Guía de seguridad wordpress

GUÍA DE SEGURIDAD DE WORDPRESS

1. IntroduccióIntroducción

Wordpress es un sistema de gestiógestión de contenido (CMS, Content Management System), que permite crear sitios web, su popularidad ha logrado que resulte muy atractivo para los “ciberatacantes”“ciberatacantes”, con el fin de explotar vulnerabilidad

2. Asegurando Wordpress

Para mitigar el riesgo de ataques a Wordpress, recomendamos las siguientes buenas práprácticas de seguridad.

2.1. Configurar el control de acceso de usuarios

Ingresar al panel de administracióadministración de usuarios del sitio web: https://[midominio.gob.bo]/wp-admin/users.php y eliminar a los usuarios administradores que no se usan actualmente:

2.2. Actualizar el core de Wordpress

Ingresar a su sitio web https://[mi-dominio.gob.bo]/wp-admin/update-core.php y hacer click en el botóbotón ““Actualizar ahora”ahora”.

2.3. Actualizar los plugins de Wordpress

Previamente instalar y activar el plugin WP-Rollback (https://es.wordpress.org/plugins/wp-rollback/) que seráserá úútil en caso que la actualizacióactualización de algúalgún plugin no sea exitosa.

Realizar un backup de la base de datos.

Ingresar al sitio https://[mi-dominio.gob.bo]/wp-admin/update-core.php y seleccionar todos los plugins y presionar el botóbotón ““Actualizar plugins”plugins”.

En caso de existir un error durante el proceso de actualizacióactualización, realizar un ROLLBACK (https://[mi-dominio.gob.bo]/wp-admin/plugins.php).

2.4. Habilitar actualizaciones de seguridad automáautomáticas

Ingresar al panel de administracióadministración https://[mi-dominio.gob.bo]/wp-admin/plugins.php y seleccionar todos los plugins.

Seleccionar la accióacción ““habilitar actualizaciones automáticas”automáticas” y ejecutar “Aplicar”“Aplicar”

Borrar los themes no usados mediante la URL https://[mi-dominio.gob.bo]/wp-admin/themesphp

2.5. Instalar plugins de seguridad

Instalar y habilitar el plugin “Logonizer” (https://wordpress.org/plugins/loginizer/) para proteger el sitio contra ataques de fuerza bruta.

Instalar y habilitar el plugin “WP Hardening” (https://wordpress.org/plugins/wp-security-hardening/).

En el panel de “WP hardening” https://[mi-dominio.gob.bo]/wp-admin/admin.php? page=wphwp_harden_fixers habilitar todas las opciones (12 en total) menos “Change Login URL”:

En el panel de “WP hardening” https://[mi-dominio.gob.bo]/wp-admin/admin.php?page=wphwp_harden realizar la auditoría de seguridad y corregir todas las observaciones críticas (high), obteniendo como resultado final una pantalla similar a la siguiente:

2.6. Deshabilitar XML-RPC

Wordpress tiene caracterícaracterísticas para interactuar de forma remota con el sitio web, XML- RPC es una funciófunción de WordPress que permite la transmisiótransmisión de datos con HTTP actuando como mecanismo de transporte y XML como mecanismo de codificaciócodificación.

En la actualidad la funcionalidad del archivo xmlrpc.php ha disminuido considerablemente y su exposicióexposición y configuracióconfiguración insegura representa un riesgo en la seguridad del sitio web, provocando las siguientes vulnerabilidades:

• Ataques de fuerza bruta.
  
• DenegacióDenegación Distribuida de Servicio.
• XMLRPC pingback.ping.

