Presentación sobre seguridad en WordPress. En esta charla daremos una serie de pautas y consejos sencillos para que tu instancia de WordPress sea muy segura y así evitar que ataquen tu WordPress. En la presentación damos consejos para blindar los archivos wp-config, el .htacces y recomendamos un plugin de seguridad de WordPress muy fiable.
6. … aunque no sepas mucho de código
clavespara
blindar tu proyecto
en WordPress
y evitar que te fastidien con ataques…
7. claves para blindar tu proyecto en WordPress
y evitar que te fastidien con ataques…
… aunque no sepas mucho de código
Empezamos!!!
8. Pero antes de empezar…
claves para blindar tu proyecto en WordPress
y evitar que te fastidien con ataques…
… aunque no sepas mucho de código
9. claves para blindar y personalizar tu proyecto en WordPress
hacer lo que te dé la gana con él y evitar que te fastidien con ataques…
… aunque no sepas mucho de código
Pero antes de empezar…
Vamos a Ajustes > lectura
User-agent: *
Disallow: /
¡De momento, No queremos que GOOGLE nos indexe!
Lo subimos mediante FTP a la raíz del sitio web
Creamos robots.txt
** Cuando el sitio esté OK, habilítalo y cambia el robots.txt
10. claves para blindar y personalizar tu proyecto en WordPress
hacer lo que te dé la gana con él y evitar que te fastidien con ataques…
… aunque no sepas mucho de código
¡La web está hecha unos zorros!
https://es.wordpress.org/plugins/wp-maintenance-mode/
Una cosa más antes de empezar…
11. claves para blindar y personalizar tu proyecto en WordPress
hacer lo que te dé la gana con él y evitar que te fastidien con ataques…
… aunque no sepas mucho de código
¡De momento, No queremos que NADIE nos visite!
¡La web está hecha unos zorros!
Una cosa más antes de empezar…
12. Ahora sí que sí…
Empezamos!!!
Claves para Blindar
nuestro Wordpress
Parte I
claves para blindar tu proyecto en WordPress
y evitar que te fastidien con ataques…
… aunque no sepas mucho de código
13. Permisos wp-config.php
644
Vamos a cambiar el prefijo de la BBDD (wp_…)
¡Nunca uses en tu BBDD el prefijo wp_…!
https://es.wordpress.org/plugins/db-prefix-change/
claves para blindar tu proyecto en WordPress
y evitar que te fastidien con ataques…
… aunque no sepas mucho de código
14. Añadir nuevo
¡Nunca uses el usuario Admin!
Vamos a crear un nuevo usuario
Permisos: administrador
Nombre usuario: dominio+algo
p. ej. midominiocarlos
Borrar Admin o le damos
permisos subscriptor
claves para blindar tu proyecto en WordPress
y evitar que te fastidien con ataques…
… aunque no sepas mucho de código
15. Editamos el usuario Vamos a nueva contraseña
Vamos a crear una contraseña segura
claves para blindar tu proyecto en WordPress
y evitar que te fastidien con ataques…
… aunque no sepas mucho de código
16. Comprobamos la seguridad de la contraseña …
Vamos a crear una contraseña segura
https://howsecureismypassword.net/
¡Usa sólo Contraseñas que sean seguras!
claves para blindar tu proyecto en WordPress
y evitar que te fastidien con ataques…
… aunque no sepas mucho de código
17. Vamos a retocar el archivo wp_config.php
https://api.wordpress.org/secret-key/1.1/salt/
Desactivamos el editor de Apariencia y de Plugins
define('DISALLOW_FILE_EDIT', true);
Abre mediante FTP
el wp_config.php
Cambiamos las Keys y Salt si es
necesario
claves para blindar tu proyecto en WordPress
y evitar que te fastidien con ataques…
… aunque no sepas mucho de código
18. Vamos a retocar el archivo wp_config.php
Si nuestro sitio web es https añadimos al archivo:
define('FORCE_SSL_LOGIN', true);
¡Protege el wp_config.php de tu WordPress!
define('FORCE_SSL_ADMIN', true);
claves para blindar tu proyecto en WordPress
y evitar que te fastidien con ataques…
… aunque no sepas mucho de código
19. Abre mediante FTP el .htacces Bloqueamos el acceso a la
carpeta includes
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
Bloqueamos el acceso a
wp_config.php
<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>
Datos sacados del sitio web www.boluda.com
Vamos a blindar el archivo .htaccess
claves para blindar tu proyecto en WordPress
y evitar que te fastidien con ataques…
… aunque no sepas mucho de código
20. Protegemos nuestro .htacces
Bloqueamos el acceso a Themes y Plugins
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*.php)$ - [R=404,L]
<Files ~ “^.*.([Hh][Tt][Aa])”>
Order allow,deny
Deny from all
Satisfy all
</Files>
¡Protege el .htacces de tu WordPress!
Datos sacados del sitio web www.boluda.com
Vamos a blindar el archivo .htaccess
claves para blindar tu proyecto en WordPress
y evitar que te fastidien con ataques…
… aunque no sepas mucho de código
21. Vamos a instalarnos un plugin de seguridad
Instalamos All In One WP Security & Firewall
¡Utiliza un plugin de seguridad en tu WordPress!
https://es.wordpress.org/plugins/all-in-one-wp-security-and-firewall/
Configuramos All In One WP Security & Firewall
claves para blindar tu proyecto en WordPress
y evitar que te fastidien con ataques…
… aunque no sepas mucho de código
22. Por último, para evitar sustos
Ten siempre actualizados los plugins de tu WordPress
Ten siempre actualizado el theme de tu WordPress
Ten siempre actualizada la versión de tu WordPress
¡Actualiza y te evitarás disgustos en tu WordPress!
claves para blindar tu proyecto en WordPress
y evitar que te fastidien con ataques…
… aunque no sepas mucho de código
23. CARLOSPMENDIOLA
Carlos Pérez de Mendiola
ESKERRIK ASKO
… para cualquier duda, ya sabéis
dónde encontrarme…
carlos@carlospmendiola.com
claves para blindar tu proyecto en WordPress
y evitar que te fastidien con ataques…
… aunque no sepas mucho de código