Seguridad y endurecimiento de WordPress, la guía definitiva

Publicado: 2021-01-26

WordPress es enormemente popular. Alrededor de cada uno de cada cinco sitios en Internet usa WordPress de alguna forma. Ya sea para ejecutar un blog humilde, o un sistema de gestión de contenido (CMS) de múltiples sitios o un sitio de comercio electrónico. Como resultado, no sorprende que los sitios web de WordPress sean un objetivo muy popular tanto para los piratas informáticos experimentados como para los que usan scripts.

Lo último que quiere cualquier webmaster es descubrir que su sitio web ha sido pirateado; tal vez tomado como rehén y es parte de una red de bots, propaga malware o participa en ataques de denegación de servicio (DoS). En este artículo, compartiremos una serie de consejos y estrategias para ayudarlo a fortalecer su sitio web de WordPress.

Tabla de contenido

¿WordPress es seguro?
Complementos y temas
- Ejecute menos software
- Observar el principio de los menos privilegiados
- Actualice sus complementos y temas de WordPress
- Manténgase alejado de los complementos y temas de WordPress 'anulados'
Mantener WordPress actualizado
Alojamiento WordPress
Tablero de WordPress
- Deshabilitar registro
- Cartas credenciales
- Autenticación de dos factores (2FA)
Endurecimiento del núcleo de WordPress
- Deshabilitar el registro de depuración
- Deshabilitar XML-RPC
- Restringir la API REST de WordPress
- Evitar la divulgación de la versión de WordPress
- Evitar la enumeración de usuarios de WordPress
- Deshabilitar el editor de archivos de WordPress
- Deshabilitar la administración de temas y complementos
TLS (SSL)
Conclusiones y próximos pasos

¿WordPress es seguro?

Esta es una pregunta que se hacen muchos administradores de sistemas, y con razón. Si bien WordPress está bien construido y es seguro en general, tiene la reputación de ser propenso a las vulnerabilidades de seguridad y no ser de "grado empresarial". Esa reputación no es precisamente justa. La mayoría de las veces, los problemas radican en que WordPress es un paquete de software increíblemente popular que es fácil de configurar mientras se toman atajos de seguridad. Lo que nos lleva a nuestro primer tema: complementos y temas.

Complementos y temas

El problema número uno que afecta a la seguridad de WordPress es también lo que lo hace increíblemente popular. Los complementos y temas de WordPress varían mucho en términos de calidad y seguridad. Si bien el equipo de WordPress ha trabajado mucho para ayudar a los desarrolladores a crear complementos y temas más seguros, siguen siendo una pesadilla para la seguridad. Esto se puede notar cuando se utilizan complementos mal mantenidos o complementos obtenidos de una fuente incompleta.

Antes de continuar discutiendo los complementos y temas de WordPress, primero comprendamos qué es realmente un complemento de WordPress. Los complementos son simplemente código PHP personalizado que WordPress ejecuta para ampliar la funcionalidad de WordPress. Para obtener una explicación más detallada y técnica, consulte ¿Qué son los complementos de WordPress?

Del mismo modo, los temas de WordPress permiten la personalización de los aspectos visuales de su sitio de WordPress. Desde la perspectiva de un atacante, hay muy poca diferencia entre los dos, ya que se puede abusar de ambos para ejecutar código malicioso.

Ejecute menos software

Entonces, ¿cómo puede saber si un complemento es malicioso o no? Esa es una pregunta complicada, pero afortunadamente tenemos una respuesta para ti. Hemos escrito sobre esto en detalle en cómo elegir el mejor complemento de WordPress para su sitio web de WordPress.

Aunque realice toda la investigación necesaria, también hay posibilidades de que el complemento aún sea una amenaza para la seguridad. Entonces, una de las formas de reducir su riesgo es ejecutar solo el software que absolutamente necesita y en el que confía. Antes de instalar un nuevo complemento de WordPress, pregúntese si realmente necesita instalar ese complemento. ¿Puede un pequeño fragmento de código en un complemento específico del sitio hacer el truco, o necesita legítimamente un complemento completo?

Importante : esté muy atento a los fragmentos de código que encuentre en Internet. Nunca use una pieza de código a menos que comprenda completamente lo que está haciendo; el hecho de que esté en StackOverflow no significa que sea seguro de usar.

