Configuración de seguridad recomendada para WordPress
Anuncio:
En esta ocasión, os voy a mostrar una configuración de seguridad recomendada para WordPress. Parámetros que yo suelo utilizar y que podemos configurar en el archivo wp-config.php
Lo primero que creo que debemos hacer, es deshabilitar las actualizaciones automáticas de WordPress. Siempre es aconsejable tener nuestro sitio actualizado, pero si utilizamos varios plugins y sobre todo si utilizas Woocommerce, en ocasiones se rompe la web cuando se actualiza WordPress antes de Woocommerce. Así que lo ideal es estar pendiente de las actualizaciones, probarlas y una vez confirmado su buen funcionamiento, aplicar las actualizaciones manualmente en tu sitio web. Esto tienes que evaluarlo tu en función de tu sitio web.
Si quieres deshabilitar las actualizaciones automáticas puedes editar tu archivo wp-config.php y añadir la siguiente línea:
define('WP_AUTO_UPDATE_CORE', 'false');
Lo siguiente que vamos a hacer es forzar el uso de HTTPS. Esto lo puedes hacer con un parámetro de base de datos, pero hay algunos plugins, en principio mal programados, que no hacen uso de este parámetro, por lo que podemos forzar el https de nuestra web desde el archivo de configuración, además de tener un poquito de mejor rendiemiento al hacerlo directamente desde aquí en lugar de tener que acceder a bbdd. Para forzar el uso de https desde el wp-config lo editamos y vamos a agregar la siguiente línea:
define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);
Además vamos a forzar que todo el contenido de nuestra web vaya por https con:
define( 'WP_HOME', 'https://tudominio.com' );
define( 'WP_SITEURL', 'https://tudominio.com' );
Por último, y esto si creo que es bastante importante, tenemos que deshabilitar la edición de archivos de nuestro tema, estilos y demás desde el panel de administración. Esta funcionalidad es utilizada en muchos ataques para alterar nuestro sitio web, así que si lo deshabilitamos estaremos a salvo de este tipo de ataques. Para ello, vamos a agregar a nuestro wp-config lo siguiente:
define( 'DISALLOW_FILE_EDIT', true );
Estas 3 sencillas acciones conforman mi configuración recomendada de seguridad para WordPress. Lo más básico que creo que podemos hacer. Puedes aprender más en nuestra sección de WordPress.
Espero que te haya sito de utilidad!