Embed Size (px)
Citation preview
20 CLAVES PARA BLINDAR WORDPRESS
@fernandot
AyudaWP.com
#desayunoSiteGround @SiteGround_ES
1. CAMBIA EL USUARIO “ADMIN”
➤ Durante años WordPress se ha instalado con el usuario “admin” como principal. Si encuentras una instalación así crea otro y borra el anterior (asigna el contenido al nuevo, claro)
#desayunoSiteGround
1. CAMBIA EL USUARIO “ADMIN”
➤ Solución SiteGround: Se ha modificado el auto-instalador para que se genere el primer usuario aleatoriamente, y nunca sea “admin”
#desayunoSiteGround
2. USA CONTRASEÑAS SEGURAS➤ Desde el momento de la instalación de WordPress debes elegir la contraseña de administrador.
WordPress te ofrece una contraseña segura tanto en la instalación como en cambios y creación de usuarios : ÚSALA
➤ REGLA: Utiliza mayúsculas, minúsculas, números y símbolos - CÁMBIALA CON REGULARIDAD
#desayunoSiteGround
2. USA CONTRASEÑAS SEGURAS
➤ Solución SiteGround: En el auto-instalador de SiteGround se generan contraseñas seguras y, al contrario que en el de WordPress, no deja usar una insegura
#desayunoSiteGround
2. USA CONTRASEÑAS SEGURAS
➤ Solución SiteGround: En el auto-instalador de SiteGround se generan contraseñas seguras y, al contrario que en el de WordPress, no deja usar una insegura
#desayunoSiteGround
2. USA CONTRASEÑAS SEGURAS
➤ Solución SiteGround: En el auto-instalador de SiteGround se generan contraseñas seguras y, al contrario que en el de WordPress, no deja usar una insegura
#desayunoSiteGround
2. USA CONTRASEÑAS SEGURAS
➤ Solución SiteGround: En las herramientas WordPress de SiteGround puedes reiniciar la contraseña de administrador si no puedes acceder o crees que pueda estar comprometida
#desayunoSiteGround
3. NO USES WP_ COMO PREFIJO DE TABLAS
➤ Por defecto, WordPress ofrece wp_ como prefijo de tabla. CÁMBIALO A CUALQUIER OTRO
#desayunoSiteGround
3. NO USES WP_ COMO PREFIJO DE TABLAS
➤ Por defecto, WordPress ofrece wp_ como prefijo de tabla. CÁMBIALO A CUALQUIER OTRO
#desayunoSiteGround
3. NO USES WP_ COMO PREFIJO DE TABLAS
➤ Solución SiteGround: En el auto-instalador de SiteGround se generan automáticamente prefijos aleatorios de tabla para la base de datos.
#desayunoSiteGround
4. PERMISOS DE ARCHIVOS Y CARPETAS
➤ Los archivos y carpeta de WordPress deben tener los permisos correctos para protegerlos de escritura.
➤ REGLA: Archivos (644) - Carpetas (755)
➤ TRUCO: Cambiar permisos wp-config.php y .htaccess a 444
#desayunoSiteGround
4. PERMISOS DE ARCHIVOS Y CARPETAS
➤ Los archivos y carpeta de WordPress deben tener los permisos correctos para protegerlos de escritura.
➤ REGLA: Archivos (644) - Carpetas (755)
➤ TRUCO: Cambiar permisos wp-config.php y .htaccess a 444
#desayunoSiteGround
4. PERMISOS DE ARCHIVOS Y CARPETAS
➤ Solución SiteGround: Herramienta WordPress de recuperación recursiva de permisos correctos de archivos y carpetas.
➤ Solución SiteGround: Aislamiento de cuentas en entorno chrooted para evitar ejecución y escritura de “otros”
#desayunoSiteGround
4. PERMISOS DE ARCHIVOS Y CARPETAS
➤ Solución SiteGround: Herramienta WordPress de recuperación recursiva de permisos correctos de archivos y carpetas.