Si tiene una necesidad genuina de ejecutar un complemento, asegúrese de que se mantenga activamente y se actualice regularmente como explicamos en nuestra guía. Como regla general, cuantas más descargas y actualizaciones recientes tenga el complemento o el tema, indica que se usa ampliamente y que sus autores lo mantienen activamente. Esto no significa que el complemento nunca tendrá una vulnerabilidad. Sin embargo, si se encuentra una vulnerabilidad, el desarrollador actuará rápidamente y emitirá una solución rápidamente.

Trate de evitar los complementos que no tienen muchas descargas y, lo que es más importante, no tienen una comunidad activa y actualizaciones periódicas. Si algo no ha recibido una actualización dentro de un año, generalmente es una señal de alerta.

Observar el principio de los menos privilegiados

WordPress no necesita usar el usuario root de MySQL para conectarse a su base de datos. Tampoco todos los usuarios de WordPress necesitan tener el rol de administrador. Del mismo modo, no es una buena idea ejecutar la mayoría de los programas como usuario privilegiado, a menos que exista una razón específica para hacerlo.

Las mejores prácticas de seguridad siempre dictan que las aplicaciones siempre tengan los privilegios mínimos posibles que les permitan funcionar correctamente, con cualquier privilegio adicional deshabilitado. Esta práctica se conoce comúnmente como el principio de privilegio mínimo.

Supongamos hipotéticamente que WordPress se está conectando a una base de datos con una cuenta de usuario privilegiada. En el caso de que un complemento de WordPress contenga una vulnerabilidad de inyección SQL, un atacante puede no solo ejecutar consultas SQL como administrador, sino que, en algunos casos, incluso puede ejecutar comandos del sistema operativo. Si un atacante tiene éxito en la ejecución de los comandos del sistema operativo, es posible que pueda llevar a cabo un reconocimiento y escalar un ataque a otros sistemas.

Ejecutar software con privilegios administrativos o proporcionar a los usuarios más acceso del necesario es buscar problemas. Va en contra de un principio de privilegio mínimo probado y probado, ya que permite que un atacante inflija más daño en caso de una violación de seguridad.

Lo bueno de WordPress es que tiene una serie de roles integrados, que puede usar para asignar diferentes privilegios a diferentes usuarios, según sus requisitos. Hemos escrito extensamente sobre esto en cómo usar los roles de usuario de WordPress para mejorar la seguridad de WordPress.

Actualice sus complementos y temas de WordPress

Las actualizaciones de temas y complementos de WordPress son importantes no solo para beneficiarse de las nuevas funciones y las correcciones de errores, sino también para parchear las vulnerabilidades de seguridad. Tanto los complementos como los temas son fáciles de actualizar dentro de la interfaz de WordPress.

Es probable que algunos complementos comerciales tengan sus propios mecanismos para mantenerlos actualizados; sin embargo, en la mayoría de los casos esto es transparente para los usuarios. No obstante, solo asegúrese de que, independientemente del sistema de actualización que se esté utilizando, mantenga sus complementos y temas actualizados.

No use complementos y temas de WordPress 'anulados'

Complementos anulados de WordPress
WordPress hace uso de la GPL ¹ . Sin entrar en muchos detalles, la licencia GPL permite que cualquier persona distribuya libremente software con licencia GPL. Esto incluye temas y complementos comerciales/premium de WordPress con licencia GPL. Como tal, puede que no sea ilegal descargar un tema o complemento premium modificado, generalmente denominado anulado , y usarlo de forma gratuita.

Sin embargo, como ya habrá adivinado, además de no ser compatible con el desarrollador de complementos, es muy poco probable que reciba actualizaciones para complementos anulados. Además, no tiene forma de saber si la fuente de este complemento se ha modificado para hacer algo nefasto.

Mantener WordPress actualizado

Al igual que debe mantener sus complementos y temas actualizados, también debe asegurarse de mantener actualizada la versión de WordPress que está ejecutando. Afortunadamente, esto ahora es mucho más fácil que en el pasado, con actualizaciones de seguridad críticas que ocurren automáticamente. Por supuesto, a menos que deshabilites explícitamente esta funcionalidad.

Además de las nuevas funciones, mejoras y correcciones de errores, las actualizaciones principales de WordPress también contienen correcciones de seguridad que pueden protegerlo de los atacantes que explotan su sitio web de WordPress y lo utilizan para obtener ganancias ilícitas.

Alojamiento WordPress

Dónde y cómo elija alojar su sitio de WordPress dependerá en gran medida de sus requisitos. Si bien no hay nada de malo en hospedar y administrar WordPress usted mismo, si no tiene tantos conocimientos técnicos o desea asegurarse de cumplir con la mayoría de los conceptos básicos de seguridad de WordPress sin hacer mucho trabajo pesado, puede optar por un proveedor de alojamiento de WordPress administrado como Kinsta o WP Engine.

