[ES] – Segurizar WordPress bajo Nginx

Proteger WordPress con servidor nginx

Para proteger un sitio web con WordPress, debemos incluir las siguientes directivas en nuestro ISPConfig:

Esas directivas se añaden donde se crea el sitio web. Es decir, en la creación de sitio web tenemos una barra de navegación donde hay que ir a opciones.

Clicando en “Options” se nos abre una venta nueva, con diferentes apartados a rellenar. Buscamos el apartado que se llama ‘Nginx Directives‘. Donde tenemos que añadir las siguientes directivas.

location ~* /wp-includes/.*.php$ {
         deny all;
         access_log off;
         log_not_found off;
}

location ~* /wp-content/.*.php$ {
         deny all;
         access_log off;
         log_not_found off;
}

location ~* /wp-content/uploads/.*.php$ {
         deny all;
         access_log off;
         log_not_found off;
}

location ~* /wp-content/plugins/.*.php$ {
         deny all;
         access_log off;
         log_not_found off;
}

location ~* /wp-content/themes/.*.php$ {
         deny all;
         access_log off;
         log_not_found off;
}
location = /xmlrpc.php {
         deny all;
         access_log off;
         log_not_found off;
}

Una vez añadidas las lineas anteriores, guardamos los cambios.

A continuación hay que modificar el fichero functions.php. Este fichero se encuentra en web/wp-includes. La modificación consiste en añadir las siguientes líneas al código:

add_filter('json_enabled', '__return_false');

add_filter('json_jsonp_enabled', '__return_false'
Medidas de seguridad adicionales

1.- Para comprobar la seguridad de un sitio, se puede usar el siguiente link
https://transparencyreport.google.com/safe-browsing/search y introduciendo el nombre de su dominio.

Este link nos permite ver si el dominio es seguro o no.

2.- Para obtener más seguridad se pueden cambiar salts de seguridad y credenciales en el fichero wp-config.php  que se encuentra el el directorio web. Los que están indicados con un rectángulo rojo, son los que se tienen que cambiar por cualquier frase oc combinación de letras,números y caracteres especiales.

3.- Otra manera es también cambiar la contraseña del la base de datos. El cambio se tiene que hacer en el mismo fichero wp-config.php y en ISPConfig, en la parte de ‘Database users‘.