Saltar al contenido

La lista de control de seguridad PHP definitiva de las mejores prácticas de WordPress

El proceso de seguridad de su sitio web probablemente aborda cómo asegurar su sitio de WordPress a nivel de servidor, así como proteger su sitio a nivel de archivo. ¿Pero necesitas proteger tu lenguaje de programación? ¿Existen las mejores prácticas de seguridad de PHP que debe seguir? ¿PHP necesita ser asegurado?

Si, si y si.

Si ejecuta un sitio web de WordPress pero no se enfoca en mantener su código PHP seguro, podría ser susceptible a un incidente mayor.

Hay un montón de beneficios al usar PHP para desarrollar su sitio web de WordPress:

  • Es lo suficientemente fácil de usar como principiante y lo suficientemente flexible como para programar profesionales.
  • Funciona muy bien en todas las plataformas (por ejemplo, Linux, Windows, etc.).
  • También es muy amigable con WordPress.
  • Puede mejorar la velocidad del sitio.

Dicho esto, PHP no está exento de defectos. Las aplicaciones programadas con PHP pueden estar en riesgo de:

  • Inyecciones SQL
  • Secuencias de comandos entre sitios
  • Credenciales de inicio de sesión expuestas
  • Secuestro de sesión
  • Formas falsas
  • Y otros riesgos de seguridad desagradables

Relacionado: Cómo verificar la versión de PHP de su sitio de WordPress (y compatibilidad de actualización)

Obviamente, esto no pretende desanimar su deseo de usar PHP para programar su sitio web de WordPress. Es un lenguaje altamente confiable y flexible y, cuando se asegura adecuadamente, puede ser una herramienta increíblemente poderosa que también ayuda a optimizar su proceso.

La siguiente lista de verificación de seguridad de PHP le enseñará todas las mejores prácticas de seguridad de PHP que necesita conocer para mantener su lenguaje de programación y las aplicaciones construidas con PHP seguras en el futuro.

La lista de verificación de seguridad PHP definitiva para WordPress

¿Quiere asegurarse de que su sitio web de WordPress esté a salvo de los piratas informáticos? Luego, depende de usted asegurarse de que todas las herramientas que utiliza para construirlo (incluido su lenguaje de programación) cumplan con las mejores prácticas de seguridad. Específicamente cuando se trata de PHP, deberá prestar mucha atención a lo siguiente:

  • Mejores prácticas de codificación PHP
  • Restricciones de acceso en el backend de su sitio
  • Gestión de cuentas de usuario y monitoreo
  • Validación, desinfección y escape de datos.
  • Datos enviados por el usuario y monitoreo de carga
  • Web host confiabilidad

Si desea obtener más información sobre los puntos de control de seguridad de PHP anteriores y cómo usarlos en el desarrollo de WordPress, siga leyendo para la mejor lista de verificación de seguridad de PHP

Mejores prácticas de PHP

  • Usa PHP7: Utilice siempre la última versión de PHP. Lo mismo ocurre con cualquier biblioteca y aplicación de terceros que use junto con ella.
  • Ocultar versión: La versión actual de PHP que está utilizando puede permitir que los piratas informáticos sepan a qué tipo de vulnerabilidades ha dejado abierto su sitio, así que desactive esta configuración en su encabezado usando expose_php.
  • Renombrar phpinfo: La información adicional sobre su instalación también debe estar oculta, así que asegúrese de cambiar el nombre del archivo phpinfo.php.
  • Cambiar código de error: Cambie el mensaje de error predeterminado que se muestra a los usuarios cuando falla una conexión a su sitio. Esto evitará que vean información sobre su IP o ruta de archivo. En cambio, solo registre esos errores en su extremo.
  • Limitar los comandos del sistema: El consenso general es que no debes usar funciones de shell en PHP. Sin embargo, si tiene que hacerlo, no incluya datos de usuario.

Actualización de contenido

EBook de seguridad PHP gratuito

[[4 páginas]La lista de verificación de 21 pasos para garantizar un sitio web seguro de WordPress al 99.9%

Descargar

Protege el backend

  • Use SFTP: Al transferir archivos en el backend, use siempre SFTP.
  • Restringir el acceso al directorio: Cambie el nombre de directorio predeterminado para su aplicación PHP.
  • Configurar la ruta de la sesión: Si está utilizando alojamiento compartido para su sitio, entonces otros usuarios en el servidor pueden ver los datos de su sesión. Puede detener esto almacenando nuevas rutas de sesión debajo del directorio raíz.
  • Crear administradores separados: Si está ejecutando más de un sitio web basado en PHP en un solo servidor, asegúrese de utilizar un administrador separado con credenciales de inicio de sesión completamente diferentes para cada uno. Esto evitará infecciones entre sitios.
  • Hacer directorio de solo lectura: Proteja su directorio accesible desde la web configurándolo en solo lectura.
  • Almacenar archivos confidenciales fuera del directorio: Los archivos de aplicaciones confidenciales (como los archivos de configuración) deben colocarse en un directorio no accesible desde la web. Luego puede enrutarlos usando un script PHP.

