Diferències

Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.

Enllaç a la visualització de la comparació

--- web:security:wordpress:seguridad [20/10/2025 02:41] – [Amanenazas] mate
+++ web:security:wordpress:seguridad [22/10/2025 00:15] (actual) – [securización] mate
@@ Línia 72: / Línia 72: @@
       * versión servidor web
   * plugin **WordFence**
-    * desactivar **pausar actualizaciones en vivdo cuando la ventana pierde el foco**
+    * desactivar en Opciones generales de WordFence -> **pausar actualizaciones en vivo cuando la ventana pierde el foco**
     * opciones de exploración y planificación -> alta sensibilidad
     * iniciar nueva exploración -> listado de vulnerabilidades
-    * plugin sin soporte:
-      * alternativas equivalentes
-      * buscar solución a través de IA (claude.ia, por ejemplo)
 === actualizaciones
@@ Línia 88: / Línia 86: @@
 === corrección vulnerabilidadeas
+  * Eliminar o sustituir abandonados o no en uso
+  * Planificar sustitución
+  * plugin sin soporte:
+    * alternativas equivalentes
+    * buscar solución a través de IA (claude.ia, por ejemplo)
 === securización
-== procedimiento actualización
+  * Limitar el número de accesos erróneos
-  - vaciar cache si se usa alguna
+    * .htaccess (requiere IP Fija en el cliente)
-  - modo mantenimiento
+    * WordFence
-  - plugins
+      * protección contra ataques de fuerza bruta
-  - temas
+  * 2FA activo
-  - core
+    * WordFence tiene
+  * Cambiar "admin"
+    * plugin: https://wordpress.org/plugins/change-username/
+    * manual:
+      * crear nuevo
+      * eliminar aniguo, asignar el contenido a otro usuario
+  * Desactivar XML-RPC-API
+    * [[https://wordpress.org/plugins/disable-xml-rpc-api/]] (Neatma (Amin Nazemi) )
+    * .htaccess:<code apache>
+<Files xmlrpc.php
+Oder Deny,Allow
+Deny from all
+</Files>
+</code>
+    * vinculado al tema:<code php functions.php>// Desactivar XML-RPC completamente
+add_filter('xmlrpc_enabled', '__return_false’);
+// Eliminar headers de XML-RPC
+remove_action('wp_head', 'rsd_link’);
+remove_action('wp_head', 'wlwmanifest_link');</code>
+  * contraseñas largas y únicas
+    * WordFence
+  * Asignar roles apropiados
+    * plugin (para necesidades especiales): [[https://es.wordpress.org/plugins/user-role-editor/]]
+  * Desactivar feeds y atom
+    * plugin [[https://es.wordpress.org/plugins/disable-feeds-wp/]]
+  * Desactivar enumeración de usuarios
+    * WordFence
+  * Desactivar logs de WP y PHP
+    * <code apache .htaccess>php_flag display_errors Off
+php_flag display_startup_errors Off
+php_flag log_errors Off
+php_value error_reporting 0</code>
+    * <code php wp-config.php>define('WP_DEBUG', false);
+define('WP_DEBUG_LOG', false);
+define('WP_DEBUG_DISPLAY', false);
+@ini_set('display_errors', 0);</code>
+    * en caso de necesitar el fichero debug.log:<code apache .htaccess># Proteger debug.log
+<Files debug.log>
+Order allow,deny
+Deny from all
+</Files></code>
+  * Ocultar versión de WP
+    * WordFence
+  * Borrar ficheros de identificación
+    * Manual:
+      * readme.html
+      * licente.txt
+      * licencia.txt
+      * wp-config-sample.php
+    * Bloqueo en .htaccess:<code apache>
+<FilesMatch "^(readme\.html|license\.txt|licencia\.txt|wp-config-sample\.php)$"> Order Allow,Deny
+Deny from all
+</FilesMatch>
+</code>
+    * Plugin: [[https://es.wordpress.org/plugins/wp-hide-security-enhancer/]]
+  * Desactivar exploración de directorios
+    * buscar en Google: site:<URL> intitle:"index of"
+    * WordFence
+    * <code apache .htaccess>Options -Indexes</code>
+  * Cabeceras de seguridad (contra XSS)
+    * <code apache .htaccess><IfModule mod_headers.c>
