Los sitios web de WordPress suelen ser el objetivo de los piratas informáticos. WordPress Manager de Softaculous proporciona funciones de seguridad para mantener seguro su sitio de WordPress. Siga la siguiente guía para proteger su sitio web de WordPress.
Las medidas de seguridad de WordPress Manager proporcionan información detallada sobre cada actualización recomendada y le permiten actualizarlas sin tener que utilizar un complemento. Si alguna de las medidas de seguridad hace que su sitio web funcione incorrectamente, puede revertirla en cualquier momento.
Nota: Esta característica se agrega en Softaculous 5.9.2
Accediendo al Administrador de WordPress
1. Para acceder al Administrador de WordPress, puede hacer clic en el icono “WordPress” en la esquina superior derecha de su panel de usuario final de Softaculous como se muestra en la siguiente captura de pantalla.
2. O puede acceder al Administrador de WordPress haciendo clic en el ícono “WordPress” al lado de la instalación de WordPress desde la que desea administrarTodas las instalacionespágina como se muestra en la siguiente captura de pantalla.
Medidas de seguridad del administrador de WordPress
Con WordPress Manager de Softaculous, las medidas de seguridad se pueden aplicar a uno o más sitios de WordPress seleccionando la casilla de verificación situada más a la derecha junto a las instalaciones de WordPress deseadas.
A continuación se detallan las medidas de seguridad proporcionadas por WordPress Manager para proteger su sitio de WordPress.
Cambiar el nombre de usuario del administrador predeterminado
WordPress no permite cambiar el nombre de usuario y si instaló WordPress con el nombre de usuario de administrador 'admin', su sitio puede estar en riesgo si alguien intenta hacer fuerza bruta con el nombre de usuario admin. Esta opción de seguridad cambia el nombre de usuario de administrador a un nombre de usuario generado aleatoriamente. Puede utilizar el botón Iniciar sesión en el Administrador de WordPress para iniciar sesión con la cuenta de administrador recién creada.
Restringir el acceso a archivos y directorios
Los permisos inseguros para archivos y directorios pueden provocar que los piratas informáticos accedan no autorizados y los utilicen para comprometer su sitio web. Esta opción de seguridad establece los permisos para el archivo wp-config.php en 0600, otros archivos en 0644 y directorios en 0755.
Bloquear el acceso no autorizado a xmlrpc.php
Esta opción de seguridad impide el acceso al xmlrpc.php
Nota: Las directivas personalizadas en los archivos .htaccess pueden anular esto.
Bloquear el acceso a .htaccess y .htpasswd
Obtener acceso a archivos .htaccess y .htpasswd permite a los atacantes someter su sitio web a una variedad de exploits y violaciones de seguridad. Esta opción de seguridad garantiza que los abusadores no puedan acceder a los archivos .htaccess y .htpasswd a través de la web.
Desactivar pingbacks
Los pingbacks permiten que otros sitios web de WordPress dejen comentarios automáticamente debajo de sus publicaciones cuando estos sitios web enlazan a estas publicaciones. Se puede abusar de los pingbacks para utilizar su sitio web para ataques DDoS en otros sitios. Esta opción de seguridad desactiva los pingbacks XML-RPC para todo su sitio web y también desactiva los pingbacks para publicaciones creadas previamente con pingbacks habilitados.
Deshabilitar la edición de archivos en el Panel de WordPress
Deshabilitar la edición de archivos en WordPress elimina la capacidad de editar directamente los archivos fuente del complemento y del tema en la interfaz de WordPress. Esta opción agrega una capa adicional de protección para el sitio web de WordPress en caso de que una de las cuentas de administrador de WordPress se vea comprometida. En particular, evita que las cuentas comprometidas agreguen fácilmente código ejecutable malicioso a complementos o temas.
Bloquear escaneos de autor
Los escaneos de autor se utilizan para encontrar nombres de usuarios de usuarios registrados usandofluidos(especialmente el administrador de WordPress) y, finalmente, atacar con fuerza bruta la página de inicio de sesión de su sitio web para obtener acceso. Esta opción de seguridad evita que dichos análisis expongan los nombres de usuario.
Nota: Dependiendo de la configuración del enlace permanente en su sitio web, esta opción puede impedir que los visitantes accedan a páginas que enumeran todos los artículos escritos por un autor en particular.
Bloquear la navegación por directorios
Si la exploración de directorios está activada, los piratas informáticos pueden obtener diversa información sobre su sitio web que potencialmente puede comprometer su seguridad. La exploración de directorios suele estar desactivada de forma predeterminada, pero si está activada, esta opción de seguridad puede bloquearla.
Prohibir la ejecución de scripts PHP en el directorio wp-includes
El directorio wp-includes puede contener archivos PHP inseguros que pueden ejecutarse para controlar y explotar su sitio web. Esta opción de seguridad evita la ejecución de archivos PHP en el directorio wp-includes.
Nota: Las directivas personalizadas en los archivos .htaccess pueden anular esto.
Prohibir la ejecución de scripts PHP en el directorio wp-content/uploads
El directorio wp-content/uploads puede contener archivos PHP inseguros que pueden ejecutarse para controlar y explotar su sitio web. Esta opción de seguridad evita la ejecución de archivos PHP en el directorio wp-content/uploads.
Nota: Las directivas personalizadas en los archivos .htaccess pueden anular esto.
Deshabilitar la concatenación de scripts para el panel de administración de WordPress
Esta opción de seguridad desactiva la concatenación de scripts que se ejecutan en el panel de administración de WordPress, evitando que su sitio web se vea afectado por ciertos ataques DoS. Desactivar la concatenación de scripts puede afectar levemente el rendimiento del panel de administración de WordPress, pero no debería afectar la experiencia de los visitantes en su sitio web de WordPress.
Bloquear el acceso a archivos confidenciales
Esta opción de seguridad evita el acceso público a ciertos archivos que pueden contener información confidencial, como credenciales de conexión o información diversa que puede usarse para determinar qué exploits conocidos son vulnerables a su sitio web de WordPress.
Habilitar la protección contra bots
Esta opción protege su sitio web de bots inútiles, maliciosos o dañinos. Bloquea los robots que escanean su sitio web en busca de vulnerabilidades y lo sobrecargan con solicitudes no deseadas, lo que provoca un uso excesivo de recursos.
Nota: Es posible que desee desactivar temporalmente esta medida si planea utilizar un servicio en línea para escanear su sitio web en busca de vulnerabilidades, ya que estos servicios también pueden utilizar dichos bots.
