Proteger mi web | 7 trucos para estar más seguro.

por | Actualizado el 6 Sep, 2020 | 0 Comentarios

No todo en WordPress son plantillas. Proteger mi web ante la piratería también es importante. Para que una web funcione correctamente siempre hay que meter algo de código. En este artículo hablaré de la parte de programación. Aunque creas que el código no te interesa sigue leyendo ya que todo esto también es para ti.

A continuación, voy a hablar sobre la protección de tu web y eso, entre otras cosas, mejorará tu SEO y experiencia al usuario.

Es un artículo más técnico, pero ya sabes que puedes contactar conmigo si tienes alguna duda acerca de lo que hablo en el blog. Solo tienes que dejar un comentario.

Cada uno de los códigos tendrán que ser escrito en el archivo .htaccess

¿Cómo proteger mi web de WordPress?

No todo se basa en elegir entre Elementor , Divi o cualquier otra herramienta para tu web. Que efectos o colores… Está es la parte artística de la web. La parte que todo el mundo ve. Es importante no te voy a decir lo contrario.

En la gran mayoría de ocasiones al crear tu web solo te importará su estética. Olvidándose de su seguridad.

Elegir Opción

He leído y acepto la política de privacidad

7 + 8 =

Antes de enviar tu consulta, échale un vistazo a la información básica sobre protección de datos.

webparallevar.com te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Angel Salmerón como responsable de esta web.
Finalidad de la recogida y tratamiento de los datos personales: gestionar la solicitud que realizas en este formulario de contacto.
Derechos: Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@webparallevar.com así como el derecho a presentar una reclamación ante una autoridad de control.
Información adicional: En https://webparallevar.com/politica-de-privacidad/ de https://webparallevar.com , encontrarás información adicional sobre la recopilación y el uso de su información personal ,incluida información sobre acceso, conservación, rectificación, eliminación, seguridad, y otros temas.

Hay una parte que solo la vemos algunos. Entre ellos personas maliciosas o ya no tanto las personas, sino Bots. Los Bots son programas configurados por personas para escanear la red continuamente sin descanso en busca de fallos en las webs. Son increíblemente rápidos, aunque no te lo creas en pocos días sin darte cuenta rastrearan tu web en busca de errores para hacerse con tus datos.

Por eso es importante protegerse lo máximo posible, quizás aún así ni te libres, pero al menos se lo pondremos más difícil con una serie de comandos y códigos que a continuación iré explicando.



Como se puede observar desde el hosting Siteground tenemos un editor, que podemos abrir directamente el archivo e ir escribiendo. Si quieres leer mas sobre el hosting puedes leer este post.

Código para proteger el archivo .htaccess

El archivo .htaccess es muy importante. Con este archívo protegeremos nuestro WordPress y lo usaremos para muchas cosas. Pero también se tiene que proteger a sí mismo. Lo encontraremos en la raíz de nuestra instalación de WordPress. Así que tendremos que entrar en nuestro cpanel del hosting y buscar este archivo para empezar a editarlo y pegaremos lo siguiente:
# Protección extrema de htaccess

<files ~ "^.*\.([Hh][Tt][Aa])">

order allow,deny

deny from all

satisfy all

</files>

Con este código denegaremos el acceso a todos los archivos .htaccess.

También hay que proteger a quien nos protege.

Hay que recordar que podemos encontrar diferentes archivos de estos por todos los directorios y no solo en la raíz.

Código para bloquear los includes

Es una carpeta que no se modifica nunca. WordPress la necesita para funcionar, es donde se aloja su API y las principales librerías. Con el siguiente código la protegeremos. También se tiene que pegar en el propio fichero antes citado .htaccess

# Bloquea los Includes

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteRule ^wp-admin/includes/ - [F,L]

RewriteRule !^wp-includes/ - [S=3]

RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]

RewriteRule ^wp-includes/js/tinymce/langs/.+\.php \- [F,L]

RewriteRule ^wp-includes/theme-compat/ - [F,L]

</IfModule>

¿Cómo prevenir Hot-linking?

Con el siguiente código que debemos de introducir nuevamente en el archivo .htaccess, prevenimos el hot-linking.
¿Y qué es? Según Wikipedia (https://es.wikipedia.org/wiki/Hot-linking) Es cuando alguien toma una foto tuya “prestada” y la coloca en su web.

A simple vista podemos pensar que no pasa nada, pero si disponemos de muchas imágenes y mucha gente empieza a copiarnos el enlace, es nuestro servidor el que lo sufre ya que tiene que cargar todas esas imágenes o peticiones que le hagan.

Ello se traducirá en una web más lenta con la repercusión que pueda tener frente a Google y al SEO.
Con el siguiente código denegaremos todas esas peticiones y solo le daremos acceso a nuestro propio dominio y buscadores.

La última fila son los formatos a los que le aplicas esta medida, si tienes más formatos debes de ponerlos ahí.

