Limpiar un hackeo

Es posible que te hayan infectado, hackeado, atacado… cualquiera de estas opciones es posible si tu sitio tiene un agujero de seguridad por falta de actualización o por disponer activado o no una plantilla o plugin que ha sido mal desarrollada.

Checksum

Una de las formas más rápida para verificar si un sitio WordPress ha sido comprometido es el uso de alguna herramienta que valide el código de una forma poco costosa.

Auditor

Cuando hablamos de seguridad hay que tener un plan de prevención para poder recuperar los datos, pero también hay que saber qué ha ocurrido para llegar a ese punto.

wp-config.php

El fichero de configuración de WordPress [wp-config.php] esconde muchas funcionalidades que ayudan a mejorar la seguridad y rendimiento del sistema.

Firewall / WAF

Podemos activar determinadas herramientas de seguridad activa que intenten evitar lo más en tiempo real posible ataques o cambios.

Subir ficheros sin filtro

Cuando hablamos de subir elementos multimedia a través del panel de administración solemos hacer referencia a imágenes, documentos y ficheros conocidos.

Emoji

WordPress integra los Emoji desde hace muchas versiones, convirtiendo los iconos de texto en imagen. Pero este sistema implica algunos problemas de detección de versiones.

Desactivar HTTP TRACE / TRACK

TRACK y TRACE son dos métodos que vienen por defecto con Apache HTTPD y que se usan principalmente para análisis, pero estos métodos, usados en WordPress, pueden comprometer la seguridad del sitio.

Cookies

En una instalación simple de WordPress, definiremos concretamente dónde se almacenarán las galletas (cookies) para que no sean tan fácilmente accesibles.

WP-CLI

Hacer mantenimiento de un sitio WordPress no suele ser complejo, pero a veces puede ser complejo gestionar muchos sitios en un mismo servidor.

Ocultar la versión de WordPress

La versión de WordPress está bastante disponible, ya que forma parte del código del sitio, por lo que hay que ocultarla de varias formas en varios lugares.

Versión mínima de PHP

Desde hace unas pocas versiones de WordPress, todos aquellos desarrolladores de plugins pueden indicar la versión mínima de PHP necesaria para que funcione.

Licencias

Existen servicios de pago que requieren una licencia para funcionar y habitualmente estas licencias se añaden desde el panel de administración.

CDN

A la hora de escalar, cachear, evitar ataques nunca hay una situación ideal, pero sí servicios por Internet que te ayudan a protegerte de una forma más o menos sencilla, como son los CDN.

Herramientas para Webmasters

Tener un WordPress es tener un sitio web, y como tal te convierte en webmaster. Esto significa que por Internet te encontrarás muchas herramientas que podrás utilizar para analizar tu sitio web.

Copias de seguridad

Si hablamos de seguridad hemos de hablar de copias de seguridad (backups). No tiene sentido poner medidas que ayudan a la seguridad de tu sitio si luego no tienes una copia del mismo que permita restaurar una configuración fallida.

Plantilla por defecto

Aunque normalmente no es algo que suela pasar, es posible que tu plantilla falle por alguna razón (por alguna incompatibilidad, porque se borren algunos ficheros…)

Caché

Una vez más, lo que probablemente sea una recomendación general y muy útil, como la de activar las caché de WordPress, se convierte en un elemento que ayuda a aumentar la seguridad de tu sitio.

Copias antiguas

Una vez más volvemos a temas que afectan principalmente a rendimiento y, en este caso, es el de ir vaciando la base de datos de copias antiguas de entradas o páginas.