{"id":467,"date":"2017-12-13T16:00:06","date_gmt":"2017-12-13T20:00:06","guid":{"rendered":"https:\/\/tecnojupiter.net\/?p=467"},"modified":"2023-04-11T16:13:02","modified_gmt":"2023-04-11T20:13:02","slug":"seguridad-en-web-wordpress","status":"publish","type":"post","link":"https:\/\/tecnojupiter.test\/seguridad-en-web-wordpress\/","title":{"rendered":"La seguridad en tu web es tan importante como el dise\u00f1o, en WordPress"},"content":{"rendered":"<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-medium\"><img fetchpriority=\"low\" decoding=\"async\" loading=\"lazy\" width=\"800\" height=\"450\" src=\"https:\/\/tecnojupiter.test\/wp-content\/uploads\/2017\/12\/seguridad-web-acceso-admin-800x450.png\" alt=\"seguridad-en-tu-web\" class=\"wp-image-468\" srcset=\"https:\/\/tecnojupiter.test\/wp-content\/uploads\/2017\/12\/seguridad-web-acceso-admin-800x450.png 800w, https:\/\/tecnojupiter.test\/wp-content\/uploads\/2017\/12\/seguridad-web-acceso-admin-384x216.png 384w, https:\/\/tecnojupiter.test\/wp-content\/uploads\/2017\/12\/seguridad-web-acceso-admin.png 1280w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><\/figure><\/div>\n\n\n<p>Suele pasar que nos preocupa demasiado el dise\u00f1o, el aspecto de nuestro web, de c\u00f3mo se ver\u00e1 si colocas un color de fondo que a ti te gusta, si el tipo de letra es el correcto, si la fuente es la adecuada, entre muchos otros aspectos de dise\u00f1o. <\/p>\n\n\n\n<p>Que olvidamos lo m\u00e1s esencial y es la <strong>SEGURIDAD<\/strong>, y la <strong>SEGURIDAD<\/strong> en tu web es tan importante como el dise\u00f1o.<\/p>\n\n\n\n<p>As\u00ed que en esta entrada quiero mencionarte varios aspectos que tienes que tener en cuenta para que tu web sea lo m\u00e1s segura posible.<\/p>\n\n\n\n<div id=\"toc_container\" class=\"no_bullets\"><p class=\"toc_title\">&Iacute;ndice de contenido<\/p><ul class=\"toc_list\"><li><a href=\"#eleccion_de_hosting\">Elecci\u00f3n de Hosting<\/a><\/li><li><a href=\"#denegar_la_exploracion_a_determinadas_carpetas\">Denegar la exploraci\u00f3n a determinadas carpetas<\/a><\/li><li><a href=\"#permisos_a_las_carpetas_y_archivos\">Permisos a las carpetas y archivos<\/a><\/li><li><a href=\"#el_prefijo_de_las_tablas_de_wordpress\">EL prefijo de las tablas de WordPress<\/a><\/li><li><a href=\"#cambia_la_ruta_de_login_para_acceder_al_panel_de_administracion\">Cambia la ruta de login para acceder al panel de administraci\u00f3n<\/a><\/li><li><a href=\"#instala_un_plugins_de_seguridad_para_bloquear_ip_referer_spam_user-agent\">Instala un plugins de seguridad para bloquear IP, Referer Spam, User-Agent<\/a><\/li><li><a href=\"#limitar_numeros_de_intentos_de_inicio_de_sesion_en_la_pantalla_de_login_wordpress\">Limitar n\u00fameros de intentos de inicio de sesi\u00f3n en la pantalla de login WordPress<\/a><\/li><li><a href=\"#utilizar_un_cdn_red_de_distribucion_de_contenidos\">Utilizar un CDN (Red de distribuci\u00f3n de contenidos)<\/a><\/li><li><a href=\"#medidas_de_seguridad_a_nivel_de_htaccess\">Medidas de seguridad a nivel de .htaccess<\/a><\/li><li><a href=\"#desactiva_la_edicion_de_archivos_en_el_panel_de_administracion_de_wordpress\">Desactiva la edici\u00f3n de archivos en el panel de administraci\u00f3n de