¿Cómo proteger su sitio de WordPress con WP-Config?
· Время на чтение: 6мин · por · Publicada · ActualizadoCada sitio de WordPress contiene un archivo llamado "wp-config.php". Este archivo de configuración de WordPress en particular es uno de los archivos de WordPress más importantes. El archivo contiene muchos ajustes de configuración que puede cambiar para mejorar la seguridad del sitio. En esta publicación, le mostraré cómo proteger su sitio de WordPress con un archivo de configuración de WordPress.
El contenido del artículo:
- 1. Cambiar el prefijo de la base de datos
- 2. Deshabilitar la edición de archivos de temas/complementos
- 3. Evite que los usuarios instalen o actualicen complementos y temas
- 4. Aplicar FTP por seguridad
- 5. Cambia tus claves de seguridad
- 6. Ocultar "wp-config.php"
- 7. Protege tu archivo wp-config.php
¿Cómo proteger un sitio de WordPress con el archivo wp-config?
1. Cambiar el prefijo de la base de datos
¿Alguna vez has visto las tablas de tu base de datos de WordPress? (Puede acceder a ellos a través de su cuenta de alojamiento web) De forma predeterminada, la base de datos tiene once tablas. Cada mesa tiene una función específica. Por ejemplo, wp_posts almacena información de publicaciones, páginas y menús de navegación. Dado que las funciones de cada tabla están predefinidas, el pirata informático sabe dónde se almacenan los datos de su sitio web. Por ejemplo, si quieren usar los usuarios de su sitio, pueden apuntar a la tabla "wp_users".
WordPress usa el prefijo "wp_" para todas las tablas de forma predeterminada. Cambiar este prefijo a único puede ayudar a ocultar los nombres de las tablas y proteger su sitio de WordPress. Para hacer esto, abra el archivo "wp-config".
Paso 1: Para acceder a wp-config.php, abra su cuenta de alojamiento web y vaya a su panel de control de alojamiento. Seleccione "Administrador de archivos" y accederá a una página que se parece a esta:
Paso 2. En el lado izquierdo hay una carpeta public_html. En esta carpeta encontrarás el archivo wp-config.
En el archivo wp-config, cambie la siguiente línea:
$table_prefix = ‘wp_’;
Necesitas cambiarlo a algo aleatorio como:
$table_prefix = ‘gibrid_’;
Esto cambiará el nombre de las tablas en la base de datos de "wp_users" a "hybrid_users", "wp_posts" a "hybrid_posts", etc.
2. Deshabilitar la edición de archivos de temas/complementos
El panel de control de WordPress tiene la capacidad de editar el archivo de plugin/tema. Esto significa que con acceso a la barra de herramientas y permisos suficientes, cualquiera puede editar sus temas o complementos.
Si bien esta es una herramienta útil, si desea reconfigurar cualquier complemento, se vuelve peligroso en manos de un pirata informático. Por ejemplo, supongamos que un pirata informático logró ingresar a su sitio web con un exploit. Es fácil para ellos agregar malware a un complemento o tema existente. Pueden ocultar una puerta trasera que luego pueden usar para obtener acceso a su sitio cuando lo deseen. Puede evitar esto y proteger su sitio de WordPress deshabilitando la capacidad de editar estos archivos. Simplemente coloque el siguiente código en su archivo de configuración de WordPress:
define(‘DISALLOW_FILE_EDIT’,true);
3. Evite que los usuarios instalen o actualicen complementos y temas
Evitar que los usuarios editen estos archivos solo ofrece un nivel de seguridad. Esto no evita que los piratas informáticos instalen un complemento malicioso que pueden usar para secuestrar su sitio. Al obtener acceso al panel de administración junto con los derechos de usuario, pueden instalar un tema o complemento falso. Si no instala complementos con frecuencia, puede deshabilitar esta opción agregando el siguiente código a su archivo de configuración de WordPress:
define(‘DISALLOW_FILE_MODS’,true);
4. Uso forzado de "FTP"
Evitar que los usuarios instalen y actualicen complementos y temas puede ser restrictivo e incluso poco práctico para los sitios que instalan complementos con bastante frecuencia. Además, la actualización de temas y complementos es muy importante para la seguridad del sitio web. Un método alternativo para garantizar que un usuario válido instale complementos es obligar a los usuarios a proporcionar datos "FTP". Incluso si su panel de administración está comprometido, los piratas informáticos no podrán instalar un complemento falso si no tienen sus credenciales de FTP.
