Cómo modificar wp-config.php para proteger su sitio web de WordPress

Si cree que su sitio es seguro porque no tiene contenido que valga la pena, piense nuevamente, porque la gran mayoría de las violaciones de seguridad no se dirigen al robo de datos o al daño al sitio. Los piratas informáticos generalmente quieren usar su servidor como correo electrónico para spam o configurar un servidor web temporal, generalmente para servir archivos ilegales. Si está pirateado, prepárese para pagar dinero por los costos crecientes del servidor. Hay muchas formas diferentes en que puede fortalecer la seguridad del sitio o la red multisit, pero una de las más simples es cambiar su archivo wp-config.php. Actualización de este archivo de configuración, aunque no es una solución segura para mantener a los piratas informáticos alejados, vale la pena como parte de la estrategia de seguridad general.
Dado esto, veamos qué son las constantes de WordPress y cómo usarlas para hacer cambios en el archivo wp-config.php para aumentar la seguridad del sitio. Configuración de las constantes de WordPress en su archivo de configuración de WordPress, también llamado WP-Config.php, puede establecer lo que se llama PHP Constantes para realizar ciertas tareas. WordPress tiene muchas constantes que puedes usar. La documentación de PHP describe las constantes que: “Una constante es un identificador (nombre) para un valor simple. Como su nombre indica, ese valor no se puede cambiar durante la ejecución del script (excepto las constantes mágicas, que en realidad no son constantes). Una constante tiene en cuenta el minúscula superior y en minúsculas. Por convención, los identificadores constantes son siempre mayúsculas “.
Simplemente puede establecer un valor para tener un nombre. También se aplica globalmente en un script completo, por lo que puede usarlo una y otra vez. Las constantes son sensibles al mayúscula y generalmente contienen solo letras mayúsculas y guiones subrayados. Una constante real utilizada en WordPress es wp_debug y este es un gran ejemplo de cómo nombrarlos correctamente, porque solo puedo comenzar con una letra o un solo subrayado. (Puede leer más sobre cómo usar wp_debug aquí). Las constantes también se incluyen en define () como se muestra en este ejemplo de sintaxis básica: la idea de jennimckinnon/bced8b9aa179e04b272c1a406d829a0 está cargada.
En WordPress, el archivo wp-config.php se carga antes del resto de los archivos del núcleo. Esto significa que si cambia el valor de una constante en wp-config.php, puede cambiar la forma en que WordPress reacciona y funciona. Puede deshabilitar ciertas funciones o activarlas todas cambiando el valor. En muchos casos, esto se puede hacer cambiando falso en verdadero y viceversa, por ejemplo. A continuación se presentan constantes, así como otros tipos de código PHP que puede usar en el archivo WP-Config.php para aumentar su seguridad. Colóquelos en la siguiente línea en su archivo wp-config.php:
Cargue la idea Jennimckinnon/CD3E732352FB0C68FD9E
Advertencia: en caso de emergencia porque los cambios que va a hacer pueden cambiar drásticamente su sitio, es una buena idea hacer una copia de seguridad. Si se comete un error, puede restaurar rápidamente el sitio a un punto antes de hacer cualquier cambio y, una vez que el sitio funcione normalmente, puede intentarlo nuevamente. Para obtener más detalles sobre cómo crear una copia de seguridad o restaurar su sitio, consulte algunas de nuestras otras publicaciones: cómo hacer una copia de seguridad de su sitio de WordPress (y el sitio múltiple) utilizando la instantánea, los complementos de copia de seguridad no se refieren a la copia de seguridad, sino a la restauración y 7 Top Premium y Freemium Backpres. Si descubre que ya ha sido pirateado e intenta aumentar la seguridad de su sitio, instalar un complemento de seguridad, como el defensor y dar a los piratas informáticos de Smackdown. Una vez que haya realizado una copia de seguridad, puede comenzar a hacer los cambios a continuación. 1 Las claves de seguridad ayudan a cifrar información almacenada en cookies y pueden ser útiles para cambiarlas de vez en cuando, especialmente después de que su sitio haya sido pirateado. Esto realmente terminaría cualquier sesión abierta de usuarios conectados a su sitio, lo que significa que los piratas informáticos están desconectados.
Siempre que restablezca sus contraseñas y asegúrese de que su sitio esté limpio de cualquier operación de puerta trasera y similares, los hackers pueden proteger su sitio nuevamente. Puede generar un nuevo conjunto de claves de seguridad utilizando el generador de seguridad de WordPress. Copie la salida completa e insértelo para reemplazar la sección que se ve similar al siguiente ejemplo: Cargue la idea Jennimckinnon/F321ABC64F1FC94CA9EDF3B0D6BEF6C1
2. Forzar el uso de SSL Un certificado SSL cifra la conexión entre su sitio y el navegador del visitante para que los piratas informáticos no puedan interceptar y robar información personal. Si ya tiene un certificado SSL instalado, obligar a su sitio a usarlo puede ayudarlo a intensificar su juego de seguridad.