➤ Solución SiteGround: Aislamiento de cuentas en entorno chrooted para evitar ejecución y escritura de “otros”
#desayunoSiteGround
4. PERMISOS DE ARCHIVOS Y CARPETAS
➤ Solución SiteGround: Herramienta WordPress de recuperación recursiva de permisos correctos de archivos y carpetas.
➤ Solución SiteGround: Aislamiento de cuentas en entorno chrooted para evitar ejecución y escritura de “otros”
#desayunoSiteGround
5. PROTEGE WP-CONFIG.PHP
➤ Es vital proteger el archivo de configuración de WordPress al contener información de conexión a base de datos.
➤ TRUCO: Moverlo al directorio superior
➤ TRUCO: Protegerlo desde .htaccess
#desayunoSiteGround
5. PROTEGE WP-CONFIG.PHP
➤ Es vital proteger el archivo de configuración de WordPress al contener información de conexión a base de datos.
➤ TRUCO: Moverlo al directorio superior
➤ TRUCO: Protegerlo desde .htaccess
#desayunoSiteGround
5. PROTEGE WP-CONFIG.PHP
➤ Es vital proteger el archivo de configuración de WordPress al contener información de conexión a base de datos.
➤ TRUCO: Moverlo al directorio superior
➤ TRUCO: Protegerlo desde .htaccess
<Files wp-config.php>order allow,deny
deny from all</Files>
#desayunoSiteGround
5. PROTEGE WP-CONFIG.PHP
➤ Solución SiteGround: Aislamiento de cuentas en entorno chrooted que impide la escritura y ejecución en archivos y carpetas
#desayunoSiteGround
6. PROTEGE EL ACCESO A WP-ADMIN
➤ Protege el acceso a wp-admin y la pantalla de acceso desde .htaccess
➤ NOTA: Cambia x.x.x.x a tu IP pública
<FilesMatch "(wp-login)\.php"> deny from all
allow from X.X.X.X </FilesMatch>
#desayunoSiteGround
6. PROTEGE EL ACCESO A WP-ADMIN
➤ Solución SiteGround: En la herramienta WordPress de SiteGround “Secure Admin Panel” puedes limitar el acceso por IP de manera sencilla y sin modificar archivos manualmente
#desayunoSiteGround
6. PROTEGE EL ACCESO A WP-ADMIN
➤ Solución SiteGround: El auto-instalador WordPress en SiteGround permite por defecto instalar el plugin Limit Login Attempts, para frenar los ataques de fuerza bruta a la pantalla de acceso.
#desayunoSiteGround
6. PROTEGE EL ACCESO A WP-ADMIN
➤ Solución SiteGround: El auto-instalador WordPress en SiteGround permite por defecto instalar el plugin Limit Login Attempts, para frenar los ataques de fuerza bruta a la pantalla de acceso.
#desayunoSiteGround
6. PROTEGE EL ACCESO A WP-ADMIN
➤ Solución SiteGround: El auto-instalador WordPress en SiteGround permite por defecto instalar el plugin Limit Login Attempts, para frenar los ataques de fuerza bruta a la pantalla de acceso.
#desayunoSiteGround
6. PROTEGE EL ACCESO A WP-ADMIN
➤ Solución SiteGround: El auto-instalador WordPress en SiteGround permite por defecto instalar un sustituto de usuario/contraseña por una solución de acceso móvil.
