• Consulta al Doctor
  • ¿Qué es WP Doctor?
  • Blog
  • Herramientas

Archivos que comprometen la seguridad de WordPress

24 septiembre, 2015 by Pablo Velasco

Compartir
Twittear

New technologies metaphor. Isolated on white

Cuando un hacker o robot intenta atacar una web, un primer paso sería averiguar qué tipo de herramienta estás usando para su desarrollo. Puede ser un CMS como WordPress, Joomla, Drupal, etc. o una web desarrollada a «mano».
Una vez que se ha detectado el tipo de herramienta se podrá aprovechar el conocimiento que se tiene de su estructura de archivos para comenzar con el ataque.

Existen diversos archivos que pueden comprometer la seguridad de WordPress. Por un lado, hay algunos archivos que se añaden con la instalación de WordPress, que son meramente informativos, pero cuya información puede ser útil para los atacantes.

Por ejemplo, podría mostrar información sobre la versión de WordPress que estamos utilizando, algo muy útil si no tenemos la último versión disponible.

Por otro lado, existen algunos archivos necesarios para el funcionamiento de WordPress, que no podemos eliminar, y que contienen información sensible. Es conveniente proteger estos archivos.

Empecemos con los primeros. En la raíz de la web solo deberíamos tener archivos con extensión php y el archivo .htaccess. El resto de archivos, con extensiones txt o html deberían ser eliminados, a menos que los hayamos añadido nosotros para algún cometido en particular, o se hayan instalado con algún plugin (normalmente ningún plugin debería dejar archivos en la raíz, pero puede que haya excepciones).

Los archivos que deberíamos eliminar son los siguientes (puede que no lo tengas todos):

  • license.txt
  • licencia.txt
  • readme.html

Si, por seguridad, no los quieres eliminar, puedes crear un directorio nuevo donde mover estos archivos o también puedes renombrarlos. Por ejemplo, puedes cambiar el nombre license.txt por license_oculto.txt. En todo caso, sin estos archivos tu WordPress también funcionará perfectamente.

También se ha de tener en cuenta que cada vez que actualicemos WordPress a una nueva versión es posible que estos archivos eliminados se vuelvan a añadir, por lo que deberemos estar atentos, una vez finalizada la actualización, si es necesario volver a borrar los ficheros sobrantes.

Pasemos ahora a los archivos que pueden contener información sensible. Serían los archivos wp-config.php y .htaccess, ambos situados en la ráiz de nuestro WordPress. El archivo wp-config.php contiene diversa información de la configuración de WordPress, como el nombre de la base de datos que se está utilizando o el usuario y contraseña que se utiliza para conectarse, además de otra información que conviene mantener segura. El archivo .htaccess también es importante porque puede ser utilizado por los atacantes para debilitar la seguridad de nuestra web.

A priori, estos archivos no serían accesibles para usuarios externos, pero nunca viene mal añadir una capa de seguridad adicional. Para ello deberemos editar el archivo .htaccess y añadir al principio del mismo el siguiente código:

# proteger wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# proteger htaccess
<files .htaccess>
order allow,deny
deny from all
</files>

De esta manera, indicamos que se bloquee el acceso a ambos archivos de forma externa, solo siendo accesibles desde el propio servidor, que es justo lo que necesitamos.

Con estos sencillos trucos estamos mejorando la seguridad de nuestros WordPress, aunque recuerda que hay otras medidas a tomar, de las que hemos hablado en este mismo blog.

[Total: 1 Average: 5]

Filed Under: Seguridad WordPress

Únete a la lista y recibe avisos sobre Seguridad y rendimiento para mejorar tu WordPress:
He leído y acepto los términos de privacidad y protección de datos
Utilizamos cookies propias y de terceros para mejorar los servicios, obtener información estadística, mostrar publicidad personalizada a través del análisis de tu navegación, así como para programas de afiliación. Consideramos que aceptas la Política de cookies si sigues navegando.Cerrar
The profile image of flagstad_bog
ʏᴀǫᴜᴇʟɪɴᴇ ʟᴏᴘᴇᴢ ᴘᴇᴅʀᴏᴢᴀ 4 años ago

He probado la herramienta para analizar #WordPress ¡¡genial!! 📣 wpdoctor.es vía @WebEmpresa pic.twitter.com/Ypg89cvMwZ #TKreo

The profile image of publicidad_web
publicidadweb.es 4 años ago

Hemos probado la herramienta para analizar #WordPress y va genial > wpdoctor.es vía @WebEmpresa pic.twitter.com/QgZjOOoOwu

The profile image of Quondos
Quondos 4 años ago

¿Quieres hacer un chequeo médico a tu #WordPress? ¡Es totalmente gratis! wpdoctor.es vía @WebEmpresa pic.twitter.com/xcJ74P9pYk

The profile image of seomental
Iñaki Tovar 4 años ago

#WPDoctor by @webempresa, la herramienta definitiva para #wordpress webpositer.com/wp-doctor-la-h… vía @webpositer

Términos de uso y Política de privacidad · Cookies · 2019 © WPDoctor es una idea de Hosting para WordPress en español