Para forzar el uso de su certificado SSL tanto al iniciar sesión como ver el tablero administrativo, agregue esta línea:
La idea de Jennimckinnon/F526F549899AB646F6F289E763110130 está cargado.
Estos son excelentes comienzos, pero es ideal usar el certificado SSL en todas las páginas de su sitio y puede obtener detalles sobre cómo hacer esto en nuestra publicación cómo usar SSL y HTTPS con WordPress. 3. Cambie el prefijo de la base de datos Un prefijo se coloca frente a los nombres de todas las tablas en la base de datos. Por defecto, está configurado en WP_ y, aunque podría seguir el camino alegre sin hacer nada, su cambio agrega otro paso a la lista de cosas para hacer un hacker si quieren ingresar a su sitio con tanto como agregue más obstáculos para un hacker, menos posibilidades es que se infiltren con éxito en su sitio.
Cambiar el prefijo predeterminado ayuda a esto y si localiza la línea a continuación en wp-config.php, puede cambiar WP_ con algo más, como G628_ o prefijos difíciles similares, que es menos probable que adivine. La idea de Jennimckinnon /23A52913261A7346B4B7828282FE.
4. Deshabilite la edición de complementos y tema en cada instalación de WordPress, puede editar directamente complementos y temas a través del tablero. Si un hacker pudiera ponerse en camino a la back -end de su sitio, tendría acceso a este editor especial, donde podría hacer todo lo que quiera en el arado y los temas, como agregar malware, virus o spam.
Contener un hacker una vez que ingrese con éxito debe ser parte de su régimen de seguridad. A veces, a pesar de sus esfuerzos, alguien aún puede piratear su sitio, por lo que es importante ser lo más difícil posible para causar algún daño real. En este tren de pensamiento, puede deshabilitar al editor de temas y complementos, para que los piratas informáticos no tengan acceso a él si pueden ingresar. Esto también significa que los usuarios de su sitio o red no tendrán acceso a él, pero esto generalmente no es algo malo porque les impide cometer grandes errores que podrían destruir su sitio.
Agregue esta línea para apagar el complemento y el editor de temas:
La idea de Jennimckinnon/59BC8A5B7FA4D326EE387222D1A51298 está cargado.
5. Mueva el archivo wp-config.php porque su archivo wp-config.php contiene mucha información crucial, incluidas las contraseñas, es importante mantener este archivo lo más seguro posible. Además de configurar los permisos de usuario adecuados para ello, también puede mover el archivo con un directorio sobre la ubicación predeterminada, sin destruir su sitio. Mover el archivo también dificulta que los hackers predecan su ubicación para poder piratearlo. Puede ser importante tener en cuenta que esto no siempre es posible, especialmente si tiene una de estas configuraciones: ya tiene un archivo wp-config.php ubicado en un nivel anterior, porque, como en la película de Highlande, no puede ser así uno – en el mismo lugar
Su sitio está ubicado en un subdirector en lugar de raíz y usted está compartido de sombra o tiene muchos sitios en sus propios directorios porque la regla anterior se aplicaría en estos entornos

Si no está en una de estas situaciones, debe mover su archivo de configuración, pero al ir un paso más allá, puede moverlo en cualquier lugar que desee y crear un nuevo archivo WP-Config.php en el lugar original. Con el siguiente contenido:
Cargue la idea Jennimckinnon/8afd05794ad75facbd6ae6629f9cffaf
Su sitio debería poder funcionar, ya que normalmente sería siempre que reemplace /path/to/wp-config.php con la ruta real a su archivo de configuración. 6. Implementación del uso de FTPS Si su host ha activado el protocolo de transferencia de archivos seguro (FTPS), puede forzar el uso de FTP al transferir archivos. Esto encriptaría la conexión entre su servidor y el usuario para que un hacker no pueda interceptar y robar archivos e información. Para forzar el uso de FTP, agregue la siguiente línea: Cargue la idea Jennimckinnon/116785537fa7a03524f5a5f7e4fd5a74
7. Implementación del uso de SFTP similar al consejo anterior, si su host tiene el Protocolo de transferencia de archivos SSH (SFTP) para asegurar y criptar la conexión al usar SSH y la línea de comando, puede forzar su uso para todos los miembros con la línea Desde abajo.
