[ES] – Segurizar WordPress bajo Apache

Proteger WordPress con servidor Apache

Para proteger un sitio web con WordPress en él, debemos añadir las siguientes directivas:

Esas directivas se añaden donde se crea el sitio web. Es decir, en la creación de sitio web tenemos una barra de navegación donde hay que ir a opciones.

Haciendo clic en ‘Options‘ se nos abre una venta nueva, con diferentes apartados a rellenar. Buscamos el apartado que se llama ‘Apache Directives‘, donde tenemos que añadir las siguientes directivas:

<Files xmlrpc.php>
    Require all denied
</Files>
<Files wp-config.php>
    Require all denied
</Files>

También en las mismas directivas añadimos los siguientes snippets:

<IfModule mod_rewrite.c>
      RewriteEngine On
      RewriteBase /
      RewriteRule ^wp-admin/includes/ - [F,L]
      RewriteRule !^wp-includes/ - [S=3]
      RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
      RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
      RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

Una vez añadidas las lineas anteriores, guardamos los cambios.

A continuación hay que modificar el fichero functions.php. Este fichero se encuentra en web/wp-includes. La modificación consiste en añadir las siguientes líneas al código:

add_filter('json_enabled', '__return_false');

add_filter('json_jsonp_enabled', '__return_false'
Medidas de seguridad adicionales

1.- Para comprobar la seguridad de un sitio, se puede usar el siguiente link https://transparencyreport.google.com/safe-browsing/search introduciendo la URL de su sitio web.

Ésta página web nos permite ver si el dominio es seguro o no.

2.- Para obtener más seguridad se pueden cambiar salts de seguridad y credenciales en el fichero wp-config.php  que se encuentra el el directorio web. Los que están indicados con un rectángulo rojo, son los que se tienen que cambiar por cualquier frase o combinación de letras, números y caracteres especiales.

3.- Otra manera es también cambiar la contraseña del la base de datos. El cambio se tiene que hacer en el mismo fichero wp-config.php y en ispconfig, en la parte de ‘Database users‘.

Caching

Para optimizar los tiempos de acceso, y también para bajar la carga del servidor y activar el caching en el navegador de su dispositivo, conviene agregar lo siguiente en la sección de Opciones (en este caso, caching de 30 días)

ExpiresByType image/png A2592000 ExpiresByType image/gif A2592000 ExpiresByType image/jpg A2592000 ExpiresByType image/jpeg A2592000 ExpiresByType text/javascript A2592000 ExpiresByType application/x-javascript A2592000 ExpiresByType text/css A2592000