WordPress<\/a><\/li><li><a href=\"#contrasena_de_acceso_wp\">Contrase\u00f1a de acceso WP<\/a><\/li><li><a href=\"#conclusion\">Conclusi\u00f3n<\/a><\/li><\/ul><\/div>\n<h2 class=\"wp-block-heading\"><span id=\"eleccion_de_hosting\"><strong>Elecci\u00f3n de Hosting<\/strong><\/span><\/h2>\n\n\n\n<p>El primero es elegir el hosting adecuado si no cuentas con un proveedor de hosting que te proporcione seguridad en el servidor donde estar\u00e1 alojada tu web entonces no valdr\u00e1 la pena que tu sitio este alojado all\u00ed.<\/p>\n\n\n\n<p>Porque un servidor que no te proporcione seguridad ser\u00e1 vulnerable a ataques de hackers y nadie quiere que su sitio este suspendido temporalmente porque su servidor ha sufrido un ataque y no ha podido responder a eso a tiempo.<\/p>\n\n\n\n<p>Por eso creo que el primer aspecto importante a tomar en cuenta es elegir el hosting adecuado uno que te proporcione tanto niveles b\u00e1sico de seguridad como avanzados.<\/p>\n\n\n\n<p>Opciones como modsecurity que es un firewall de aplicaciones web embebible que se ejecuta en el servidor web, provee protecci\u00f3n contra diversos ataques hacia aplicaciones Web y permite monitorizar tr\u00e1fico HTTP, entre otras funciones. <\/p>\n\n\n\n<p><strong>Hoy d\u00eda es esencial que un servidor cuente y te permita instalar un certificado SSL para que toda la informaci\u00f3n viaje de forma cifrada.<\/strong><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span id=\"denegar_la_exploracion_a_determinadas_carpetas\"><strong>Denegar la exploraci\u00f3n a determinadas carpetas<\/strong><\/span><\/h2>\n\n\n\n<p>Por defecto cuando contratas o creas tu cuenta de hosting e inicias sesi\u00f3n en cPanel o cualquier panel de administraci\u00f3n, el directorio est\u00e1 establecido como Index, si te estas adentrando al mundo de tener una p\u00e1gina web cuando hablo de directorio me refiero a todas las carpetas que se encuentran en el administrador de archivos.<\/p>\n\n\n\n<p>Si tu web est\u00e1 basada por ejemplo en WordPress y alguien la visita y posee algunos conocimientos t\u00e9cnicos y escribe:<\/p>\n\n\n\n<p><span class=\"bg_label green\">https:\/\/www.tudominio.com\/wp-includes\/<\/span>\u00a0<\/p>\n\n\n\n<p>y le aparece el directorio con las carpetas<br>wp-includes\/widgets<br>wp-includes\/css<br>wp-includes\/js<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter\"><img fetchpriority=\"low\" decoding=\"async\" loading=\"lazy\" width=\"507\" height=\"550\" src=\"https:\/\/tecnojupiter.test\/wp-content\/uploads\/2020\/04\/wp-includes_cm4dl7.png\" alt=\"wp-includes-directorio\" class=\"wp-image-469\" srcset=\"https:\/\/tecnojupiter.test\/wp-content\/uploads\/2020\/04\/wp-includes_cm4dl7.png 507w, https:\/\/tecnojupiter.test\/wp-content\/uploads\/2020\/04\/wp-includes_cm4dl7-277x300.png 277w\" sizes=\"(max-width: 507px) 100vw, 507px\" \/><\/figure><\/div>\n\n\n<p><br>Es capaz de navegar por todos los directorios donde est\u00e1 alojada tu web tanto donde est\u00e1n subidas las im\u00e1genes, tema, los plugins que usas etc, porque no estableciste la norma b\u00e1sica de evitar que vean los archivos de esos directorios. <\/p>\n\n\n\n<p>Y nadie quiere que un intruso navegue por todas las carpetas donde est\u00e1 tu web verdad?