La idea de Jennimckinnon/D7BF9A6A6DD2919784C9F005A624513 está cargado.
8. Deshabilitar el problema si ha activado previamente la resolución de problemas para su sitio o red, es una excelente herramienta para la resolución de problemas, pero no debe olvidarlo después de haber terminado. Dejando esta opción operada, puede revelar información importante sobre su sitio y la ubicación de los archivos a los piratas informáticos y cualquier persona que visite su sitio y esto lleva a un error. Debido a que a menudo me olvido de hacer esto, esto puede servir como un recordatorio para usted si ya está al tanto de esta idea. Para apagar el modo de solución de problemas, puede cambiar verdadero a falso para que la línea de solución de problemas muestre que el siguiente ejemplo:
Cargue la idea Jennimckinnon/9D1AA37F57D86FDE1862F0A1C8D992E4
También puede eliminar la línea si está seguro de que ya no la necesita. 9. Deshabilitar el registro de los errores front-end Si no puede realizar el cambio anterior, porque aún necesita solucionar activamente su sitio, aún puede proteger la información vital de su sitio desactivando los errores front-end que se muestran y Incluyéndolos en una revista de errores que no es visible públicamente o accesible. Para deshabilitar el informe de los errores frontales, agregue esta línea, manteniendo la constante de intacta y establecida en Tru: la idea de Jennimckinnon/6CBD59E014F030527400531B92B7C329 está cargada.
Puede consultar una de nuestras otras publicaciones de solución de problemas de WordPress: Cómo usar WP_DEBUG para obtener más detalles sobre la resolución de problemas de WordPress. 10. Activación de actualizaciones automáticas Manteniendo su sitio actualizado con las últimas versiones del núcleo de WordPress, junto con sus complementos y temas. Debe ser una parte importante de su estrategia de seguridad. Debido a que las actualizaciones proporcionan remedios de seguridad para las vulnerabilidades conocidas, la incapacidad de hacer que su sitio en peligro no vaya a estos agujeros de seguridad. Puede obtener más información sobre la importancia de actualizar la seguridad, verificar por qué debería tener la última versión de WordPress y la guía final para actualizar WordPress y Multisites. Desde la versión 3.7 de WordPress, las versiones de seguridad menores se aplican automáticamente a los sitios de WordPress, pero las versiones principales para las actualizaciones básicas no lo son, aunque puede activar actualizaciones automáticas para todas las versiones nuevas cambiando el valor de la actualización automática, como se muestra. Bajo. :
Cargue la idea Jennimckinnon/5318e70512a55121f56822222250fd5ca Bonus, puede agregar la siguiente línea a continuación a un enchufe obligatorio en la carpeta/WP-Content/MU-Plugins/para activar las actualizaciones automáticas para los complementos:
Cargue la idea Jennimckinnon/5D662FD72248D42E769544C55753D233
Además, puede seguir esto con esta línea para activar actualizaciones automáticas para los temas:
Cargue la idea Jennimckinnon/1D576FFE7F9B0F4537FE35CEFD020CD9
Puede ser importante tener en cuenta que agregar actualizaciones automáticas para complementos y temas generalmente funciona solo si provienen del director de WordPress. Es posible que los complementos y los temas que se encuentran en otros lugares, incluidos los premium, no funcionen, porque no deben seguir las mismas pautas necesarias para enviar al almacén de WordPress. Esto significa que puede no tener el código incluido para permitir que las actualizaciones automáticas funcionen correctamente. Sin embargo, puede haber la posibilidad de que respeten los requisitos, por lo que puede ser útil tratar de activar actualizaciones automáticas, especialmente si utiliza una combinación de complementos gratuitos y premium. Aplique automáticamente estos ajustes, estos consejos deberían ayudarlo a asegurar su sitio agregando al archivo wp-config.php, pero puede ser una tarea que requiere tiempo. Sin mencionar que, aunque estos cambios son útiles, no deberían ser los únicos pasos que tome para asegurar su sitio. La instalación de un complemento de seguridad como el defensor para su instalación única o multisit puede hacer automáticamente estos ajustes a salvo y automáticamente. Una vez que estos cambios se realizan en unos pocos clics, el defensor también sigue siendo un vigilante, por lo que no hay necesidad, bloqueando y dando a los piratas informáticos incluso mientras duermes. Si ya es miembro de WPMU Dev, el defensor está incluido en su suscripción, pero si no se ha registrado, puede probarlo de forma gratuita. ¿Ha logrado usar estos consejos con éxito? ¿Cuáles son sus ajustes favoritos para aumentar la seguridad de su sitio?
Siéntase libre de compartir su experiencia en los comentarios a continuación.Etiquetas: Seguridad de WordPress