la página de administración de Reglas de seguridad , configure las políticas GEO para los países que pueden interactuar con su sitio web: enviar formularios, poder iniciar sesión o registrarse, etc. Estas configuraciones no impiden que los motores de búsqueda indexen el sitio web.

8. Cambie el nombre de la carpeta de complementos de WordPress

Cambiar el nombre de la carpeta de plugins es una de las maneras más subestimadas de reforzar la protección de WordPress. Y, sin embargo, es gratis y fácil.

Leer más: Cómo cambiar el nombre de la carpeta de complementos de WordPress

9. Habilitar la autenticación de dos factores

Para proteger las cuentas de usuario, active la autenticación de dos factores (2FA). Esta proporciona una capa adicional de seguridad que requiere un segundo factor de identificación, además del nombre de usuario y la contraseña.

Leer más: Cómo habilitar la autenticación de dos factores para WordPress

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.