Mejora la seguridad de tu WordPress con unos simples pasos

Pese a tratarse de un CMS con un desarrollo constante gracias al desarrollo OpenSource, al igual que el resto de proyectos o incluso páginas que no hacen uso de CMS si no de código privado, WordPress no es 100% seguro contra ataques, pero podemos protegerlo lo mejor posible para evitar incidentes.

A continuación voy a exponer unos cuantos consejos que harán tu WordPress un poco más seguro y posiblemente puedas evitar algunos ataques que sufrirán otras webs por no detenerse a realizar una correcta configuración.

Evita la exposición de la version de PHP

Exponer la version del software que está siendo ejecutada en el servidor es algo que no nos proporciona utilidad alguna, sin embargo para un atacante es información muy útil, conociendo que versión utilizamos podrá buscar y explotar vulnerabilidades conocidas, por lo que vamos a deshabilitar la exposicion de la version de PHP en nuestro servidor.

Para ello necesitamos modificar nuestro archivo php.ini, buscamos la siguiente linea:

expose_php = Off

En el caso de que exista y se encuentre en On, la cambiamos por Off, si se encuentra ya en Off perfecto, si la linea no existe en el archivo la añadimos al final.

En caso de algunos hostings compartidos no tendremos acceso a la configuración de PHP, podemos solicitar a soporte si pueden realizar este cambio por nosotros, en el caso de no ser posible, aún podemos apañarlo a través del archivo .htaccess:

ServerTokens Prod
ServerSignature Off
RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC]
RewriteRule .* - [F]

Este último código cerrará algunas puertas pero aún seguirá exponiendo la versión en las cabeceras HTTP, lo correcto sería configurarlo en el archivo php.ini.

Deshabilitar el índice de directorios

Seguro que alguna vez has entrado algún enlace donde se mostraban todos los archivos que contenía esa carpeta, esa lista de archivos es generada por el índice de directorios, no queremos exponer nuestra lista de archivos ni estructura de directorios a ningún atacante, por lo que vamos a desactivar esta opción a través del archivo .htaccess agregando la siguiente línea:

Options -Indexes

Eso es todo, ahora cuando se intente acceder a un directorio, en lugar de mostrar su contenido se mostrará un mensaje de error 403 (forbidden).

Protegiendo wp-config.php

El fichero wp-config.php almacena la configuración principal de tu WordPress, es decir, datos sensibles como los parámetros de conexión a MySQL o las claves únicas de autentificación.

El acceso a este fichero se realiza de forma local, por lo que el acceso a wp-config.php desde Internet es totalmente innecesario además de inseguro, así que vamos a denegar el acceso al archivo a través de una sencilla configuración en el fichero .htaccess:

<files wp-config.php>
  order allow,deny
  deny from all
</files>

Gracias a estos consejos conseguirás tener WordPress un poco más protegido contra ataques, recuerda tomar toda clase de precauciones cuando tienes un servicio online y si conoces algún tip más no dudes en comentar para incluirlo en la entrada.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.