<\/p>\n\n\n\n<p>Para los hackers encontrar una web y notar que la web est\u00e1 indexando esos directorios es una invitaci\u00f3n a que sepan por donde te pueden atacar, por eso debes evitar que si escriben cualquier direcci\u00f3n se puedan ver los archivos de determinadas carpetas.<\/p>\n\n\n\n<p>Para evitar esto debes dirigirte desde cPanel y en entrar a la opci\u00f3n Index y configurar las opciones de las carpetas para \u201cNo Indexes\u201d, para que no indexe ning\u00fan directorio de la carpeta especificada.<\/p>\n\n\n\n<p>Tambi\u00e9n puedes hacerlo con agregar estas l\u00edneas a tu <code>.htaccess<\/code><\/p>\n\n\n\n<pre class=\"wp-block-preformatted theme:github toolbar:2 lang:default decode:true\"># No permitir ver los directorios\nOptions -Indexes<\/pre>\n\n\n\n<h2 class=\"wp-block-heading\"><span id=\"permisos_a_las_carpetas_y_archivos\"><strong>Permisos a las carpetas y archivos<\/strong><\/span><\/h2>\n\n\n\n<p>Si bien no indexar el directorio de tu web es importante, otro aspecto que pocos toman en cuenta o olvidan. <\/p>\n\n\n\n<p>Es configurar los permisos a las carpetas y archivos donde est\u00e1 alojada tu web, tanto las carpetas donde subes tus im\u00e1genes, plugins, el tema que usas, etc.<\/p>\n\n\n\n<p>Los distintos directorios y ficheros poseen permisos que especifican qui\u00e9n y qu\u00e9 puede leer, escribir, modificar y acceder.<\/p>\n\n\n\n<p>Esto es importante, puesto que WordPress puede necesitar acceso de escritura a ficheros en tu directorio wp-content para activar ciertas funcionalidades de un plugins, etc.<\/p>\n\n\n\n<p>Por defecto en WordPress la configuraci\u00f3n predeterminada que este hace cuando instalas el CMS en el hosting a las carpetas y ficheros que se encuentran en el administrador de archivos es:<\/p>\n\n\n\n<ul>\n<li>Carpetas: 755<\/li>\n\n\n\n<li>Archivos: 644<\/li>\n<\/ul>\n\n\n<div class=\"wp-block-image wp-image-470 size-full\">\n<figure class=\"aligncenter\"><img fetchpriority=\"low\" decoding=\"async\" loading=\"lazy\" width=\"635\" height=\"115\" src=\"https:\/\/tecnojupiter.test\/wp-content\/uploads\/2020\/04\/permisos-ficheros-y-carpetas_brfn3q.png\" alt=\"permisos ficheros hosting\" class=\"wp-image-470\" srcset=\"https:\/\/tecnojupiter.test\/wp-content\/uploads\/2020\/04\/permisos-ficheros-y-carpetas_brfn3q.png 635w, https:\/\/tecnojupiter.test\/wp-content\/uploads\/2020\/04\/permisos-ficheros-y-carpetas_brfn3q-600x109.png 600w, https:\/\/tecnojupiter.test\/wp-content\/uploads\/2020\/04\/permisos-ficheros-y-carpetas_brfn3q-300x54.png 300w\" sizes=\"(max-width: 635px) 100vw, 635px\" \/><figcaption class=\"wp-element-caption\">Tipos de permisos a las carpetas y archivos Hosting.<\/figcaption><\/figure><\/div>\n\n\n<p>Lo cual es una configuraci\u00f3n correcta pero no todas las carpetas y archivos poseen la misma configuraci\u00f3n de permisos esto se debe posiblemente a que hayas instalado un nuevo tema, un nuevo plugins o subido un nuevo archivo.<\/p>\n\n\n\n<p>As\u00ed que debes revisar los permisos de esas carpetas y archivos que se hayan creado por instalar un nuevo plugins o un nuevo tema, ya que todas deben poseer el mismo acceso 755.