Dado que hemos tenido sitios web alojados con ambos hosts, hemos escrito sobre ellos. En nuestras historias de clientes destacamos nuestra experiencia con ellos. Para obtener más información sobre su experiencia, lea nuestra historia de cliente de WP Engine y Kinsta. El alojamiento administrado de WordPress abstrae muchas decisiones de seguridad y configuración que necesita para preocuparse por usted mismo.

Naturalmente, es posible que el alojamiento administrado de WordPress tampoco sea para usted. Puede optar por alojar WordPress usted mismo, especialmente si tiene un presupuesto limitado. El autohospedaje de WordPress también le brinda un mayor control sobre su instalación de WordPress. Para obtener más información sobre las diferentes opciones de alojamiento de WordPress y lo que funciona mejor para usted, consulte la guía para elegir el alojamiento de WordPress.

Tablero de WordPress

El panel de control de WordPress de su sitio es un lugar en el que no desea que nadie no autorizado esté al acecho. Si bien hay algunos sitios que tienen motivos legítimos para permitir que los usuarios públicos inicien sesión con el panel de control de WordPress, este es un gran riesgo de seguridad y debe considerarse con mucho cuidado.

Afortunadamente, la mayoría de los sitios web de WordPress no tienen este requisito y, como tal, deberían impedir el acceso al panel de control de WordPress. Hay varias formas de hacer esto y debe elegir la que mejor se adapte a sus necesidades.

Una práctica común es restringir el acceso mediante contraseña que protege las páginas de administración de WordPress (wp-admin). Otra solución sería permitir el acceso a /wp-admin solo a una cantidad de direcciones IP seleccionadas.

Deshabilitar registro

De forma predeterminada, WordPress no permite que los usuarios públicos se registren en su sitio web de WordPress. Para confirmar que el registro de usuario está deshabilitado:

diríjase a Configuración > Página general en el área del panel de control de WordPress
navega a la sección Membresía
asegúrese de que la casilla de verificación junto a Cualquiera puede registrarse no esté seleccionada.

Cartas credenciales

Como cualquier otro sitio web, el acceso a su panel de WordPress es tan fuerte como lo son sus credenciales. Hacer cumplir una fuerte seguridad de contraseña de WordPress es un control de seguridad crucial de cualquier sistema, y WordPress no es una excepción.

Si bien WordPress no tiene ninguna forma de establecer una política de contraseñas lista para usar, un complemento como WPassword es absolutamente esencial para hacer cumplir los requisitos de seguridad de la contraseña en todos los usuarios que tienen acceso al panel de control de WordPress.

Una vez que aplique una seguridad de contraseña fuerte en su sitio web, use WPScan para probar las credenciales débiles de WordPress, para asegurarse de que ninguna cuenta siga usando contraseñas débiles.

Autenticación de dos factores (2FA)

Autenticación de dos factores

Otro control de seguridad esencial para su tablero de WordPress es requerir autenticación de dos factores. La autenticación de dos factores (2FA) hace que sea significativamente más difícil para un atacante obtener acceso a su panel de WordPress en caso de que un atacante logre descubrir la contraseña de un usuario (por ejemplo, un atacante puede descubrir la contraseña de un usuario a partir de una violación de datos).

Afortunadamente, es muy fácil configurar la autenticación de dos factores en WordPress. Hay una serie de complementos de alta calidad que puede usar para agregar esta funcionalidad. Lea los mejores complementos de autenticación de dos factores para WordPress para conocer los principales complementos 2FA disponibles para WordPress.

Endurecimiento del núcleo de WordPress

Aunque el núcleo de WordPress es una pieza de software segura, no significa que no podamos fortalecerlo aún más. Las siguientes son una serie de estrategias de fortalecimiento específicas para el núcleo de WordPress.

Asegúrese de que el registro de depuración esté deshabilitado

WordPress permite a los desarrolladores registrar mensajes de depuración en un archivo (que es /wp-content/debug.log por defecto). Si bien esto es perfectamente aceptable en un entorno de desarrollo, tenga en cuenta que un atacante también puede acceder fácilmente a este archivo si el mismo archivo y/o configuración llegan a producción.

La depuración de WordPress está deshabilitada por defecto. Aunque siempre es mejor verificar que lo sea, asegúrese de no tener la constante WP_DEBUG definida en su archivo wp-config.php, o configúrela explícitamente como falsa. Consulte la guía de depuración de WordPress para obtener una lista de todas las opciones de depuración.

