wordpress

• /vía: http://wpzine.com/wordpress-security-hacks-and-tricks/
• /vía: http://www.katharsix.com/la-seguridad-en-wordpress-algunos-consejos/
• /vía: http://www.katharsix.com/la-seguridad-en-wordpress-algunos-consejos-ii/

• cambiar usuario «admin»
• tener el WP actualizado
• usar contraseñas fuertes
• aplicar el perfil correspondiente al trabajo a realizar - administrador no ha de ser el perfil por defecto para todos
• quitar versión de WP, añadiendo una función en el fichero functions.php:

  function no_generator() { return ''; }
  add_filter( 'the_generator', 'no_generator' );

1. añadir define( 'WP_ALLOW_MULTISITE', true ); en wp-config.php antes de /* ¡Eso es todo, deja de editar! Feliz blogging */
2. en el panel, ir a la opción de herramientas → configuración de la red, e instalar
3. realizar las modificaciones en wp-config.php y .htaccess

• en el caso de multisite-subdomain, si quieres usar un dominio totalmente diferente, has de tener un subdominio «de creación» para que exista como subdominio del principal y después cambiarlo por otro cualquiera

/via: https://www.xn--diseowebmurcia1-1qb.es/como-instalar-y-configurar-wordpress-multisite-multisitios/
/via: https://premium.wpmudev.org/blog/domain-mapping-wordpress-multisite/

• borrar ficheros y carpetas de instalación:
  • /readme.html
  • /wp-admin/install.php
• proteger fichero wp-config.php

  .htaccess

  <Files wp-config.php>
     order allow,deny
     deny from all
  </Files>

• Si es posible, permitir acceso ADMIN solo desde ciertas IPs a los directorios wp-admin, wp-includes

  .htaccess

  # my ip address only
  order deny,allow
  allow from 213.27.244.178
  allow from 62.97.72.29
  deny from all

  • No permite acceder a las imágenes desde los buscadores, habría que excluir wp-includes/upload
    

• evitar el acceso a ficheros:

  .htaccess

  # disable directory browsing
      Options All –Indexes

• controlar acceso a directorio UPLOADS o UPGRADE, permitiendo solo ciertos tipos de ficheros

  .htaccess

  # seguridad de subida de archivos en carpeta
  <Files ~ ".*\..*">
      Order Allow,Deny
      Deny from all
  </Files>
  <FilesMatch "\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|key|zip|rar)$">
      Order Deny,Allow
      Allow from all
  </FilesMatch>

  • http://ayudawordpress.com/seguridad-en-la-carpeta-uploads-de-wordpress/
    

• obligar método https VS ftp al actualizar:

  wp-config.php

  define('FS_METHOD', 'direct');

• Akismet, el antispam
• Broken Link Checker
• Limit Login attempts
• All in One WP Security
• Secure WordPress
• WordPress Firewall 2
• WP Cookies Alert (normativa)
• Asesor de Cookies
• WP Super Cache
• YouTube
• Email Log
• Google Analytics
• Google Analytics dashboard for WP
• MailPoet newsletters
• User Groups
• User Groups restrictions
• WP Email Template lite
• WP Construction Mode (diferentes opciones para poner la página «en obras)
• WP Database Backup
• Contact Form 7 (formularios de contacto sencillos)