<\/p>\n\n\n\n<p>Un plus para proteger los archivos <code><strong>.htaccess<\/strong><\/code> y <code><strong>wp-config.php<\/strong><\/code> contra modificaciones de c\u00f3digo, para que nadie m\u00e1s y solamente t\u00fa puedas modificarlos es editar los permisos a:<\/p>\n\n\n\n<ul>\n<li>.htaccess: 604<\/li>\n\n\n\n<li>wp-config: 600<\/li>\n<\/ul>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter\"><img fetchpriority=\"low\" decoding=\"async\" loading=\"lazy\" width=\"499\" height=\"304\" src=\"https:\/\/tecnojupiter.test\/wp-content\/uploads\/2020\/04\/wp-config-permisos_fqeusr.png\" alt=\"wp-config-permisos-carpeta\" class=\"wp-image-493\" srcset=\"https:\/\/tecnojupiter.test\/wp-content\/uploads\/2020\/04\/wp-config-permisos_fqeusr.png 499w, https:\/\/tecnojupiter.test\/wp-content\/uploads\/2020\/04\/wp-config-permisos_fqeusr-300x183.png 300w\" sizes=\"(max-width: 499px) 100vw, 499px\" \/><\/figure><\/div>\n\n\n<p>Estos archivos son esenciales en tu instalaci\u00f3n de WordPress, es por decir, son el coraz\u00f3n de tu web si alguien llegase a modificar el nombre o la contrase\u00f1a de tu base de datos en el <code>wp-config.php<\/code> o modificar alguna l\u00ednea que contiene el <code>.htaccess<\/code> u otro aspecto de tu web, <strong>la misma dejar\u00eda de funcionar correctamente y ser\u00eda un total desastre<\/strong>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span id=\"el_prefijo_de_las_tablas_de_wordpress\"><strong>EL prefijo de las tablas de WordPress<\/strong><\/span><\/h2>\n\n\n\n<p>Crear un prefijo diferente al que te proporciona por defecto WordPress, un prefijo personalizado aumenta m\u00e1s la seguridad de la base de datos ya que se le dificultara a un atacante saber cu\u00e1l es y no el predeterminado prefijo <strong>wp_<\/strong> de WordPress que usa para las tablas por ejemplo wp_pots, wp_terms, wp_comments, wp_links, etc.<\/p>\n\n\n\n<p>As\u00ed que cuando estas instalando WordPress, escribiendo el nombre del dominio, tu usuario y contrase\u00f1a, debes cambiar el prefijo por defecto de tu base de datos por otro de tu elecci\u00f3n. <\/p>\n\n\n\n<p>Por ejemplo safewp_ o lo que se te ocurra con tal de que cumpla con el l\u00edmite de caracteres y no dejar el prefijo por defecto.<\/p>\n\n\n\n<p>Cambiar el prefijo por defecto wp_ a\u00f1adir\u00e1 una nueva capa de seguridad para impedir a posibles atacantes usar t\u00e9cnicas de SQL Injection para tomar el control de nuestro servidor.<\/p>\n\n\n\n<p>Recuerda que por ser un CMS muy popular es propenso a ataques.<\/p>\n\n\n\n<div class=\"ts_important\"><strong>NOTA<\/strong>: Si el prefijo wp_ no lo cambiaste durante la instalaci\u00f3n de WordPress y llevas tiempo usando el CMS, y decides cambiar el prefijo se recomienda realizar un backup de la base de datos antes de realizar este tipo de cambios.<\/div>\n\n\n\n<h2 class=\"wp-block-heading\"><span id=\"cambia_la_ruta_de_login_para_acceder_al_panel_de_administracion\"><strong>Cambia la ruta de login para acceder al panel de administraci\u00f3n<\/strong><\/span><\/h2>\n\n\n\n<p>En una instalaci\u00f3n habitual de WordPress para acceder al panel de administraci\u00f3n la direcci\u00f3n URL por defecto seria:<\/p>\n\n\n\n<p style=\"text-align: center\"><span class=\"bg_label green\">https:\/\/www.tudominio.com\/wp-admin\/<\/span>&nbsp;<\/p>\n\n\n\n<p>Alguien que quiere hackear tu web intentara a acceder a tu panel de administraci\u00f3n de esa manera si le es posible. <\/p>\n\n\n\n<p>Es por ello que siempre recomiendo cambiar la direcci\u00f3n de acceso por defecto a una personalizada mediante la instalaci\u00f3n de alg\u00fan <a href=\"https:\/\/tecnojupiter.test\/tag\/plugins\/\">plugins<\/a> lo cual es la manera m\u00e1s f\u00e1cil de hacerlo.