Avisos
Vaciar todo

Seguridad wordpress con wp doctor

8 Respuestas
3 Usuarios
0 Reactions
367 Visitas
Respuestas: 27
Eminent Member
Topic starter
 

Buenas he realizado recientemente un test en wp doctor de nuestra web y en seguridad no tenemos buena nota.
Mi cuestión es si debería de realizar los cambios sugeridos que me recomiendan o con la protección que disponéis no es necesario.
Cambien me gustaría saber si disponéis de algún post con información actualizada de seguridad para wordpress ya que la mayoría que encuentro de webempresa son antiguos del año 2014 que ya no son relevantes a día de hoy.

URL del sitio: Contenido solo visible a usuarios registrados


 
Respondido : 19/04/2018 2:36 am
Johnny Heredia Montiel
Respuestas: 20131
Miembro
 

Hola,

La consulta es muy general, en cuanto a lo recomendado por WPDoctor si que son necesarios, ciertos puntos como por ejemplo la protección de la administración de WordPress nuestro firewall ya cumple con los requerimientos necesarios para evitar ataques.

Luego sobre los post, es posible que algún articulo este desfasado sin embargo no por ser antiguo no dejan de ser relevantes y pueden ser utilizados según el caso a la actualidad.


 
Respondido : 19/04/2018 5:53 am
Respuestas: 27
Eminent Member
Topic starter
 

Segun wp doctor no me detecta ningun plugin de cache y tenemos wp rocket habilitado y magic cache.
Luego en seguridad aparece en rojo lo que adjunte en la imagen.


 
Respondido : 19/04/2018 1:27 pm
Pepe
 Pepe
Respuestas: 41108
Illustrious Member Admin
 

Hola Gonzalo.

edita el archivo htacces que encontraras en la raiz de tu instalacion y al principio del archivo añade lo siguiente:

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN
 
# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"
 
## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"
 
## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"
 
# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"
 
# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"
 
## Charset UTF-8

Header set Content-Type "text/html; charset=UTF-8"

Recuerda realizar antes que nada una copia del archivo.

Un saludo


 
Respondido : 19/04/2018 1:57 pm
Respuestas: 27
Eminent Member
Topic starter
 

Vale ya lo puse y se arreglaron varias partes.
Sigue quedando los siguiente:
wp-admin protegido
User-agents bloqueados (WAF)
Cabecera Content-Security-Policy
Y no se porque en el apartado de servidor aparece en rojo el país, esto último influye en algo?


 
Respondido : 19/04/2018 2:35 pm
Pepe
 Pepe
Respuestas: 41108
Illustrious Member Admin
 

Hola Jose:

wp-admin protegido
-> https://www.wpdoctor.es/como-proteger-directorio-wp-admin-wordpress/

User-agents bloqueados (WAF)
esta implementado en todos los servidores con Modsecurity

-> https://www.wpdoctor.es/que-es-un-waf-como-proteger-wordpress/

Cabecera Content-Security-Policy
-> https://www.wpdoctor.es/cabecera-x-content-type-options/

el apartado de servidor aparece en rojo el país
Si puedes adjuntar una captura del aviso seria de mucha utilidad.

Un saludo


 
Respondido : 19/04/2018 2:45 pm
Respuestas: 27
Eminent Member
Topic starter
 

Te adjunto imagen


 
Respondido : 19/04/2018 2:50 pm
Pepe
 Pepe
Respuestas: 41108
Illustrious Member Admin
 

Hola Jose.

¿ Te conectas desde España o América ?
Si te conectas desde España, manda un ticket a soporte para que lo revisen, les adjuntas la captura.

Un saludo


 
Respondido : 19/04/2018 3:08 pm