Avisos
Vaciar todo
Hola,
Disculpen que venga con algo largo, pero estuve leyendo todos los posts de Webempresa en cuanto a seguridad, antes de escribir, y veo que los más recientes son de 2020. Haré todos las preguntas que tengo de una vez.
Antes de implementar todo, quiero estar segura de lo que hago, no lo he hecho antes.
No tengo implementada ninguna seguridad ahorita y voy a abrir la web.
1.- Para todos los casos a implementar: permite que el soporte de algunos plugins puedan accesar para resolver problemas con las claves que les he creado?
2.- CPanel--> PRIVACIDAD DEL DIRECTORIO
a.- Protege tanto wp-admin como wp-login? Es lo mismo que cambiar la url?
b.- La nueva ruta de acceso sería midominio.com/Nombre directorio protegido?
c.- El nombre de usuario y clave serían los nuevos?
d.- La ruta actual, nombre de usuario y contraseña ya no serían necesarios o debo entrar primero con esos? No entiendo.
3.- Los que se implementan en el archivo .htaccess:
a.- Es en el de midominio.com, cierto?
b.- No se eliminan con las actualizaciones?
c.- Van al principio o al final?
Proteger archivo .htaccess
<Files .htaccess>
order allow,deny
deny from all
</Files>
Proteger archivo wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
Proteger archivo wp-content
Order deny,allow
Deny from all
<Files ~ ".(xml|css|jpe?g|png|gif|js)$">
Allow from all
</Files>
4.- No dar pistas al fallar el logueo
a.- No se eliminan con las actualizaciones?
b.- Van al principio o al final?
wp-content---> themes--> mi tema--> functions.php
function no_wordpress_errors(){ return ‘Ups, ha ocurrido algo y no puedes acceder’; } add_filter( ‘login_errors’, ‘no_wordpress_errors’ );
5.- Cabecera Content-Security-Policy
a.- Es preferible no implementarla?
Esto lo leí como respuesta de uno de ustedes en un foro de 2020
Usar CSP Content-Security-Policy es un poco más complejo, de hecho requiere un conocimiento de los recursos que va a cargar tu sitio y de acuerdo a eso
establecer estas cabeceras, además requerírás una etapa de pruebas antes de implementarlo.
Ten en cuenta que con esta implementación le indicas al navegador sólo los recursos que debe cargar, si en algún momento instalas un plugin adicional o
cambias de tema posiblemente tu implementación no funcione.
Te sugiero que lo tomes lo que te indica WPDoctor como sugerencia pero no algo que tengas que seguir estrictamente.
6.- Cabecera X-Content-Type
Cabecera X-Frame
Cabecera XSS
a.- Esto cubre las 3 cabeceras y no generan problemas como la anterior?
al final del archivo functions.php:
add_action( 'send_headers', 'add_header_seguridad' );
function add_header_seguridad() {
header( 'X-Content-Type-Options: nosniff' );
header( 'X-Frame-Options: SAMEORIGIN' );
header( 'X-XSS-Protection: 1;mode=block' );
}
7.- Proteger archivo error_log
Lo leí en un foro de 2018 pero el único que veo por fuera de mi dominio esta en cgi-bin
a.- Es necesario?
b.- Es por aquí mismo, verdad? CPanel--> PRIVACIDAD DEL DIRECTORIO
8.- Prevenir entrada por la puerta de atrás en PHP
Lo leí en uno de los sus posts que ahora no encuentro y no se que se debe hacer.
9.- Archivos que comprometen la seguridad de WordPress:
a.- Se vuelven a instalar con las actualizaciones. Hay que estar borrándolos cada nueva actualización?
tudominio.com/readme.html
tudominio.com/license.txt
b,- license.txt de plugins. Esos no importan, cierto?
Hay un montón archivos de este tipo. Solo: license.txt o con el nombre mas largo, como: jszip.vendor.dc89f0ba11b047e93d46.bundle.min.js.LICENSE.txt
Muchas gracias por el apoyo
Contenido solo visible a usuarios registrados
Respondido : 14/07/2022 10:44 pm
Hola Veronique,
Comprendemos que tengas varias dudas, sin embargo, por temas de foro vamos a atender una en este tema y para las demás puedes crear un tema para cada duda, esto por que este tema se hará muy largo sobre todo porque hay ajustes que debes ver y conocer otras guias que tenemos.
Con respecto a este punto:
1.- Para todos los casos a implementar: permite que el soporte de algunos plugins puedan acceder para resolver problemas con las claves que les he creado?
No comprendo del todo lo que nos escribes, ya que los ajustes que estas comentando en los demas puntos de abajo no tienen que ver con un usuario que le crees a estos soportes, si tu creas un acceso en tu wordpress para el area de administracion no tendran igual acceso a los archivos del sistema.
Vamos a responder en este tema esta consulta:
2.- CPanel--> PRIVACIDAD DEL DIRECTORIO
a.- Protege tanto wp-admin como wp-login? Es lo mismo que cambiar la url?
b.- La nueva ruta de acceso sería midominio.com/Nombre directorio protegido?
c.- El nombre de usuario y clave serían los nuevos?
d.- La ruta actual, nombre de usuario y contraseña ya no serían necesarios o debo entrar primero con esos? No entiendo.
Cuando comentas privacidad del directorio a que te refieres? por que lo que comentas en los puntos siguientes a esos tratados por ti misma como a,b,c, y d no tienen que ver con el cpanel sino con la url de acceso al wordpress. ten en cuenta el darnos el contexto de la pregunta delo contrario no podemos saber del todo a que te estás refiriendo, y evita separarlo por punto y indicarnos a detalle cada punto sobretodo el contexto es fundamental para comprender la consulta que nos realizas.
Un saludo 🖐️
Respondido : 14/07/2022 11:05 pm
@argenis gracias por tu respuesta.
No implementaré nada de esto por el momento. Buscaré mas información al respecto.
Por ahora, esperaré. Confío en la seguridad de Webempresa como primera barrera.
Respondido : 16/07/2022 10:15 am
