Tabla de contenidos
Si piensas que tu sitio está seguro porque no tiene ningún contenido que merezca la pena para los hackers, piénselo de nuevo. La mayoría de brechas de seguridad no tienen el objetivo de robar tus datos o desfigurar su sitio. Generalmente los hackers quieren usar tu servidor para retransmisión de correo electrónico para spam, o para configurar un servidor web temporal, habitualmente para servir archivos ilegales.
Hay varias formas diferentes que puedes reforzar la seguridad de tu sitio, pero uno de los más simples es modificar el archivo “wp-config.php.” Aunque la modificación de este archivo no es una solución infalible para mantener alejados a los hackers, merece la pena realizar como parte de tu estrategia de seguridad general.
Con esto en mente, vamos a mirar a las constantes de WordPress y cómo usarlas para hacer cambios al archivo “wp-config.php” para mejorar la seguridad de su sitio.
Configuración Constantes WordPress
En tu archivo de configuración de WordPress, también llamado “wp-config.php“, puedes establecer lo que se llaman constantes de PHP para ejecutar ciertas tareas. WordPress tiene muchas constantes que puedes utilizar.
La documentación de PHP describe las constantes como:
Una constante es un identificador (nombre) para un valor simple. Como el nombre sugiere, el valor no puede cambiar durante la ejecución del script (excepto para constantes mágicas, las cuales no son realmente constantes). Una constante es sensible a las mayúsculas por defecto. Por convención, los identificadores de constantes siempre van en mayúsculas.
Dicho simplemente, tu puedes establecer un valor para que tenga un nombre. También se aplica globalmente en todo un script de forma que pueda utilizarlo una y otra vez. Las constantes son sensibles a las mayúsculas y habitualmente solo contienen letras mayúsculas y guiones bajos.
Una constante utilizada en WordPress es WP_DEBUG y este es un gran ejemplo de cómo nombrarla apropiadamente dado que solamente pueden empezar con una letra o un guion bajo simple. Otro es WP_MEMORY_LIMIT.
Las constantes también están envueltos en la función define() como se muestra en este ejemplo sintaxis básica:
define('NOMBRE_DE_CONSTANTE', valor);
En WordPress, el archivo “wp-config.php” se carga antes del resto de archivos que componen el núcleo. Esto significa, que si tu cambias un valor de una constante en “wp-config.php“, puede cambiar cómo funciona WordPress. Puedes deshabilitar o habilitar ciertas características solo cambiando un valor. En muchos casos, esto puede hacerse cambiando de falso (false) a verdadero (true) y viceversa.
Debajo vamos a listar unos constantes que puedes utilizar en tu archivo “wp-config.php” para mejor la seguridad de tu sitio de WordPress. Todos se deben colocar antes de la siguiente linea en “wp-config.php“:
/* That's all, stop editing! Happy blogging. */
Aviso – Respaldar
Dado que los cambios que va a hacer pueden alterar drásticamente tu sitio, es una buena idea hacer un respaldo de tu sitio o el archivo que vas a modificar, en caso que comete un error, puedes restaurar rápidamente tu sitio.
1. Cambiar las Clase de Seguridad – WordPress Salts
Puede que ya sea consciente de la sección de claves de seguridad y puede haber añadido previamente claves únicas lo que es genial porque hacen que sea más difícil para los hackers la intrusión.
Las claves de seguridad ayudan a codificar la información almacenada en cookies y puede ser útil cambiarlas de vez en cuando especialmente después de que su sitio haya sido hackeado. Esto finalizaría efectivamente con cualquier sesión abierta o con cualquier sesión iniciada de un usuario en tu sitio, lo que significa que los hackers cerrarán su sesión también.
Mientras que cambies tus contraseñas y te aseguras que tu sitio está limpio de cualquier puerta trasera tu sitio estará a salvo de hackers de nuevo.
Puedes generar un nuevo conjunto de claves de seguridad usando el Generador de claves de seguridad de WordPress. Copie todo el resultado y péguelo reemplazando toda la sección que tiene un aspecto similar al ejemplo abajo:
define('AUTH_KEY', 'DO}Nu-U)DynYI+)]tYZrIThP>ny?5sx O373|l1`PA1h=mXH0Z_tQG]8jiR+B ?T');
define('SECURE_AUTH_KEY', 'vj9OO?[oo.{:aBoy33mP&/uzL(-!Jm/ao|+ TY=ujt@~VczV2lV^k&Tq,UAZM=|q');
define('LOGGED_IN_KEY', 'VC ^814[FKT`|1:9o-]Wr8bOpZYCSQK`2TJPe+/-^<mxx$kv#7s809|x@f>6W:FS');
define('NONCE_KEY', '=;^s.9m-3Yp_aN1eZ/xbY+a%{l+]E4)O3&?U89Zqa ZlWTUi0.{17|w}aq1>meU3');
define('AUTH_SALT', ')1!;)eu^}B(hjf)%(~|[+tLE9_@9|j*=X|zr3s=pO<{q&+%+xU9y._g5Ok3');
define('SECURE_AUTH_SALT', 'PB|bM/i-*=myu@y#d0o[Pi-l|Ytx(6U?_3_#Ft_LoNbLL0=a;. g%p;04||Q[;tI');
define('LOGGED_IN_SALT', '|.~LM8j,3h9AdibdOI&_jV&C_fR]i)o!{N3c3]~{jllRY@ay:5l#~`6[IDVABp s');
define('NONCE_SALT', 'hEZv+~Kpgos51=PRsJnEvxUZq_L{gdxpcb6.#-f9kA:Cd8OAyUDA.vHV5~/P'); </mxx$kv#7s809|x@f>
2. Forzar el uso de SSL
Un certificado SSL codifica la conexión entre tu sitio y el navegador de tu visitante de forma que los hackers no pueden interceptar y robar información personal. Si ya tiene un certificado SSL instalado, forzar que tu sitio lo utilice puede ayudar a mejorar la seguridad.
Para forzar el uso de su certificado SSL al iniciar sesión, añada esta línea:
define('FORCE_SSL_LOGIN', true);
También puede forzar el uso de su certificado SSL para el panel de administrador con esta línea:
define('FORCE_SSL_ADMIN', true);
3. Cambiar el prefijo de la base de datos
Un prefijo se coloca delante de los nombres de todas sus tablas en su base de datos. Por defecto, se establece como wp_. Puedes seguir usando tu sitio sin cambiar el prefijo, pero si lo cambias agregas otro obstáculos en el camino del hacker.
Puedes cambiar wp_ por algo más como er329_ o prefijos similarmente difíciles que sean menos probables de adivinar.
La linea que tienes que encontrar en “wp-config.php” es$table_prefix = 'wp_';
4. Deshabilitar el editor de edición de temas y plugins
Desde el administrador de WordPress, puede editar directamente los plugins y los temas a través del panel. Si un hacker fuera capaz de infiltrase en los programas de fondo de su sitio, accederían a este editor especial donde podrían hacer cualquier cosa que quisieran dentro de sus archivos de plugins y temas tal como añadir malware, virus o spam.