<\/p>\n\n\n\n<p>Por ejemplo una direcci\u00f3n personalizada para acceder a tu panel de administraci\u00f3n utilizando un plugins quedar\u00eda de esta forma:<\/p>\n\n\n\n<p style=\"text-align: center\"><span class=\"bg_label green\">https:\/\/www.tudominio.com\/mi-panel-de-administracion-personalizado<\/span>&nbsp;<\/p>\n\n\n\n<p>O cualquier cosa que se te ocurra.<\/p>\n\n\n\n<div class=\"ts_important\"><strong>Nota<\/strong>: La direcci\u00f3n personalizada para acceder a tu panel de administraci\u00f3n de WordPress no la debes compartir con nadie solamente debes saberla t\u00fa o las personas que tambi\u00e9n administran tu web.<\/div>\n\n\n\n<h2 class=\"wp-block-heading\"><span id=\"instala_un_plugins_de_seguridad_para_bloquear_ip_referer_spam_user-agent\"><strong>Instala un plugins de seguridad para bloquear IP, Referer Spam, User-Agent<\/strong><\/span><\/h2>\n\n\n\n<p>Instalar un <a href=\"https:\/\/tecnojupiter.test\/tag\/plugins\/\">plugins<\/a> de seguridad te facilita la tarea de tener que editar el fichero <code>.htaccess<\/code> para agregar algunas medidas de seguridad.<\/p>\n\n\n\n<p>La mayor\u00eda de los plugins de seguridad te muestran el tr\u00e1fico en vivo de tu web, comprueban si ha habido cambios en alg\u00fan archivo de tu instalaci\u00f3n WordPress, <strong>te permiten aplicar ajustes para evitar los ataques de fuerza bruta, bloqueo de IP de visitantes sospechosos, bloqueo de user-agent, etc.<\/strong><\/p>\n\n\n\n<p>Existen distintos plugins de seguridad en el repertorio de WordPress pero entre los m\u00e1s instalados y recomendables est\u00e1n:<\/p>\n\n\n\n<ul>\n<li><a href=\"https:\/\/es.wordpress.org\/plugins\/wordfence\/\" target=\"_blank\" rel=\"noopener noreferrer\">WordFence<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/es.wordpress.org\/plugins\/all-in-one-wp-security-and-firewall\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">All in One WP Security &amp; Firewall<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/es.wordpress.org\/plugins\/better-wp-security\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">iThemes Security<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><span id=\"limitar_numeros_de_intentos_de_inicio_de_sesion_en_la_pantalla_de_login_wordpress\"><strong>Limitar n\u00fameros de intentos de inicio de sesi\u00f3n en la pantalla de login WordPress<\/strong><\/span><\/h2>\n\n\n\n<p>Si nuestra direcci\u00f3n para acceder al panel de administrador de WordPress se viera comprometida por intentos de ataques de fuerza bruta, puedes instalar un plugins denominado \u201c<a href=\"https:\/\/es.wordpress.org\/plugins\/limit-login-attempts-reloaded\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">Limit Login Attempts Reloaded<\/a>\u201d, que nos permitir\u00e1 bloquear