➤ NOTA: Los plugins preinstalados por SiteGround se pueden inactivar y borrar como cualquier otro de WordPress
#desayunoSiteGround
7. USA UN CAPTCHA
➤ Añade un CAPTCHA en las pantallas de acceso y registro para frenar los ataques de fuerza bruta (80% según estadísticas de SiteGround)
➤ PLUGIN RECOMENDADO: No CAPTCHA reCAPTCHA
#desayunoSiteGround
8. UTILIZA SIEMPRE SFTP
➤ Las conexiones FTP no son seguras y debe usarse siempre que sea posible SFTP
#desayunoSiteGround
8. UTILIZA SIEMPRE SFTP
➤ Solución SiteGround: Servicio incluido SSH para crear el par de claves
#desayunoSiteGround
8. UTILIZA SIEMPRE SFTP
➤ Solución SiteGround: Servicio incluido SSH para crear el par de claves
#desayunoSiteGround
8. UTILIZA SIEMPRE SFTP
➤ Solución SiteGround: Servicio incluido SSH para crear el par de claves
#desayunoSiteGround
8. UTILIZA SIEMPRE SFTP
➤ Solución SiteGround: Servicio incluido SSH para crear el par de claves
#desayunoSiteGround
8. UTILIZA SIEMPRE SFTP
➤ Solución SiteGround: Servicio incluido SSH para crear el par de claves
#desayunoSiteGround
9. PROTEGER CARPETAS CON CONTRASEÑA
➤ Podemos proteger carpetas mediante contraseña creando un fichero .htpasswd generado y añadiendo la protección al fichero .htaccess
AuthType basic AuthName "Este directorio está protegido"
AuthUserFile /home/ruta/.htpasswd AuthGroupFile /dev/null
Require valid-user
#desayunoSiteGround
9. PROTEGER CARPETAS CON CONTRASEÑA
➤ Solución SiteGround: Solución incluida en cPanel de protección sencilla de carpetas mediante contraseña en pocos clics.
#desayunoSiteGround
10. ANULA LA VULNERABILIDAD XML-RPC
➤ WordPress arrastra una vulnerabilidad a través del protocolo XML-RPC que puede permitir inyecciones de código. Se puede desactivar el protocolo en wp-config.php
➤ … y desde .htaccess
add_filter('xmlrpc_enabled', '__return_false');
<Files xmlrpc.php> Order Deny,Allow
Deny from all </Files>
#desayunoSiteGround
10. ANULA LA VULNERABILIDAD XML-RPC
➤ Solución SiteGround: A través del WAF (Web Application Firewall) integrado aplica reglas mod_security por defecto para evitarlo.
#desayunoSiteGround
11. SI NO LO USAS BÓRRALO
➤ En WordPress es común instalar muchos plugins y temas para probarlos, pero tenerlos instalados aunque no estén activos es fuente de posibles ataques que aprovechen vulnerabilidades no solucionadas. Si no lo usas bórralo
➤ TRUCO: WordPress instala 3 temas por defecto, borra los que no uses salvo uno, que se activará en caso de problemas con el tema activo
#desayunoSiteGround
12. ACTUALIZA, ACTUALIZA, ACTUALIZA
➤ Mantén actualizado WordPress, plugins y temas a la última versión desde el actualizado automático integrado.
➤ TRUCO: WordPress actualiza en segundo plano las versiones menores pero puedes activar también el resto desde wp-config.php
#desayunoSiteGround
11. ACTUALIZA, ACTUALIZA, ACTUALIZA
➤ TRUCO: Activar actualizaciones mayores y de desarrollo en segundo plano desde wp-config.php
➤ TRUCO: Activar actualizaciones en segundo plano de plugins mediante filtros
➤ TRUCO: Activar actualizaciones en segundo plano de temas mediante filtros
define( 'WP_AUTO_UPDATE_CORE', true );
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );
#desayunoSiteGround
11. ACTUALIZA, ACTUALIZA, ACTUALIZA
➤ Solución SiteGround: Herramienta WP Auto Update para activar actualizaciones completas en segundo plano, también de plugins (Nota: SiteGround hace backup justo antes de actualizar)
#desayunoSiteGround
11. ACTUALIZA, ACTUALIZA, ACTUALIZA
➤ Solución SiteGround: Herramienta WP Auto Update para activar actualizaciones completas en segundo plano, también de plugins (Nota: SiteGround hace backup justo antes de actualizar)
#desayunoSiteGround
12. BACKUPS
➤ Da igual las medidas que apliquemos, siempre deberíamos tener una copia de seguridad de respaldo en caso de desastre
➤ TRUCO: Usa plugins de tareas de backup como backWPup
#desayunoSiteGround
12. BACKUPS
➤ Solución SiteGround: Guarda 30 copias de seguridad diarias que puedes restaurar en cualquier momento
#desayunoSiteGround
13. VERSIONES PHP
➤ Solución SiteGround: Herramienta para elegir y cambiar para cada instalación de WordPress la versión de PHP
➤ NOTA: Usa siempre la última versión estable y segura compatible con tus aplicaciones
#desayunoSiteGround
14. WAF INTEGRADO
➤ Solución SiteGround: Además de reglas mod_security por defecto, incluye CloudFlare gratuito en cada cuenta el cual contiene ajustes de seguridad incluidos:
✓ 5 niveles de seguridad desde offline a “me están atacando”
✓ Ofuscación de emails
✓ Siempre online
#desayunoSiteGround
14. WAF INTEGRADO
➤ Solución SiteGround: Además de reglas mod_security por defecto, incluye CloudFlare gratuito en cada cuenta el cual contiene ajustes de seguridad incluidos:
✓ 5 niveles de seguridad desde offline a “me están atacando”
✓ Ofuscación de emails
✓ Siempre online
#desayunoSiteGround
15. MOD_SECURITY
➤ Soluciones SiteGround
➡ Cuando se detecta cualquier vulnerabilidad se aplican nuevas reglas de escritura en mod_security sin esperar a que los desarrolladores emitan un parche que la soluciones.
