- -

Estás viendo una versión antigua de esta página. Ve a la versión actual.

Comparar con el actual Ver el historial de la página

« Anterior Versión 2 Actual »

Checklist de seguridad en sitios Wordpress


Esta checklist incluye las opciones de seguridad más habituales. En la lista se especifican los ítems necesarios, añadiendo algunos que se recomiendan y algunos opcionales que permiten asegurar más el sitio. Si no se indica nada, son ítems necesarios.

Reforzamiento básico de la seguridad de Wordpress

  • Verificar que está instalada la última versión de Wordpress.
  • Dejar sólo un tema instalado, de fuentes fiables, actualizado y con mantenimiento, más uno de reserva por si el sitio presenta problemas. Eliminar el resto de los temas.
  • Sólo plugins de fuentes fiables, actualizados, que no sean obsoletos o sin mantenimiento. Eliminar el resto de plugins.
  • Uso de contraseñas robustas.
  • Eliminación de cuentas de usuarios innecesarias.
  • Revisar que el sitio no tiene usuarios genéricos (admin, soporte, etc.). Eliminarlos y volver a crear los que se utilizan con otro nombre de usuario específico.
  • Revisar que los usuarios tienen el perfil adecuado a los permisos necesarios. Hay que minimizar las cuentas con perfil de administrador y limitar al resto de usuarios según su perfil.
  • Comprobar que los usuarios tienen definido su nombre. Evita que un atacante sepa qué cuentas puede atacar.
  • Ver si los usuarios con permisos de administración tienen activo 2FA. Muy recomendable. Aplicable con plugins de seguridad.

Exposición y superficie de ataque

  • Límite de intentos de acceso, para prevenir ataques de fuerza bruta. Se puede utilizar un plugin como Limit Login Attempts.
  • CAPTCHA en el formulario de acceso, recomendado.
  • URL de login protegida, opcional.
  • XML-RPC deshabilitado si no se utiliza, recomendado. Se puede deshabilitar mediante plugin.
  • Opciones de securización proporcionadas por WP-Toolkit en Plesk activadas.

Plugins de seguridad y WAF

  • Plugin Wordpress que permita, mínimo, la implantación de reglas a nivel de aplicación para Wordpress (límite de intentos de acceso, XML-RPC, enumeración de usuarios, etc.) recomendado.
  • Configuración del plugin para envío de correos de monitorización. 

Copias de seguridad

  • Definir copias de seguridad mediante plugin, según la actividad de publicación del sitio.
  • Elegir un plugin que permita realizar copias de seguridad de archivos y/o de la base de datos de Wordpress (los archivos no varían tanto con el tiempo, mientras que la base de datos se puede llegar a actualizar varias veces al día.
  • Definir una política de retención que no llene el espacio en disco.
  • Posibilidad de almacenar las copias de seguridad en la nube, recomendado.
  • Realizar al menos una copia de seguridad completa off-site.

Monitorización (necesario si se implanta un plugin de seguridad)

  • El plugin de seguridad instalado registra intentos fallidos de login, modificación de ficheros, etc. Hay que revisar si se ha producido un ataque.
  • Sin etiquetas