WordPress Security Checklist

En la mayoría de las veces que un sitio con WordPress és invadido la culpa no es de WordPress, pero si de algunos fallos tontos que se podrían haber evitado durante su construcción. Esa es la idea de este proyecto: Ser una lista de acciones que se debe tomar para aumentar la seguridad de su sitio.

wp-config

• Cambie las claves de seguridad (Generador facilitado por WordPress.org)

Página de ingreso

• Bloquear varios intentos de inicio de sesión (Login Lockdown o iThemes Security )
• Habilitar la autenticación de 2 pasos (Google Authenticator)
• Utilice el correo electrónico para iniciar sesión en lugar de un nombre de usuario (Force Login With Email)
• Cambie la dirección de la página de login (iThemes Security o directamente por el .htaccess)
• Retire enlaces para su página de ingreso (si lo hay en su tema)
• Utilice contraseñas seguras con letras mayúsculas y minúsculas, números y caracteres especiales en todas las cuentas (generador de contraseñas)
• Cambie su contraseña con regularidad
• Deje genérico el mensaje de error de la página de ingreso (usuario/clave) (tutorial)

Panel Administrativo

• Proteger la carpeta wp-admin con contraseña (desbloquear sólo los archivos necesarios)
• Mantenga WordPress actualizado en su última versión
• No utilice una cuenta con nombre de usuario “admin”. Si la hay, cree una una nueva cuenta y borre la vieja
• Crear una cuenta de editor y usarla sólo para publicar contenido
• Implemente SSL en toda la sección administrativa
• Instale un plugin para comprobar si algún archivo fue editado (WP Security Scan, Wordfence o iThemes Security)
• Escanear el sitio en busca de virus, malware y agujeros de seguridad

Plantilla

• Actualizar la plantilla activa para su última versión
• Elimine plantillas inactivas
• Sólo instale plantillas de fuentes confiables
• Quite la versión de WordPress de la plantilla (tutorial)

Plugins

• Actualice todos los plugins para sus últimas versiones
• Elimine plugins inactivos
• Sólo instale plugins de fuentes confiables
• Reemplace plugins desactualizados por versiones alternativa actualizadas
• Piense antes de instalar cientos de plugins

Base de datos

• Cambia el prefijo de las tablas (tutorial)
• Establezca copias de seguridad semanales de su base de datos (Backup WP, WP DB Backup etc. )
• Utilice contraseñas seguras con letras mayúsculas y minúsculas, números y caracteres especiales en el usuario de la base de datos (generador de contraseñas)

Alojamiento (hosting)

• Contrate un hosting confiable
• Acceda a su servidor sólo por SFTP o SSH
• Establecer permisos 755 para las carpetas y 644 a los archivos (según la documentación)
• Asegúrese de que su archivo wp-config.php no sea accesible por otros
• Retire o bloquee a través del .htaccess los archivos license.txt, WP-config-sample.php y readme.html
• Desactivar el editor por el wp-config.php con el código: define('DISALLOW_FILE_EDIT',true);
• Impida la busca de directorios a través del .htaccess con el código: Options All -Indexes