Aquesta és una revisió antiga del document
wordpress
aplicación
- cambiar usuario «admin»
- tener el WP actualizado
- usar contraseñas fuertes
- aplicar el perfil correspondiente al trabajo a realizar - administrador no ha de ser el perfil por defecto para todos
- quitar versión de WP, añadiendo una función en el fichero functions.php:
function no_generator() { return ''; } add_filter( 'the_generator', 'no_generator' );
sistemas
- borrar ficheros y carpetas de instalación:
- /readme.html
- /wp-admin/install.php
- proteger fichero wp-config.php
- .htaccess
<Files wp-config.php> order allow,deny deny from all </Files>
- Si es posible, permitir acceso ADMIN solo desde ciertas IPs a los directorios wp-admin, wp-includes
- .htaccess
# my ip address only order deny,allow allow from 213.27.244.178 allow from 62.97.72.29 deny from all
- No permite acceder a las imágenes desde los buscadores, habría que excluir wp-includes/upload
- evitar el acceso a ficheros:
- .htaccess
# disable directory browsing Options All –Indexes
- controlar acceso a directorio UPLOADS, permitiendo solo ciertos tipos de ficheros
- .htaccess
# seguridad de subida de archivos en carpeta <Files ~ ".*\..*"> Order Allow,Deny Deny from all </Files> <FilesMatch "\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|key|zip|rar)$"> Order Deny,Allow Allow from all </FilesMatch>
plugins
- Akismet, el antispam
- Secure WordPress