Simplemente agregue las siguientes líneas a su "wp-config.php":
define(‘FS_METHOD’, ‘ftpext’);
Si su host o servidor web es compatible con FTPS, agregue las siguientes líneas al archivo de configuración:
define(‘FTP_SSL’, true);
Si su proveedor de alojamiento web o servidor admite "SFTP", agregue las siguientes líneas:
define(‘FS_METHOD’, ‘ssh2’);
5. Cambiar claves de seguridad
No tiene que ingresar sus credenciales cada vez que necesite iniciar sesión en su sitio. ¿Alguna vez te has preguntado cómo almacena tu navegador estas credenciales? Después de iniciar sesión en su cuenta, su información de inicio de sesión se almacena cifrada en una cookie del navegador. Las claves de seguridad son variables aleatorias que ayudan a mejorar este cifrado. Si su sitio es pirateado, cambiar las claves secretas invalidará las cookies y obligará a todos los usuarios activos a cerrar sesión automáticamente. Después del reinicio, el hacker pierde el acceso a su administrador de WordPress. Puede generar un nuevo conjunto de claves de seguridad y colocarlas en el archivo "wp-config". Esto ayudará a asegurar su sitio de WordPress.
6. Ocultar "wp-config.php"
En cualquier sitio de WordPress, el archivo wp-config tiene una ubicación predeterminada. Por lo tanto, cambiar la ubicación del archivo puede evitar que caiga en manos de piratas informáticos. Afortunadamente, WordPress permite que la carpeta "wp-config" resida fuera de su instalación de WordPress. Por ejemplo, si su WordPress está instalado en la carpeta public_html, el archivo de configuración estará presente en la carpeta public_html de manera predeterminada. Pero puede mover wp-config fuera de la carpeta public_html y seguirá funcionando.
7. Protege el archivo wp-config.php
La configuración es vulnerable a ataques, por lo que es obligatorio protegerla. Una forma de hacerlo es cambiar su ubicación para que los piratas informáticos no puedan encontrarlo en la ubicación predeterminada. Si bien algunos desarrolladores pueden objetar esto, muchas personas piensan que es una buena idea.
Otra medida de seguridad que puede tomar es restringir los permisos de los archivos. Establezca los permisos de archivo en 600 para que solo los propietarios originales puedan editar el archivo wp-config. Para cambiar el permiso del archivo wp-config, seleccione el archivo y luego seleccione la opción Permiso.
Luego debe incluir las siguientes líneas en su archivo .htaccess para evitar que los piratas informáticos carguen el archivo wp-config directamente desde el navegador.
# proteger wpconfig.php orden permitir, denegar denegar de todos
Finalmente
Aquí es donde analicé cómo proteger su sitio de WordPress con un archivo wp-config, pero esta es solo una de las muchas formas de aumentar la seguridad de su sitio. Algunas otras medidas de seguridad que puede tomar incluyen el uso de un complemento de seguridad, el uso de un certificado SSL, el uso de un nombre de usuario y una contraseña únicos y fuertes, la implementación de la autenticación HTTP y la autenticación de dos factores, entre otras. Pero antes de aplicar cualquiera de estos métodos, debe hacer una copia de seguridad de su sitio. Si algo sale mal, simplemente puede restaurar su copia de seguridad y hacer que nuestro sitio funcione rápidamente.
Leyendo este artículo:
- ¿Cómo prevenir secuencias de comandos entre sitios?
- ¿Qué es un WordPress Pharma Hack y cómo limpiarlo?
Gracias por leer: AYUDANTE DE SEO | NICOLA.TOP