...
Esta checklist incluye las opciones de seguridad más habituales. En la lista se especifican los ítems necesarios, añadiendo algunos que se recomiendan y algunos opcionales que permiten asegurar más el sitio. Si no se indica nada, son ítems necesarios.
El administrador de Wordpress debe tener en cuenta que el Servicio de Webs Avanzadas ya proporciona:
- Detección de malware conocido.
- Cortafuegos en el nivel de servicio web, con reglas de seguridad específicas para Wordpress.
- Cortafuegos perimetral de la UPV.
Sin embargo, dada la situación de la UPV como institución pública española, puede ser objeto de ciberataques complejos que comprometerían la integridad de los datos y el servicio. Por tanto, las tareas de aseguramiento debe ser un esfuerzo conjunto de todos los actores implicados en el desarrollo de nuestros sitios web.
Reforzamiento básico de la seguridad de Wordpress
...
- Límite de intentos de acceso, para prevenir ataques de fuerza bruta. Se puede utilizar un plugin como Limit Login Attempts.
- CAPTCHA en el formulario de acceso, recomendado.
- URL de login protegida, opcional.
- XML-RPC deshabilitado si no se utiliza, recomendado. Se puede deshabilitar mediante plugin.
- Opciones de securización proporcionadas por WP-Toolkit en Plesk activadas.
Plugins de seguridad y WAF (cortafuegos de aplicación de Wordpress)
- Plugin Wordpress que permita, mínimo, la implantación de reglas a nivel de aplicación para Wordpress (límite de intentos de acceso, XML-RPC, enumeración de usuarios, etc.) recomendado.
- Configuración del plugin para envío de correos de monitorización.
...