Si por alguna razón necesita los registros de depuración de WordPress en su sitio web de vida, inicie sesión en un archivo fuera de la raíz de su servidor web (por ejemplo, /var/log/wordpress/debug.log). Para cambiar el pa

define('WP_DEBUG_LOG', '/path/outside/of/webserver/root/debug.log');

Deshabilitar XML-RPC

La especificación XML-RPC de WordPress fue diseñada para permitir la comunicación entre diferentes sistemas. Esto significa que prácticamente cualquier aplicación podría interactuar con WordPress. Históricamente, la especificación XML-RPC de WordPress ha sido importante para WordPress. Le permite interactuar e integrarse con otros sistemas y software.

Lo bueno es que XML-RPC ha sido reemplazado por la API REST de WordPress. Para resaltar algunas de las preocupaciones de seguridad en torno a XML-RPC; su interfaz ha sido la fuente de numerosas vulnerabilidades de seguridad a lo largo de los años. También puede ser utilizado por atacantes para la enumeración de nombres de usuario, fuerza bruta de contraseñas. o ataques de denegación de servicio (DoS) a través de pingbacks XML-RPC.

Por lo tanto, a menos que esté utilizando XML-RPC de forma activa y tenga los controles de seguridad adecuados, debe desactivarlo. Dado que esto es algo que se puede lograr fácilmente sin instalar un complemento de terceros, veremos cómo hacerlo a continuación.

Si bien puede simplemente configurar su servidor web para bloquear el acceso a /xmlrpc.php, un método preferido para hacerlo es deshabilitar explícitamente XML-RPC usando un filtro de WordPress incorporado. Simplemente agregue lo siguiente a un archivo de complemento y actívelo en su sitio.

add_filter('xmlrpc_enabled', '__return_false');

Aviso

Es una buena idea hacer uso de un complemento de WordPress que debe usar para este y otros fragmentos de código similares.

Restringir la API REST de WordPress

En la misma línea que XML-RPC, la API de WordPress es la forma moderna para que las aplicaciones de terceros se comuniquen con WordPress. Si bien es seguro de usar, es recomendable restringir algunas funciones dentro de él para evitar la enumeración de usuarios y otras vulnerabilidades potenciales. A diferencia de XML-RPC, WordPress no proporciona una forma simple y nativa de deshabilitar la API REST por completo (solía ² , pero esto quedó en desuso, por lo que es aconsejable no hacerlo más), sin embargo, puede restringirlo.

Como es típico con WordPress, puede usar un complemento para lograr esto, o puede agregar el siguiente filtro a un archivo de complemento y activarlo en su sitio. El siguiente código deshabilitará la API REST de WordPress para cualquier persona que no haya iniciado sesión al devolver un código de estado HTTP no autorizado (código de estado 401) utilizando el gancho de WordPress rest_authentication_errors.

add_filter( 'rest_authentication_errors', function( $result ) {
if ( ! empty( $result ) ) {
return $result;
}
if ( ! is_user_logged_in() ) {
return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' =&amp;gt; 401 ) );
}
return $result;
});

Además, la API REST de WordPress habilita JSONP de forma predeterminada. JSONP es una técnica antigua para eludir la misma política de origen del navegador antes de que los navegadores modernos admitieran CORS (intercambio de recursos de origen cruzado). Dado que esto podría usarse potencialmente como un paso en un ataque por parte de un atacante, no hay una razón real para habilitarlo. Se recomienda deshabilitarlo usando el filtro de WordPress rest_jsonp_enabled usando el siguiente fragmento de PHP.

add_filter('rest_enabled', '__return_false');

Consulte la documentación del filtro para obtener más información al respecto.

Evitar la divulgación de la versión de WordPress

Como muchas otras aplicaciones web, de forma predeterminada, WordPress revela su versión en varios lugares. La divulgación de la versión no es exactamente una vulnerabilidad de seguridad, sin embargo, esta información es muy útil para un atacante cuando planea un ataque. Como resultado, deshabilitar las funciones de divulgación de la versión de WordPress puede hacer que un ataque sea un poco más difícil.

WordPress filtra mucha información de la versión. Afortunadamente, esta esencia de GitHub ofrece una lista completa de filtros de WordPress para deshabilitar en forma de complemento de WordPress. Por supuesto, puede incorporar este código en cualquier complemento existente específico del sitio o de uso obligatorio que ya tenga.

