Sign up to save your podcasts
Or
Share Radio WordPress #14: Seguridad básica para WordPress
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Radio WordPress #14: Seguridad básica para WordPress
La seguridad de WordPress es mucho más que WordPress, a veces es necesario tocar cosas que no se pueden tocar desde nuestro panel del WordPress.
En el capítulo de hoy vamos a ver cómo securizar nuestro WordPress impidiendo se puedan ejecutar ficheros que no se debe desde fuera y evitando que se puedan editar ficheros desde el propio panel de WordPress.
CÓDIGO PARA EL .HTACCESS DESCRITO EN EL AUDIO
# Securizar ficheros
RedirectMatch 403 (?i)(^#.*#|~)$
RedirectMatch 403 (?i)/readme\.(html|txt)
RedirectMatch 403 (?i)\.(ds_store|well-known)
RedirectMatch 403 (?i)/wp-config-sample\.php
RedirectMatch 403 (?i)\.(7z|bak|bz2|com|conf|dist|fla|git|inc|ini|log|old|psd|rar|tar|tgz|save|sh|sql|svn|swo|swp)$
CÓDIGO PARA DESHABILIITAR EL EDITOR DE FICHEROS EN WORDPRESS
/** Deshabilitar editar ficheros desde el panel */
define (‘DISALLOW_FILE_EDIT’, true);
[showhide type=”transcripcion” more_text=”Ver transcripción(%s más palabras)” less_text=”Esconder transcripción (%s menos palabras)”]
Transcripción
Hola a todos, esto es Radio WordPress.com, un podcast dedicado a todos aquellos que de una manera u otra convivimos con WordPress.
Mi nombre es Eduardo Collado, este es el capítulo 14 y juntos vamos a ver técnicas básicas de seguridad de nuestro WordPress, vamos a seguir con lo que llevamos unos días y es profundizando sobre la seguridad en WordPress y las mejores formas de trabajar con este fantástico CMS.
—MÚSICA—
Es muy curiososo, hay muchísima literatura sobre WordPress, muchísimos tutoriales, muchísimo de todo, pero a la hora de profundizar un poco ya no hay tanto, y hablo de profundizar un poco, un poco, no una barbaridad.
Al WordPress le pasa lo mismo que al Windows, todo el mundo sabe hacer lo mínimo, pero si pides un poquito más ya hay muy poquita gente que sepa hacerlo y que se mueva con soltura, o ¿tódo el mundo sabe configurar un directorio activo o un exchange en condiciones?, pues eso le pasa a WordPress.
Instalar un WordPress es algo sencillo, pero securizarlo aunque también sea sencillo hay poca gente que sabe hacerlo, así que si tu eres de los que no saben securizarlo, al menos la parte básica, no te precoupes, en tan sólo 10 minutos habrás cambiado de bando y ya sabrás securizarlo, vamos allá.
—MÚSICA—
Si os dedicáis a vender mantenimiento de Wordpress de vuestros clientes estoy seguro que preferís usar vuestro tiempo en vender más mantenimientos que en estar todo el día arreglando fallos de seguridad, de verdad, estoy convencido.
Cuando instalamos un Worpdress, un tema o un plugin podemos estar instalando sin saberlo cosas que no queremos, ficheros que pueden hacer que nuestro WordPress sea vulnerable, y eso es algo que queremos evitar a toda costa.
Cada uno puede hacer lo que quiera, faltaría más, pero cuando toméis un nuevo WordPress para instalar o para mantener además de seguir pasos ya vistos en el podcast como todo el trabajo previo con las contraseñas, los backups y demás, podéis securizarlo impidiendo el acceso a ficheros que no deberían de estar en vuestro WordPress, obviamente borrarlos, pero a veces puede quedar alguno por ahí perdido y si además de borrarlos bloqueáis el acceso a esos ficheros a través del .htaccess pues mejor que mejor.
Lo ideal es bloquear el acceso a todos los ficheros que empiecen o terminen con una almohadilla, con una tilde, la de la eñe, los readme.html y readme.txt, aquellos ficheros llamados .ds_store y similar, el wp-config-sample.php y ficheros con extensiones como .sql, .bak, .conf, etc..
Si bloqueamos todo eso estaremos bloqueando una buena cantidad de posibles problemas.
