Algo que no podía faltar es una buena guía de seguridad en WordPress. ¡Y allá va! Vamos a ir desgranando diferentes técnicas de cómo asegurar más y más nuestra instalación y ver en qué casos podemos aplicar unas y en cuales otras.
Seguridad en WordPress
- Introducción: seguridad básica
- Auditoría de seguridad
- Hosting: versiones de PHP
- Permisos de archivos y carpetas
- Core de WordPress
- Certificado SSL
- Firewall
- SPAM
- Protección del acceso a la web (WP-Admin)
- Protección desde .htaccess
- Protección desde wp-config.php
- Protección desde functions.php
- Base de datos
¡Hey! 🖐 Parece que no tienes acceso a este contenido ☹ Puedes suscribirte al contenido completo o crear una cuenta gratuita para probar gratis una clase de cada guía 😊
SuscribirseIntroducción: seguridad básica
¡Demo gratuita!En esta sección repasamos los puntos más básicos y evidentes sobre la seguridad web. A partir de aquí iremos desgranando algunos de esos puntos e introduciendo nuevos.
Este contenido es premium pero puedes ver esta sección creando una cuenta gratuita aquí 😊
Auditoría de seguridad
Veamos algunas herramientas que nos ayudan a hacernos una idea general sobre la seguridad actual de nuestra web, y algunas otras comprobaciones que podemos hacer manualmente.
Sorry! No tienes acceso a este contenido 😢. Puedes iniciar la sesión o suscribirte al contenido completo.
Hosting: versiones de PHP
Vamos a darle caña ya a la seguridad y empezamos con algo imprescindible cuando trabajamos con WordPress: la versión de PHP que se utiliza.
Sorry! No tienes acceso a este contenido 😢. Puedes iniciar la sesión o suscribirte al contenido completo.
Permisos de archivos y carpetas
Sorry! No tienes acceso a este contenido 😢. Puedes iniciar la sesión o suscribirte al contenido completo.
Core de WordPress
Hay ciertos ajustes que vienen por defecto con WordPress que son «mejorables», al menos en lo relacionado con la seguridad. Vamos a ver qué puntos de la instalación de WordPress y los recursos relacionados (plugins y themes) podemos mejorar o que deberíamos vigilar más para curarnos en salud y evitar sustos en el futuro.
Sorry! No tienes acceso a este contenido 😢. Puedes iniciar la sesión o suscribirte al contenido completo.
Certificado SSL
El certificado SSL es un clásico a la hora de mejorar la seguridad de nuestro WordPress. Desde hace poco es un factor de posicionamiento de SEO y además es obligatorio su uso en caso que queramos usar algunos servicios de terceros como Stripe.
Veamos primero los pasos básicos necesarios para pasar nuestra web a HTTPS manualmente (evitamos usar plugins por temas de rendimiento) y luego veremos diferentes casos de errores que pueden surgir a la hora de hacerlo.
Implementación básica
Código para forzar la redirección de las URLs:
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Aparte de hacer cambios en nuestra propia web es posible que necesitemos hacer algunas modificaciones en herramientas de terceros que tenemos implementadas, como Google Analytics y Search Console.
Errores comunes
A veces incluso cuando hacemos correctamente los 3 pasos anteriores, hay algunos recursos que siguen cargando en su versión HTTP. Veamos cómo detectarlos y corregirlos de una forma muy sencilla:
Herramientas de terceros
A menudo tenemos que avisar a algunas herramientas externas que hemos cambiado nuestra URL a su versión HTTPS para evitar ciertos errores. Veamos los casos más típicos
Forzar SSL en admin y login
Estas dos líneas de código nos permiten asegurarnos de que tanto el panel de control como la página de login de nuestro WordPress carguen siempre en su versión segura.
Código utilizado (al wp-config.php):
define('FORCE_SSL_LOGIN', true); define('FORCE_SSL_ADMIN', true);
Firewall
Sorry! No tienes acceso a este contenido 😢. Puedes iniciar la sesión o suscribirte al contenido completo.
SPAM
En WordPress, podemos recibir SPAM principalmente por en tres sitios:
- Formularios de contacto
- Formulario de comentarios
- Registro / login de usuarios
Veamos cómo podemos combatir el SPAM en esos sitios usando diferentes técnicas
Sorry! No tienes acceso a este contenido 😢. Puedes iniciar la sesión o suscribirte al contenido completo.
Protección del acceso a la web (WP-Admin)
En esta sección vemos cómo proteger el acceso a nuestro panel de control o simplemente los intentos del login en nuestro WordPress para usuarios registrados (o no).
Sorry! No tienes acceso a este contenido 😢. Puedes iniciar la sesión o suscribirte al contenido completo.
Protección desde .htaccess
Aquí vemos cómo proteger nuestro WordPress desde .htaccess, ese archivo tan importante que nos permite realizar diferentes configuraciones a nivel de servidor.
Sorry! No tienes acceso a este contenido 😢. Puedes iniciar la sesión o suscribirte al contenido completo.
Protección desde wp-config.php
wp-config es uno de los archivos más críticos en cuanto a la seguridad de nuestra web. Es el que almacena, entre otras cosas, los datos de acceso a la base de datos así que hay que cuidarlo con un cariño especial. Veamos cómo podemos protegerlo de intenciones impuras y qué otras técnicas de seguridad podemos aplicar en él.
Sorry! No tienes acceso a este contenido 😢. Puedes iniciar la sesión o suscribirte al contenido completo.
Protección desde functions.php
Sorry! No tienes acceso a este contenido 😢. Puedes iniciar la sesión o suscribirte al contenido completo.
Base de datos
Sorry! No tienes acceso a este contenido 😢. Puedes iniciar la sesión o suscribirte al contenido completo.