WordPress se instala en el servidor en dos sencillos pasos, pero es recomendable modificar algunas de las configuraciones que vienen por defecto para optimizar el rendimiento de la Web y mejorar su seguridad.
Estas optimizaciones sólo son posibles si tienes WordPress instalado en tu propio servidor, no son aplicables a Blogs alojados en la Web de WordPress. Además, algunas de las modificaciones sólo son aplicables a servidores Apache (lo más seguro es que tu servidor también lo sea).
1. CAMBIA LA CARPETA DE SUBIDA DE ARCHIVOS
WordPress sube por defecto todas tus imágenes, documentos y archivos a la carpeta wp-content/uploads. Es conveniente cambiar esta carpeta y alojar las imágenes preferiblemente en un subdominio (domain sharding). Puedes hacerlo utilizando este plugin.
Esto acortará las URLs de las imágenes y permite la descarga en paralelo de los archivos, mejorando el tiempo de carga de la Web (consulta nuestra Guía de Optimización del Rendimiento Web).
2. ELIMINA METADATOS INNECESARIOS
Esta información puede ser utilizada por Hackers que buscan Blogs que utilizan versiones de WordPress anteriores y más vulnerables a ataques. Puedes evitar que aparezcan estos datos añadiendo las siguientes líneas al archivo functions.php de tu Theme:
remove_action( ‘wp_head’, ‘wlwmanifest_link’ ) ;
remove_action( ‘wp_head’, ‘rsd_link’ ) ;
3. EVITA LA NAVEGACIÓN POR LAS CARPETAS DE WORDPRESS
Deberías añadir un archivo index.php en blanco en las carpetas wp-content/themes y wp-content/plugins de tu WordPress.
Además, añade esta línea al archivo .htaccess para evitar que los usuarios puedan ver listados de tus archivos e imágenes si navegan por las carpetas de tu WordPress:
4. LIMITA EL NÚMERO DE REVISIONES DE ARTÍCULOS
WordPress permite volver a versiones anteriores de artículos que estamos escribiendo. Si bien esta función es muy útil, puede incrementar de manera considerable el tamaño de la tabla wp_posts de nuestra base de datos.
Puedes limitar el número de revisiones a, por ejemplo, tres modificaciones añadiendo esta línea al archivo wp-config.php en la carpeta raíz de tu WordPress:
5. AUMENTA EL INTERVALO DE AUTO-GUARDADO
WordPress guarda copias de seguridad de los artículos que estás escribiendo cada minuto. Puedes aumentar este tiempo a tres minutos añadiendo esta línea al archivo wp-config.php en la carpeta raíz de tu WordPress:
6. ESCONDE LOS ERRORES DE LA PÁGINA DE LOGIN
Si te equivocas poniendo el usuario o la contraseña al intentar acceder al panel de control, WordPress muestra información detallada acerca de en qué te has equivocado. Esta información puede ser utilizada por Hackers a la hora de hacer un ataque.
Evita esto añadiendo las siguientes líneas al archivo functions.php de tu Theme:
return ‘Acceso denegado.’;
}
add_filter( ‘login_errors’, ‘sin_errores’ );
7. ELIMINA EL USUARIO ADMIN
WordPress viene con un usuario administrador por defecto: ADMIN. Si dejas este usuario activo y un Hacker quiere intentar entrar en tu panel de control, ya tiene parte del trabajo hecho.
Crea un usuario nuevo con privilegios de administrador, elimina el usuario ADMIN y transfiere todos los artículos del usuario ADMIN al nuevo usuario.
8. CAMBIA LA ESTRUCTURA DE PERMALINKS
La estructura de enlaces que viene por defecto es mala para el SEO.
La más adecuada es la que construye las URLs a partir del nombre del archivo (Post Name):
9. EVITA EL INDEXADO DE LOS SCRIPTS DE WORDPRESS
Podemos evitar que los Bots rastreen los diversos Scripts de Themes y Plugins añadiendo las siguientes líneas al archivo robots.txt:
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /wp-content/plugins/
Disallow: /wp-content/themes/
Disallow: /*.js$
Disallow: /*.css$
10. SEGURIDAD CON THEMES Y PLUGINS
Tener Plugins y Themes que no utilizas no afectará al rendimiento de tu Web. Sin embargo, por seguridad, es recomendable tener el mínimo de código ejecutable en nuestro servidor.
Es recomendable instalar el Plugin de Limit Login para evitar ataques de fuerza bruta y el Plugin Captcha para proteger nuestros formularios frente a Spam.