Para hacer eso en las notas del programa, en radiowordpress.com,
View all episodes
By Eduardo ColladoLa seguridad de WordPress es mucho más que WordPress, a veces es necesario tocar cosas que no se pueden tocar desde nuestro panel del WordPress.
En el capítulo de hoy vamos a ver cómo securizar nuestro WordPress impidiendo se puedan ejecutar ficheros que no se debe desde fuera y evitando que se puedan editar ficheros desde el propio panel de WordPress.
CÓDIGO PARA EL .HTACCESS DESCRITO EN EL AUDIO
# Securizar ficheros
RedirectMatch 403 (?i)(^#.*#|~)$
RedirectMatch 403 (?i)/readme\.(html|txt)
RedirectMatch 403 (?i)\.(ds_store|well-known)
RedirectMatch 403 (?i)/wp-config-sample\.php
RedirectMatch 403 (?i)\.(7z|bak|bz2|com|conf|dist|fla|git|inc|ini|log|old|psd|rar|tar|tgz|save|sh|sql|svn|swo|swp)$
CÓDIGO PARA DESHABILIITAR EL EDITOR DE FICHEROS EN WORDPRESS
/** Deshabilitar editar ficheros desde el panel */
define (‘DISALLOW_FILE_EDIT’, true);
[showhide type=”transcripcion” more_text=”Ver transcripción(%s más palabras)” less_text=”Esconder transcripción (%s menos palabras)”]
Transcripción
Hola a todos, esto es Radio WordPress.com, un podcast dedicado a todos aquellos que de una manera u otra convivimos con WordPress.
Mi nombre es Eduardo Collado, este es el capítulo 14 y juntos vamos a ver técnicas básicas de seguridad de nuestro WordPress, vamos a seguir con lo que llevamos unos días y es profundizando sobre la seguridad en WordPress y las mejores formas de trabajar con este fantástico CMS.
—MÚSICA—
Es muy curiososo, hay muchísima literatura sobre WordPress, muchísimos tutoriales, muchísimo de todo, pero a la hora de profundizar un poco ya no hay tanto, y hablo de profundizar un poco, un poco, no una barbaridad.
Al WordPress le pasa lo mismo que al Windows, todo el mundo sabe hacer lo mínimo, pero si pides un poquito más ya hay muy poquita gente que sepa hacerlo y que se mueva con soltura, o ¿tódo el mundo sabe configurar un directorio activo o un exchange en condiciones?, pues eso le pasa a WordPress.
Instalar un WordPress es algo sencillo, pero securizarlo aunque también sea sencillo hay poca gente que sabe hacerlo, así que si tu eres de los que no saben securizarlo, al menos la parte básica, no te precoupes, en tan sólo 10 minutos habrás cambiado de bando y ya sabrás securizarlo, vamos allá.
—MÚSICA—
Si os dedicáis a vender mantenimiento de Wordpress de vuestros clientes estoy seguro que preferís usar vuestro tiempo en vender más mantenimientos que en estar todo el día arreglando fallos de seguridad, de verdad, estoy convencido.
Cuando instalamos un Worpdress, un tema o un plugin podemos estar instalando sin saberlo cosas que no queremos, ficheros que pueden hacer que nuestro WordPress sea vulnerable, y eso es algo que queremos evitar a toda costa.
Cada uno puede hacer lo que quiera, faltaría más, pero cuando toméis un nuevo WordPress para instalar o para mantener además de seguir pasos ya vistos en el podcast como todo el trabajo previo con las contraseñas, los backups y demás, podéis securizarlo impidiendo el acceso a ficheros que no deberían de estar en vuestro WordPress, obviamente borrarlos, pero a veces puede quedar alguno por ahí perdido y si además de borrarlos bloqueáis el acceso a esos ficheros a través del .htaccess pues mejor que mejor.
Lo ideal es bloquear el acceso a todos los ficheros que empiecen o terminen con una almohadilla, con una tilde, la de la eñe, los readme.html y readme.txt, aquellos ficheros llamados .ds_store y similar, el wp-config-sample.php y ficheros con extensiones como .sql, .bak, .conf, etc..
Si bloqueamos todo eso estaremos bloqueando una buena cantidad de posibles problemas.
Para hacer eso en las notas del programa, en radiowordpress.com,