Evitar la enumeración de usuarios de WordPress

WordPress es vulnerable a una serie de ataques de enumeración de usuarios. Dichos ataques permiten que un atacante descubra qué usuarios existen, ya sea que exista un usuario o no. Si bien esto puede parecer inofensivo, tenga en cuenta que los atacantes pueden usar esta información como parte de un ataque mayor. Para obtener más información sobre este tema, lea cómo enumerar usuarios de WordPress con WPScan.

Para evitar la enumeración de usuarios de WordPress, deberá asegurarse de que las siguientes funciones de WordPress estén deshabilitadas o restringidas.

Restrinja la API REST de WordPress a usuarios no autenticados
Deshabilitar WordPress XML-RPC
No exponga /wp-admin y /wp-login.php directamente a la Internet pública

Además, también deberá configurar su servidor web para evitar el acceso a /?author=<número>. Si está usando Nginx, puede usar la siguiente configuración para evitar la enumeración de usuarios de WordPress.

RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule .* - [R=403,L]

Alternativamente, si está utilizando Apache HTTP Server, puede usar la siguiente configuración para evitar la enumeración de usuarios de WordPress.

if ( $query_string ~ "author=([0-9]*)" ) {
return 403;
}

Deshabilitar el editor de archivos de WordPress

Una de las características más peligrosas de WordPress es la capacidad de editar archivos desde el panel de control de WordPress. No debería haber ninguna razón legítima por la que un usuario deba hacer esto, y ciertamente no para el núcleo de WordPress. En todo caso, desea asegurarse de saber exactamente qué archivos cambiaron utilizando un complemento de seguridad de monitoreo de integridad de archivos (FIM) de alta calidad.

Para recibir alertas sobre cambios en los archivos, utilice el complemento Monitor de cambios de archivos del sitio web, que desarrollamos.

Cualquier cambio de archivo en su sitio web debe realizarse a través de una conexión segura (por ejemplo, SFTP) o, preferiblemente, rastrearse en un repositorio de control de versiones e implementarse mediante CI/CD.

Para deshabilitar el editor de archivos de complementos y temas en el panel de control de WordPress, simplemente agregue lo siguiente a su archivo wp-config.php.

define('DISALLOW_FILE_EDIT', true );

Deshabilitar la administración de temas y complementos

Una buena práctica recomendada de seguridad de WordPress es deshabilitar la administración de complementos y temas desde el panel de control de WordPress. En su lugar, utilice herramientas de línea de comandos como wp-cli para realizar estos cambios.

Al deshabilitar los cambios de tema y complemento, reduce drásticamente la superficie de ataque de su sitio web de WordPress. En este caso, incluso si un atacante viola con éxito una cuenta de administrador, no podría cargar un complemento malicioso para escalar el ataque más allá del acceso al panel de control de WordPress.

La constante DISALLOW_FILE_MODS definida en wp-config.php deshabilita las actualizaciones y la instalación de complementos y temas a través del tablero. También deshabilita todas las modificaciones de archivos dentro del tablero, eliminando así el Editor de temas y el Editor de complementos.

Para deshabilitar las modificaciones de temas y complementos en el panel de control de WordPress, agregue lo siguiente a su archivo wp-config.php.

define('DISALLOW_FILE_MODS', true );

WordPress HTTPS (SSL/TLS)

Transport Layer Security (TLS) es absolutamente esencial para la seguridad de WordPress, es gratis y fácil de configurar. Nota: TLS es el protocolo que reemplazó a Secure Socket Layer, SSL. Sin embargo, dado que el término SSL es muy popular, muchos todavía se refieren a TLS como SSL.

Cuando visita su sitio web a través de HTTPS (HTTP sobre TLS), las solicitudes y respuestas HTTP no pueden ser interceptadas ni espiadas, o peor aún, modificadas por un atacante.

Si bien TLS tiene más que ver con su servidor web o Red de entrega de contenido (CDN) que con su instalación de WordPress, uno de los aspectos más importantes de TLS (WordPress HTTPS) es aplicarlo. Hay una gran cantidad de información en línea sobre cómo configurar WordPress HTTPS (SSL y TLS).

Si no se siente cómodo editando archivos de configuración y prefiere cambiar a WordPress HTTPS usando un complemento, puede usar Really Simple SSL o WP forzar SSL. Ambos son complementos muy buenos y fáciles de usar.