RewriteEngine on

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?tu-dominio.com [NC]

RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]

RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?bing.com [NC]

RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yahoo.com [NC]

RewriteRule \.(gif|jpg|jpeg|bmp|png|webp)$ - [NC,R,L]

Podéis encontrar más información sobre este teman en: https://httpd.apache.org/docs/2.4/rewrite/flags.html

Denegar el acceso a wp-config.php, php.ini y error_log:

El archivo wp-config.php es el archivo principal de configuración de WordPress y donde se guarda todos los datos de conexión de tu base de datos. Así que tienes mucho sentido el protegerlo.

El archivo php.ini sirve para configurar tu servidor de hosting. La mayoría de los hosting son compartidos. Tienen sus limitaciones, pero no quiere decir que no se puedan modificar algunos ajustes.

Así que toda la configuración del hosting que hayas realizado o “pistas” que puedas dar como posibles fallos en tu web (las cuales se archivan en: error_log) es conveniente ocultarlo para que nadie se pueda aprovechar de esas debilidades y así atacar la página por ahí.

<FilesMatch "^.*(error_log|wp-config\.php|php.ini|\.[hH][tT][aApP].*)$">

Order deny,allow

Deny from all

</FilesMatch>

Proteger archivo xmlrpc.php

Se trata de un fichero de comunicación mediante protocolo. Actualmente WordPress recibe muchos ataques por este fichero.
<Files xmlrpc.php>

Order Deny,Allow

Deny from all

</Files>

Prohibir Navegación de directorios

También es buena práctica impedir la navegación por los directorios a cualquier persona ajena a ti.
Options All -Indexes

Ya por último, y para sacar nota.

Instalar la precarga al dominio HSTS

Quizás sea la parte más laboriosa y difícil de entender y donde necesitamos cumplir unos requisitos.

  1. Tendremos que tener nuestro certificado SSL en vigor
  2. Apuntar todas nuestras redirecciones a HTTPS
  3. He insertar el siguiente código

El código a meter sería:

<IfModule mod_headers.c>

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

</IfModule>

En la siguiente web https://hstspreload.org/ podremos poner nuestro dominio y comprobar si cumple los requisitos, y si los cumples le podremos dar de alta.

Existen muchas webs explicando el funcionamiento. No repetiré lo mismo que todos así que aquí te dejo un enlace por si te interesa indagar más sobre el tema https://www.ionos.es/digitalguide/paginas-web/desarrollo-web/hsts-como-lograr-conexiones-http-seguras/

En resumen, todo lo que te he ido indicando, es para instalar más seguridad en tu web y hacer una precarga. Donde tu navegador tardará menos en leer las peticiones y te ayudará al tema SEO, ya que como bien sabes, cuanta más rapidez más contento se pone Google y mejor te posiciona en su buscador a dar una mejor experiencia de usuario.

Si estás interesado en implantar todo esto en tu servidor, pero no te atreves a tocar ponte en contacto conmigo y te indicaré presupuesto.

El tener tu web segura te supondrá una inversión mínima y una tranquilidad máxima.

Un Abrazo.
Angel

Elegir Opción

He leído y acepto la política de privacidad

10 + 11 =

Antes de enviar tu consulta, échale un vistazo a la información básica sobre protección de datos.

webparallevar.com te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Angel Salmerón como responsable de esta web.
Finalidad de la recogida y tratamiento de los datos personales: gestionar la solicitud que realizas en este formulario de contacto.
Derechos: Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@webparallevar.com así como el derecho a presentar una reclamación ante una autoridad de control.
Información adicional: En https://webparallevar.com/politica-de-privacidad/ de https://webparallevar.com , encontrarás información adicional sobre la recopilación y el uso de su información personal ,incluida información sobre acceso, conservación, rectificación, eliminación, seguridad, y otros temas.

Angel Salmerón

Angel Salmerón

Diseñador web en WordPress. He creado webparallevar.com para ayudar a emprendedores a crear su web.

Artículos que quizás te interesen:

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable: Angel Salmeron
Finalidad: Moderar y responder comentarios de usuarios
Derechos: Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@webparallevar.com así como el derecho a presentar una reclamación ante una autoridad de control.
Información adicional: En https://webparallevar.com/politica-privacidad/ de https://webparallevar.com ,  encontrarás información adicional sobre la recopilación y el uso de su información personal ,incluida información sobre acceso, conservación, rectificación, eliminación, seguridad, y otros temas.

Suscríbete y recibe notícias y ofertas exclusivas

Además recibe un PDF con las leyendas RGPD para saber si cumples la legalidad en tu web


Gracias por registrarte

Suscríbete y recibe notícias y ofertas exclusivas

Además recibe un archivo con 3 diseños distintos de Landing Page para Divi


Gracias por registrarte

Suscríbete y recibe notícias y ofertas exclusivas.

Además recibe 3 diseños GRATIS de Landing Page para Divi


Gracias