homefinance blog
Cada sitio de WordPress contiene un archivo llamado “wp-config.php”. Este archivo de configuración especial de WordPress es uno de los archivos de WordPress más significativos. El archivo contiene muchos parámetros de configuración que se pueden cambiar para una mejor seguridad del sitio. En esta publicación, le mostraremos cómo asegurar su sitio de WordPress utilizando el archivo de configuración de WordPress. ¿Cómo proteger su sitio web de WordPress utilizando el archivo WP-Config? 1. Cambie el prefijo de la base de datos ¿Alguna vez ha visto sus tablas de base de datos de WordPress? (Puede acceder a él a través de su cuenta de host web) de forma predeterminada, la base de datos tiene once tablas. Cada tabla tiene una función específica. Por ejemplo, WP_Posts almacena información de publicaciones, páginas y menú de navegación. Debido a que las funciones de cada tabla están predeterminadas, el hacker sabe dónde se almacenan los detalles de su sitio, si desean explotar a los usuarios de su sitio, pueden dirigirse a la tabla “WP_USERS”.
WordPress utiliza implícitamente el prefijo “WP_” para todas las tablas. Cambiarlo en un prefijo único puede ser útil para ocultar los nombres de las mesa y lo ayudará a asegurar su sitio de WordPress. Para hacer esto, abra el archivo “WP-Config”. Paso 1: para acceder al wp-config.php, abra la cuenta de host web y vaya a CPANEL. Seleccione File Manager y le llevará una página que se vea así:
Esta es una página típica del administrador de archivos
Paso 2: En el lado izquierdo, hay una carpeta public_html. En esta carpeta, encontrará el archivo WP-Config.
El archivo WP-Config se puede encontrar en la carpeta “public_html”
En el archivo “WP-Config” coloca las siguientes líneas: [código] $ table_prefix = ‘wp _’; [/ código]
Tienes que cambiarlo en algo aleatorio, como:
[código] $ table_prefix = ‘Agora _’; [/ código] Esto cambiará los nombres de las tablas en la base de datos en “wp_users” a “wp_agora”, “wp_posts” en “wp_agora” etc. 2. Deshabilitar los archivos de temas / complementos de edición en el tablero de WordPress, hay una opción para editar el archivo de complemento / tema. Esto significa que, con acceso al tablero y permisos suficientes, cualquiera puede editar sus temas o complementos.
Puede editar los temas y complementos desde el tablero de WP
Aunque es una herramienta útil si desea reconfigurar cualquier complemento, se vuelve peligroso en la mano de un hacker. Por ejemplo, suponga que un hacker logra ingresar a su sitio con la ayuda de una exploit. Es fácil agregar malware a un complemento o tema existente. Podrían ocultar la puerta trasera que explotarán más tarde para tener acceso a su sitio cuando lo deseen. Puede evitar esto y asegurar su sitio de WordPress desactivando la opción de editar estos archivos. Simplemente coloque el siguiente código en el archivo de configuración de WordPress:
[Código] Define (‘deseshow_file_edit’, true); [/ código] 3. Evite que los usuarios instalen o actualicen complementos y temas que desactivan a los usuarios para editar estos archivos proporcionan un solo nivel de seguridad. No evita que los hackers instalen un complemento malicioso que puedan usar para explotar su sitio. Una vez que tienen acceso al panel de administración con el permiso correcto del usuario, pueden instalar un tema o complemento falso. Si no instala complementos con frecuencia, puede desactivar la opción agregando el siguiente código al archivo de configuración de WordPress: [Código] Define (‘desestrow_file_mods’, true); [/ Código] 4. Imponer el uso de “FTP” que evita que los usuarios instalen y actualicen complementos y temas pueden ser restrictivos e incluso poco prácticos para los sitios que instalan complementos con bastante frecuencia. Además, la actualización de temas y complementos es muy importante para la seguridad de un sitio. Un método alternativo para garantizar que un usuario válido instale los complementos es obligar a los usuarios a proporcionar detalles “FTP”. Incluso cuando su panel de administración se ve comprometido, los piratas informáticos no pueden instalar un complemento falso a menos que tengan credenciales FTP.
Simplemente agregue las siguientes líneas a “wp-config.php”: [bod] define (‘fs_method’, ‘ftpext’); [/ código] Si su host o su servidor acepta “ftps”, agregue las siguientes líneas al archivo de configuración: [código] define (“ftp_ssl”, true); [/ código] Si su host o su servidor acepta “SFTP”, agregue las siguientes líneas: [Código] Define (‘FS_Method’, ‘SSH2’); | Después de conectarse a su cuenta, su información de inicio de sesión se almacena de manera cifrada en la cookie del navegador. Las claves de seguridad son variables aleatorias que ayudan a mejorar este cifrado. Si su sitio está pirateado, el cambio de claves secretas invalidará las cookies y obligará a cada usuario activo a desconectarse automáticamente. Una vez tirado, el hacker pierde acceso a su administrador de WordPress. Puede generar un nuevo conjunto de claves de seguridad y puede colocarlas en el archivo “WP-Config”. Lo ayudará a asegurar su sitio de WordPress. 6. Ocultar “WP-Config.php” En cualquier sitio de WordPress, el archivo WP-Config tiene una ubicación implícita. Por lo tanto, cambiar la ubicación del archivo puede evitar la caída de los piratas informáticos. Afortunadamente, WordPress permite que la carpeta “WP-Config” esté fuera de su instalación de WordPress. Por ejemplo, si WordPress se instala en la carpeta public_html, entonces el archivo de configuración estará presente en la carpeta Public_html. Pero puede mover WP-Config fuera de la carpeta public_html y continuará funcionando.
7. Asegure la configuración del archivo WP-Config.php es vulnerable a los ataques, lo que hace que sea imperativo asegurarlo. Una forma de hacerlo es el cambio de ubicación, para que los piratas informáticos no puedan encontrarlo en la ubicación predeterminada. Aunque algunos desarrolladores pueden oponerse a esto, hay muchos que lo consideran una buena idea. Echa un vistazo a esta discusión. Otra medida de seguridad que puede tomar es restringir el permiso del archivo. Establezca los permisos de archivo en 600 para que solo los propietarios verdaderos puedan editar el archivo WP-Config. Para cambiar el permiso del archivo WP-Config, seleccione el archivo y luego elija la opción “Permiso”. Con este permiso, solo los usuarios pueden leer y escribir en el archivo WP-Config
Y luego debe incluir las siguientes líneas en el archivo .htaccess para evitar que los hackers carguen el archivo WP-Config directamente desde el navegador. # Proteger wpconfig.php
El comando permite, nega
negar
