{"id":11344,"date":"2023-02-28T14:54:18","date_gmt":"2023-02-28T14:54:18","guid":{"rendered":"https:\/\/wcanvas.com\/?post_type=blogs&p=11344"},"modified":"2024-12-23T21:02:43","modified_gmt":"2024-12-23T21:02:43","slug":"practicas-avanzadas-seguridad-wordpress","status":"publish","type":"blogs","link":"https:\/\/wcanvas.com\/es\/blog\/practicas-avanzadas-seguridad-wordpress\/","title":{"rendered":"7 pr\u00e1cticas avanzadas de seguridad en WordPress."},"content":{"rendered":"\n

Estas pr\u00e1cticas avanzadas de seguridad para WordPress te van a ayudar a proteger tu sitio web incluso m\u00e1s, despu\u00e9s de que hayas implementado las medidas b\u00e1sicas m\u00ednimas de seguridad para protegerlo.<\/p>\n\n\n\n

WordPress es uno de los CMS m\u00e1s com\u00fanmente atacados, principalmente porque es el m\u00e1s popular a nivel mundial. Como resultado, los due\u00f1os de sitios web deber\u00edan actualizar constantemente los componentes del sitio y tomar otras medidas de seguridad.<\/p>\n\n\n\n

Aplica estas siete pr\u00e1cticas avanzadas de seguridad para WordPress para mantenerte protegido.<\/p>\n\n\n\n

Bloquear el hotlinking de im\u00e1genes<\/h2>\n\n\n\n
\"Una<\/figure>\n\n\n\n

El \u201chotlinking\u201d de im\u00e1genes significa incrustar una imagen en una p\u00e1gina web enlazando su URL original, que apunta al servidor que la aloja. Funciona as\u00ed: el Sitio A incrusta una imagen del Sitio B, por lo que cada vez que un visitante del Sitio A carga esa imagen, es el servidor del Sitio B el que utiliza ancho de banda y recursos inform\u00e1ticos para proporcionarla.<\/p>\n\n\n\n

Esto significa que el servidor del Sitio B est\u00e1 usando recursos para proporcionar una imagen sin recibir tr\u00e1fico, lo cual es de mal gusto, incrementa los costos de hosting para los due\u00f1os del Sitio B y puede exponer a los usuarios del Sitio A a brechas de seguridad si el contenido del enlace cambia a algo malicioso.<\/p>\n\n\n\n

Dependiendo de la marca del servidor que uses, esto es lo que necesit\u00e1s hacer.<\/p>\n\n\n\n

En servidores Apache<\/h3>\n\n\n\n

Si tu sitio est\u00e1 alojado en un servidor Apache, necesit\u00e1s editar o crear el archivo .htaccess para incluir el siguiente fragmento:<\/p>\n\n\n\n

RewriteEngine on\n\nRewriteCond %{HTTP_REFERER} !^$\n\nRewriteCond %{HTTP_REFERER} !^http(s)?:\/\/(www.)?tudominio.com [NC]\n\nRewriteCond %{HTTP_REFERER} !^http(s)?:\/\/(www.)?google.com [NC]\n\nRewriteCond %{HTTP_REFERER} !^http(s)?:\/\/(www.)?bing.com [NC]\n\nRewriteCond %{HTTP_REFERER} !^http(s)?:\/\/(www.)?yahoo.com [NC]\n\nRewriteRule .(jpg|jpeg|png|gif|svg)$ - [F]<\/code><\/pre>\n\n\n\n
Donde dice \u201ctudominio.com\u201d, sustituilo por el nombre de tu dominio. <\/p>\n\n\n\n
Este comando le dice a tu servidor lo siguiente: “si est\u00e1s sirviendo un archivo .gif, .png, .jpeg, .jpg, o .svg, solo servilo para estos dominios: Google, Bing, Yahoo, y el dominio de mi propio sitio web. Si el dominio que solicita el archivo no es uno de estos, devolv\u00e9 un error 403.\u201d<\/p>\n\n\n\n
Est\u00e1s permitiendo motores de b\u00fasqueda populares porque el tr\u00e1fico de los mismos es bueno ya que te est\u00e1n dirigiendo tr\u00e1fico a vos en lugar de consumir el ancho de banda de tu servidor.<\/p>\n\n\n\n
En servidores Nginx<\/h3>\n\n\n\n
Si tu sitio est\u00e1 alojado en un servidor Nginx, abr\u00ed tu archivo de configuraci\u00f3n y agreg\u00e1 el siguiente fragmento:<\/p>\n\n\n\n
location ~ .(gif|png|jpe?g|svg)$ {\n\n     valid_referers none blocked ~.google. ~.bing. ~.yahoo. tudominio.com *.tudominio.com;\n\n     if ($invalid_referer) {\n\n        return 403;\n\n    }\n\n}<\/code><\/pre>\n\n\n\n
Donde dice \u201ctudominio.com\u201d, sustituilo por el nombre de tu dominio.<\/p>\n\n\n\n
Desactivar XML-RPC<\/h2>\n\n\n\n
XML-RPC es un protocolo que permite a la instalaci\u00f3n central de WordPress comunicarse con otros sistemas. Utiliza HTTP como mecanismo de transporte y XML para la codificaci\u00f3n. El XML-RPC es necesario para usar la app de WordPress desde tu smartphone Android o iOS, lo cual te permite gestionar tu sitio web mientras est\u00e1s en movimiento. <\/p>\n\n\n\n
Aunque es \u00fatil, este protocolo tiene vulnerabilidades de seguridad conocidas que pueden exponer tu sitio a ataques de denegaci\u00f3n de servicio y m\u00e1s. Si est\u00e1s dispuesto a sacrificar la gesti\u00f3n de tu sitio desde tu tel\u00e9fono, pod\u00e9s protegerlo m\u00e1s desactivando la funci\u00f3n XML-RPC.<\/p>\n\n\n\n
La forma m\u00e1s r\u00e1pida de desactivarlo es instalando el plugin \u201cDisable XML-RPC-API<\/a>\u201d, que lo bloquear\u00e1 inmediatamente.<\/p>\n\n\n\n
Filtrar la entrada de usuario<\/h2>\n\n\n\n
\"Una<\/figure>\n\n\n\n
Filtrar la entrada de usuario es esencial para prevenir ataques que se basan en inyectar c\u00f3digo a un sitio web a trav\u00e9s de campos de entrada de usuario como comentarios, b\u00fasquedas y formularios. Los atacantes pueden introducir comandos y scripts maliciosos en estos campos si no se implementan las verificaciones de seguridad adecuadas.<\/p>\n\n\n\n
Los ataques comunes que aprovechan esta vulnerabilidad incluyen ataques de scripting entre sitios (XXS) y de inyecci\u00f3n SQL. Algunas de las medidas que pod\u00e9s tomar para prevenir entradas maliciosas incluyen las siguientes:<\/p>\n\n\n\n