el acceso de posibles atacantes que intenten realizar ataques de fuerza bruta a nuestra web, adem\u00e1s de:<\/p>\n\n\n\n<ul>\n<li>Limitar el n\u00famero de intentos por direcci\u00f3n IP<\/li>\n\n\n\n<li>Limitar el n\u00famero de intentos por cookie<\/li>\n\n\n\n<li>Registro opcional de los intentos realizados<\/li>\n\n\n\n<li>Posibilidad de utilizar una lista blanca de direcciones IP<\/li>\n<\/ul>\n\n\n\n<p>Si has instalado el Plugins de seguridad WordFence este ya cuenta con la opci\u00f3n \u201cLimit Login Attempts\u201d solo debes especificar cuantos intentos por minutos tendr\u00e1 una direcci\u00f3n IP para acceder al panel, tiempo de bloqueo, etc.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span id=\"utilizar_un_cdn_red_de_distribucion_de_contenidos\"><strong>Utilizar un CDN (Red de distribuci\u00f3n de contenidos)<\/strong><\/span><\/h2>\n\n\n\n<p>Usar un servicio CDN (Red de distribuci\u00f3n de contenidos) no solo mejorara la seguridad de tu web sino tambi\u00e9n que acelerara la velocidad de carga de la misma, servicios como <a href=\"https:\/\/www.cloudflare.com\/es\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">CloudFlare<\/a> adem\u00e1s de ofrecerte un sistema de cache muy bueno, por ser un CloudProxy tambi\u00e9n incorpora medidas de protecci\u00f3n como:<\/p>\n\n\n\n<ul>\n<li>Bloqueo de direcciones IP a visitantes sospechosos.<\/li>\n\n\n\n<li>Tu web siempre estar\u00e1 online, si en alg\u00fan momento tu proveedor de alojamiento web sufre una ca\u00edda por objeto de un ataque en curso, CloudFlare mostrara una versi\u00f3n en cache de tu web hasta que vuelva a estar disponible.<\/li>\n\n\n\n<li>Ofuscaci\u00f3n de email, evitando la captura del email en alg\u00fan comentario por parte de un robot.<\/li>\n<\/ul>\n\n\n\n<p>Esta empresa posee otra serie de herramientas m\u00e1s para proteger tu web. <\/p>\n\n\n\n<p>Sin embargo no por usar CloudFlare vas a dejar de usar un plugins de seguridad, dejar de hacer copias de seguridad o eliminar l\u00edneas en el htaccess. Recuerda este CDN solo es una ayuda m\u00e1s.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span id=\"medidas_de_seguridad_a_nivel_de_htaccess\"><strong>Medidas de seguridad a nivel de .htaccess<\/strong><\/span><\/h2>\n\n\n\n<p>Es como un oficial de seguridad donde puedes agregar muchas cosas en esta entrada voy a mencionarte algunas <a href=\"https:\/\/tecnojupiter.test\/htaccess-parametros-y-directivas\/\">l\u00edneas que deber\u00edas colocar en un .htaccess<\/a> para que tu web sea un poco m\u00e1s segura contra ataques.<\/p>\n\n\n\n<div class=\"ts_important\"><strong>Importante<\/strong>: Algunas de las siguientes lineas de c\u00f3digos puedes activarlas con algunos plugins del repertorio de WordPress, aseg\u00farese de no tener activa ninguna en su .htaccess antes de copiar y pegar alguno en su fichero, porque podr\u00eda causar un error interno.<\/div>\n\n\n\n<p><strong>Protege el archivo <code>.htaccess<\/code><\/strong><\/p>\n\n\n\n<p>Para que nadie pueda modificarlo solamente t\u00fa puedes hacer cambios en el.