➡ Búsqueda activa y permanente de patrones de hackeo y aplicación de nuevas reglas para mod_security cuando se detecta alguno.
➡ Si un desarrollador decide usar mod_security para escribir sus propias reglas deben mantenerse actualizadas.
#desayunoSiteGround
16. SOFTWARE DE SERVIDOR ACTUALIZADO
➤ Solución SiteGround: Siempre se instalan y ejecutan versiones estables y seguras de Apache y PHP, configuradas con la estabilidad y la seguridad como objetivo.
➤ NOTA: Los symlinks incorrectos pueden generar exploits
#desayunoSiteGround
17. ACCESO RESTRINGIDO A SSH
➤ Solución SiteGround: Los planes de hosting de SiteGround no permiten accesos root a SSH. El acceso shell SSH está restringido a tu cuenta de usuario para evitar accesos remotos potencialmente peligrosos.
#desayunoSiteGround
18. PROTECCIÓN CONTRA MALWARE
➤ Solución SiteGround: En los servidores de SiteGround se utiliza el servicio de detección de Sucuri para identificar las infecciones del malware en su primera etapa, antes de que se activen los exploits
#desayunoSiteGround
19. MONITORIZACIÓN DE SERVIDORES
➤ Soluciones SiteGround:
➡ Para protección ante ataques DDOS SiteGround utiliza herramientas especiales de protección de hardware en sus servidores, revisiones periódicas de IPs y, en caso de detección, se detienen los ataques.
➡ Para protección ante ataques de fuerza bruta SiteGround utiliza un potente sistema de prevención de intrusiones denominado 1H Hawk, que identifica si alguien está tratando de realizar un ataque de este tipo sobre cualquiera de tus contraseñas (FTP, email, etc.) y desactiva el acceso de las IPs atacantes en tiempo real.
#desayunoSiteGround
19. MONITORIZACIÓN DE SERVIDORES
➤ Solución SiteGround: Desde tu panel de SiteGround tienes la herramienta gratuita de denegación de IPs para denegar acceso a cualquier IP atacante o sospechosa
#desayunoSiteGround
20. AISLAMIENTO DE CUENTAS Y PROCESOS
➤ Solución SiteGround: Si gestionas múltiples sitios, propios o de clientes, puedes aislar los sitios utilizando procesos chroot ya que SiteGround usa aislamiento chroot. SiteGround también puede aislar aplicaciones web completas de otras.
#desayunoSiteGround
#desayunoSiteGround @SiteGround_ES
@fernandot
AyudaWP.com
![La potencia sin control no sirve de nada, claves para aprovechar el uso de WordPress [Darío Balbontín - @DarioBF]](https://img.pdfslide.tips/doc/110x75/55a79c921a28ab156e8b4912/la-potencia-sin-control-no-sirve-de-nada-claves-para-aprovechar-el-uso-de-wordpress-dario-balbontin-dariobf.jpg)