Información segura del usuario

  • Cifrar todas las contraseñas: Esto es obvio, pero asegúrese de aplicarlo en todos los ámbitos, tanto para sus contraseñas como para todos los usuarios que hayan iniciado sesión.
  • Sesiones seguras: Evita el secuestro de sesiones creando una ID de sesión compleja. También puede agregar un token especial a cada URL.
  • Destruye viejas sesiones: Cuando alguien ha cerrado sesión o si sus derechos de acceso han cambiado, elimine siempre las cookies de su sesión y fuerce una nueva ID de sesión.
  • Verificar nuevos usuarios: Verifique siempre la identidad de los nuevos usuarios y concédale privilegios de acceso en consecuencia. Esto es especialmente importante si intentan acceder a una página restringida.
  • Usa un acelerador: Demasiados inicios de sesión fallidos deben bloquearse con un acelerador de contraseña.

Validar entrada y salida de usuarios

  • Validar y desinfectar entrada: Cualquier dato, archivo, URL, contenido incrustado, CSS o HTML enviado a través de su sitio por un usuario, conocido o desconocido, debe revisarse y desinfectarse. Esto significa que solo se deben permitir los datos que esperaba recibir (por ejemplo, nombre de usuario para nombre de usuario, dirección de correo electrónico para dirección de correo electrónico, etc.). Mantenga palabras «malas» como «DE» o «DÓNDE» o signos de puntuación como comillas simples en tu radar ya que pueden ser una señal de que alguien está tratando de introducir código malicioso en su sitio.
  • Salida de escape: Antes de publicar datos o archivos de usuario en su sitio, asegúrese de que también se hayan escapado para evitar que lleguen caracteres y códigos potencialmente peligrosos (como comillas simples o

[[4 páginas]La lista de verificación de 21 pasos para garantizar un sitio web seguro de WordPress al 99.9%

Descargar

Si bien cada uno de los puntos anteriores es válido, vale la pena destacar este punto en particular, ya que la calidad del alojamiento web en el que confía puede en última instancia hacer o deshacer la estrategia de seguridad de su sitio.

Como a menudo es difícil distinguir lo bueno de lo malo, especialmente cuando se busca algo tan específico como el soporte de PHP7, le sugerimos que comience con servidores web como WP Engine y Kinsta.

Relacionado: Alojamiento de WordPress totalmente administrado a través de WP Engine y Kinsta

WP Engine es un proveedor de alojamiento de WordPress administrado que incluye soporte PHP7 en cada uno de sus planes de alojamiento. Además, WP Engine maneja regularmente el tema de PHP7 en su blog con agradecimientos especiales a su complemento Comprobador de compatibilidad de PHP. Decir que esta empresa está dedicada a la asistencia al usuario de PHP7 sería insuficiente.

Otra empresa administrada de alojamiento de WordPress, Kinsta aloja todos sus sitios web de clientes con PHP7. Esto es para garantizar un alto rendimiento y velocidad en todos los ámbitos. Kinsta también ofrece a sus usuarios la posibilidad de actualizar su motor PHP a la última versión de PHP.

Y, por supuesto, también hay que considerar el alojamiento de WordPress totalmente administrado por WP Buffs. WP Buffs siempre se mantiene a la vanguardia al mantener sus servidores y versiones de PHP actualizados con lo último y lo mejor, por lo que nunca tendrá que preocuparse por administrar esas actualizaciones usted mismo (lo cual es parte de la alegría de externalizar la administración de WordPress a otra persona, ¿verdad?)

Terminando

Al crear un sitio web de WordPress, la seguridad es siempre una preocupación principal. Es por eso que usa plugins y temas confiables y siempre mantiene su núcleo actualizado, entre otras mejores prácticas de seguridad. PHP no es diferente. Manéjelo como lo hace con sus otras herramientas de WordPress: manténgalo actualizado y cumpla siempre con las mejores prácticas de seguridad, y usted (y su sitio web) puede dormir mucho más tranquilo por la noche.

¿Quieres dar tu opinión o unirte a la conversación? Añade tus comentarios 🐦 en Twitter.

SalvarSalvar