<\/p>\n\n\n\n<pre class=\"wp-block-preformatted theme:github toolbar:2 lang:default decode:true\"># proteger el htaccess\n&lt;files .htaccess&gt;\norder allow,deny\ndeny from all\n&lt;\/files&gt;<\/pre>\n\n\n\n<p><strong>Evitar el hotlinking<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-preformatted theme:github toolbar:2 lang:default decode:true\"># Evitar hotlinking \nRewriteEngine on\nRewriteCond %{HTTP_REFERER} !^$\nRewriteCond %{HTTP_REFERER} !^http(s)?:\/\/(www.)?tudominio.com [NC]\nRewriteCond %{HTTP_REFERER} !^http(s)?:\/\/(www.)?google.com [NC]\nRewriteCond %{HTTP_REFERER} !^http(s)?:\/\/(www.)?bing.com [NC]\nRewriteCond %{HTTP_REFERER} !^http(s)?:\/\/(www.)?yahoo.com [NC]\nRewriteCond %{HTTP_REFERER} !^http(s)?:\/\/(www.)?duckduckgo.com [NC]\nRewriteRule .(jpg|jpeg|png|gif)$ - [NC,F,L]<\/pre>\n\n\n\n<div class=\"ts_important\"><strong>Importante<\/strong>: Debes cambiar tudominio.com por el verdadero nombre de tu dominio, los dominios google, bing, yahoo, duckduckgo que aparecen all\u00ed simplemente es para que aparezcan tu im\u00e1genes en esos buscadores, en dado caso que no quieres que esos buscadores muestren las im\u00e1genes elimina las lineas correspondiente a cada uno.<\/div>\n\n\n\n<p><strong>Debes proteger el archivo <code>wp-config.php<\/code><\/strong><\/p>\n\n\n\n<pre class=\"wp-block-preformatted theme:github toolbar:2 lang:default decode:true\"># Proteger wp-config\n&lt;Files wp-config.php&gt;\norder allow,deny\ndeny from all\n&lt;\/Files&gt;<\/pre>\n\n\n\n<p><strong>Proteger el archivo xmlrpc.<\/strong><\/p>\n\n\n\n<p>Este archivo es uno de lo que m\u00e1s buscan los atacantes para da\u00f1ar tu web. Por eso es esencial que bloquees el acceso a el, tanto que es un archivo que es poco probable que lo uses.<\/p>\n\n\n\n<pre class=\"wp-block-preformatted theme:github toolbar:2 lang:default decode:true\"># proteger xmlrpc\n&lt;Files xmlrpc.php&gt;\n\tOrder Deny,Allow\n\tDeny from all\n&lt;\/Files&gt;\n<\/pre>\n\n\n\n<p>Tambi\u00e9n debes <strong>proteger el directorio includes<\/strong> de tu instalaci\u00f3n WordPress.<\/p>\n\n\n\n<pre class=\"wp-block-preformatted theme:github toolbar:2 lang:default decode:true\"># Bloqueo acceso al directorio includes\nRewriteEngine On\nRewriteBase \/\nRewriteRule ^wp-admin\/includes\/ \u2013 [F,L]\nRewriteRule !^wp-includes\/ \u2013 [S=3]\nRewriteRule ^wp-includes\/[^\/]+.php$ \u2013 [F,L]\nRewriteRule ^wp-includes\/js\/tinymce\/langs\/.+.php \u2013 [F,L]\nRewriteRule ^wp-includes\/theme-compat\/ \u2013 [F,L]\n<\/pre>\n\n\n\n<p><strong>Protege la carpeta uploads<\/strong> para que nadie pueda subir o inyectar ning\u00fan script, php, en ella. Es recomendable crear otro .htaccess en la propia carpeta uploads para implementar el siguiente c\u00f3digo.<\/p>\n\n\n\n<pre class=\"wp-block-preformatted theme:github toolbar:2 lang:default decode:true\"># Proteger carpeta uploads\n\n&lt;Files ~ \".*..*\"&gt;\n\tOrder Allow,Deny\n\tDeny from all\n&lt;\/Files&gt;\n&lt;FilesMatch \".