+# -------------------------------------------------------------
+#  SEGURIDAD BÁSICA DE NAVEGADOR
+# -------------------------------------------------------------
+# Evita que el navegador intente adivinar tipos MIME
+Header always set X-Content-Type-Options "nosniff"
+# Previene ataques de clickjacking
+Header always set X-Frame-Options "SAMEORIGIN"
+# Referrer-Policy (limita la información enviada en el encabezado Referer)
+Header always set Referrer-Policy "strict-origin-when-cross-origin"
+# Obliga a usar HTTPS (solo si tu sitio usa SSL)
+Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
+# -------------------------------------------------------------
+#  PERMISSIONS POLICY (ANTES Feature-Policy)
+# Controla las APIs y características disponibles en el navegador
+# -------------------------------------------------------------
+Header always set Permissions-Policy "accelerometer=(), camera=(), geolocation=(), gyroscope=(), microphone=(), payment=(), usb=(), fullscreen=(self)"
+# -------------------------------------------------------------
+#  CONTENT SECURITY POLICY (CSP)
+# Define qué recursos puede cargar el navegador.
+# Ajusta las URLs de scripts, estilos, imágenes, etc.
+# -------------------------------------------------------------
+Header always set Content-Security-Policy "
+default-src 'self';
+script-src 'self' 'unsafe-inline' 'unsafe-eval' https:;
+style-src 'self' 'unsafe-inline' https:;
+img-src 'self' data: https:;
+font-src 'self' https: data:;
+connect-src 'self' https:;
+frame-ancestors 'self';
+base-uri 'self';
+form-action 'self';
+object-src 'none';
+upgrade-insecure-requests;
+"
+</IfModule></code>
+    * Plugin: [[https://es.wordpress.org/plugins/http-headers/]]
+== Desinfección
+  * contención
+  * backup
+  * desinfección
+=== contención
+  * modo mantenimineto
+  * cambiar todas las contraseñas
+    * wordpress admins
+    * BDD
+    * FTP
+  * cerrar todas las sesiones activas
+    * regenerar las claves de seguridad wp-config.php: [[https://api.wordpress.org/secret_key/1.1/salt/]]
+=== backup
+  * en el estado en que esté...
+  * ficheros, BDD
+    * Updraft Plus, WP Vivid
+=== desinfección
+  * restaurar ficheros originales del Core
+  * 2 plugins para limpiar:
+    * WordFence
+    * GOTMLS
+  * caso web no funcional
+    * comprovar versión WP exacta: /wp-includes/version.php -> ''$wp_version = "X.X.X"''
+    * descargar la misma versión desde [[https://ca.wordpress.org/download/releases/]]
+    * borrar todo excepto:
+      * carpeta wp-content
+      * ficheros wp-config.php y .htaccess
+    * subir la versión limpia
+    * revisar los ficheros que no hemos eliminado:
+      * ejemplos .htaccess: \\ {{.:pasted:20251020-081820.png?600}}
+  * caso web funcional
+    * Usar plugins para desinfectar wp-content
+      * WordFence
+        * Opciones Avanzadas de exploración -> asegurarnos que no hay exclusiones (si ya estaba instalado)
+      * GOTMLS (mejor escaneando BDD)
+    * revisar snipets
+      * plugin "Framentos de código" o equivalentes
+        * nombres de archivo en minúscilas
+        * desactivar barra navegador
+        * activar emoticonos
+        * Año actual
+    * Temas
+      * personalizar JS
+    * Widgets: Apariencia -> Widgets
-== preventivo
-  * .htaccess
-  * XML-RPC-API
-  * cambiar "admin"
-== plugins
+== plugins recomendados
-  * eliminar los que no se usan
-=== recomendados
   * WordFence (seguridad)
   * GOTMLS (seguridad)
   * WP Maintenance (Modo mantenimiento)
   * Disable XML-RPC-API
-    * Per Neatma
+    * Per Neatma (Amin Nazemi)
-    * Per Amin Nazemi
+  * NS Cloner - Site Copier