Próximos pasos para un WordPress aún más seguro

Si ha llegado hasta aquí, genial, pero eso no significa que aún no haya más endurecimiento por hacer. Los siguientes son una serie de elementos que puede considerar para fortalecer aún más su sitio web de WordPress.

Endurezca PHP. Dado que PHP es un componente central de cualquier sitio web de WordPress, fortalecer PHP es uno de los próximos pasos lógicos. Hemos escrito sobre esto extensamente en Mejor configuración de seguridad de PHP para sitios web de WordPress.
Use complementos de seguridad de buena reputación. Los complementos de seguridad de calidad ofrecen características de seguridad avanzadas que no se incluyen en WordPress de forma nativa. Existe una gran cantidad de complementos de seguridad de WordPress. Sin embargo, asegúrese de elegir complementos con buena reputación e, idealmente, aquellos en los que esté disponible soporte premium o comercial, como nuestros complementos de seguridad de alta calidad para WordPress.
Realice una auditoría de permisos de archivos. Para los sitios web de WordPress que se ejecutan en Linux, los permisos de archivo incorrectos pueden permitir que los usuarios no autorizados obtengan acceso a archivos potencialmente confidenciales. Para obtener más información sobre este tema, consulte nuestra guía para configurar permisos seguros de sitios web y servidores web de WordPress.
Realice una auditoría de archivos de copia de seguridad. Los archivos de copia de seguridad que se dejan accesibles accidentalmente pueden filtrar información confidencial. Esto incluye la configuración que contiene secretos que pueden permitir a los atacantes obtener el control de toda la instalación de WordPress.
Fortalezca su servidor web
Fortalecer MySQL
Agregue los encabezados de seguridad HTTP necesarios
Asegúrese de tener un sistema de copia de seguridad de WordPress que funcione.
Utilice un servicio de protección DDoS
Implementar una política de seguridad de contenido
Administre copias de seguridad expuestas y archivos sin referencia.

Conclusión: este es solo el primer paso del viaje de seguridad de WordPress

¡Felicidades! Si siguió todos los consejos anteriores e implementó todas las mejores prácticas de seguridad recomendadas, su sitio web de WordPress es seguro. Sin embargo, la seguridad de WordPress no es una solución única, es un proceso en constante evolución. Hay una gran diferencia entre fortalecer un sitio web de WordPress (estado único) y mantenerlo seguro durante años.

El endurecimiento es solo una de las cuatro etapas en el proceso de seguridad de WordPress (rueda de seguridad de WordPress). Para un sitio web de WordPress seguro durante todo el año, debe seguir el proceso iterativo de seguridad de WordPress de prueba> endurecimiento> monitoreo> mejora. Debe probar y verificar continuamente el estado de seguridad de su sitio web de WordPress, fortalecer el software, monitorear el sistema y mejorar su configuración en función de lo que ve y aprende. Por ejemplo:

una herramienta como WPScan puede ayudarlo a probar la postura de seguridad de su sitio web de WordPress
un firewall de WordPress puede proteger su sitio web de WordPress de ataques maliciosos conocidos
un registro de actividad de WordPress puede ayudarlo a recorrer un largo camino: al mantener un registro de todos los cambios que ocurren en su sitio web, puede mejorar la responsabilidad del usuario, saber qué está haciendo cada usuario y también estar al tanto de todas las actividades ocultas.
herramientas como nuestros complementos de administración y seguridad de WordPress pueden ayudarlo a garantizar la seguridad de las contraseñas, fortalecer el proceso de seguridad de WordPress, recibir alertas sobre cambios en los archivos y mucho más

Tienes todas las herramientas adecuadas para mantener tu sitio seguro. Incluso si ejecuta un sitio web pequeño de WordPress, tómese el tiempo para trabajar gradualmente con esta guía. Asegúrese de no terminar trabajando en la creación de un gran sitio web, solo para que un ataque dirigido a WordPress lo saquee.

No existe tal cosa como una seguridad 100% efectiva. Sin embargo, está haciendo que sea considerablemente más difícil para un atacante establecerse y atacar con éxito su sitio web de WordPress al aplicar las diversas técnicas de protección que se describen en esta guía. Recuerde que cuando los atacantes apuntan a su próxima víctima, no tiene que ser más astuto que ellos. ¡Solo tiene que ser más seguro que el próximo sitio web vulnerable!

Referencias utilizadas en este artículo [ + ]

Referencias utilizadas en este artículo
↑ 1	https://en.wikipedia.org/wiki/GNU_General_Public_License
↑ 2	https://developer.wordpress.org/reference/hooks/rest_enabled/