(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|key|zip|rar)$\"&gt;\n\tOrder Deny,Allow\n\tAllow from all\n&lt;\/FilesMatch&gt;\n<\/pre>\n\n\n\n<h2 class=\"wp-block-heading\"><span id=\"desactiva_la_edicion_de_archivos_en_el_panel_de_administracion_de_wordpress\"><strong>Desactiva la edici\u00f3n de archivos en el panel de administraci\u00f3n de WordPress<\/strong><\/span><\/h2>\n\n\n\n<p>Si no editaras ning\u00fan c\u00f3digo de tu tema o algun plugins desde el panel de administraci\u00f3n de WordPress, bloquear la edici\u00f3n de archivos es recomendable, a\u00f1adiendo la siguiente l\u00ednea en el archivo wp-config.php:<\/p>\n\n\n\n<p>define (\u2018DISALLOW_FILE_EDIT\u2019 , true);<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span id=\"contrasena_de_acceso_wp\"><strong>Contrase\u00f1a de acceso WP<br><\/strong><\/span><\/h2>\n\n\n\n<p>Y no menos importante, la contrase\u00f1a. Debes crear un contrase\u00f1a fuerte que no sea f\u00e1cil de adivinar, que posea tantos caracteres num\u00e9ricos como alfab\u00e9ticos, s\u00edmbolos, letras may\u00fasculas y min\u00fasculas.<\/p>\n\n\n\n<p>Ejemplo algo como MiWeb%segura123*-<\/p>\n\n\n\n<div class=\"wp-block-easyblock-note-info\">Algo que puedas recordar f\u00e1cilmente, pero que a la vez sea dif\u00edcilmente de adivinar o descifrar para lo dem\u00e1s.<\/div>\n\n\n\n<h2 class=\"wp-block-heading\"><span id=\"conclusion\">Conclusi\u00f3n<\/span><\/h2>\n\n\n\n<p>Mant\u00e9n tu versi\u00f3n de WordPress actualizada.<br>Seg\u00fan este disponible en el hosting para mejorar la velocidad de WordPress ten activada la ultima versi\u00f3n PHP 7 o superior. Siempre actualiza los plugins y temas instalados, no descargues e instales nuevos temas o plugins de directorios no oficiales.<br>Borra temas o plugins que no utilices y siempre realiza copias de seguridad.<\/p>\n\n\n\n<p>Espero que estos consejos de seguridad te sean muy \u00fatiles.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Suele pasar que nos preocupa demasiado el dise\u00f1o, el aspecto de nuestro web, de c\u00f3mo se ver\u00e1 si colocas un color de fondo que a ti te gusta, si el tipo de letra es el correcto, si la fuente es la adecuada, entre muchos otros aspectos de dise\u00f1o. Que olvidamos lo m\u00e1s esencial y es&#8230;<\/p>\n","protected":false},"author":1,"featured_media":468,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_editorskit_title_hidden":false,"_editorskit_reading_time":0,"_editorskit_is_block_options_detached":false,"_editorskit_block_options_position":"{}","_kad_post_transparent":"","_kad_post_title":"","_kad_post_layout":"","_kad_post_sidebar_id":"","_kad_post_content_style":"","_kad_post_vertical_padding":"","_kad_post_feature":"","_kad_post_feature_position":"","_kad_post_header":false,"_kad_post_footer":false,"footnotes":""},"categories":[5],"tags":[18],"_links":{"self":[{"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/posts\/467"}],"collection":[{"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/comments?post=467"}],"version-history":[{"count":1,"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/posts\/467\/revisions"}],"predecessor-version":[{"id":2834,"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/posts\/467\/revisions\/2834"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/media\/468"}],"wp:attachment":[{"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/media?parent=467"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/categories?post=467"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tecnojupiter.test\/wp-json\/wp\/v2\/tags?post=467"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}