2.6.5.1. Restringir el acceso al archivo xmlrpc.php

Para restringir el acceso al archivo xmlrpc.php en apache2, se debe editar el archivo de configuracióconfiguración del sitio web o mediante el archivo .htaccess agregando las siguientes lílíneas:

<files xmlrpc.php>
	order allow,deny
	deny from all
</files>

DespuéDespués reiniciar apache:

systemctl restart apache2

2.6.5.2. Deshabilitar la funciófunción XML-RPC

Si se determina que la funciófunción XML-RPC no es necesaria, se recomienda deshabilitarla, para ello se debe editar el archivo wp-config.php y agregar la siguiente lílínea:

add_filter('xmlrpc_enabled', '__return_false');

Otra opcióopción para deshabilitar la funciófunción XML-RPC es instalando y activando el complemento ““Disable XML-RPC”RPC”.

2.7.6. EnumeracióEnumeración de usuarios

Wordpress a travétravés de su REST API puede exponer datos sensibles, como es el caso de los usuarios del sistema, si el sitio no estáestá configurado de forma segura.

Para solucionar esta vulnerabilidad se debe actualizar a la versióversión 4.7.1 o posterior de Wordpress.

Una opcióopción, en caso de no hacer uso del API REST de Wordpress, es deshabilitarlo, para ello se debe agregar las siguientes lílíneas en el archivo de configuracióconfiguración de wordpress wp-config.php:

add_filter('rest_enabled', '_return_false');
add_filter('rest_jsonp_enabled', '_return_false');

2.2.7. UsaUtiliza contraseñcontraseñas fuertes y seguras

: Utiliza contraseñcontraseñas complejas y úúnicas para todas las cuentas de usuario, especialmente para los administradores.

CreacióCreación de ContraseñContraseñas

• Longitud: Usa contraseñcontraseñas largas. Se recomienda al menos 12 caracteres, pero cuanto mámás larga, mejor.

• Complejidad: Incluye una combinaciócombinación de letras mayúmayúsculas y minúminúsculas, núnúmeros y caracteres especiales como !, @, #, $, %, etc.

• Evita InformacióInformación Personal: No uses informacióinformación personal fáfácilmente disponible como nombres, fechas de nacimiento o núnúmeros de telételéfono.

• GeneracióGeneración Segura: Utiliza generadores de contraseñcontraseñas para crear combinaciones aleatorias y seguras. Hay herramientas en lílínea y aplicaciones de administracióadministración de contraseñcontraseñas que pueden ayudarte con esto.

• Almacenamiento Seguro: Usa administradores de contraseñcontraseñas confiables para almacenar y gestionar contraseñcontraseñas de forma segura.

ImplementacióImplementación en WordPress

• ContraseñContraseñas de Usuario: Para configurar o cambiar la contraseñcontraseña de un usuario en WordPress:

• Inicia sesiósesión en tu panel de administracióadministración de WordPress.

• DiríDirígete a "Usuarios" y luego a "Todos los usuarios".

• Haz clic en el nombre del usuario para el cual deseas cambiar la contraseñcontraseña.

• DespláDesplázate hacia abajo hasta la secciósección "Nueva contraseñcontraseña".

• Ingresa una contraseñcontraseña segura o utiliza el generador de contraseñcontraseñas integrado haciendo clic en "Generar contraseñcontraseña".

• Confirma la contraseñcontraseña y guarda los cambios.

2.3.8 Implementa AutenticacióAutenticación de Dos Factores (2FA):

Usa un plugin de 2FA para añañadir una capa adicional de seguridad a las cuentas de usuario.

AutenticacióAutenticación de Dos Factores (2FA)

• Segunda Capa de Seguridad: Considera habilitar la autenticacióautenticación de dos factores para agregar una capa adicional de seguridad mámás alláallá de la contraseñcontraseña.

Pasos para Configurar 2FA en WordPress con Google Authenticator:

1. 2.8.1. Instala un Plugin de 2FA:

• DiríDirígete a tu panel de administracióadministración de WordPress.

• Ve a Plugins > AñAñadir nuevo.

• Busca "Two Factor Authentication" o "Google Authenticator" y haz clic en Instalar ahora.

2. 2.9.2. Activa el Plugin:

• DespuéDespués de la instalacióinstalación, haz clic en Activar para activar el plugin.

• Configura el Plugin:

• Una vez activado, ve a Usuarios > Perfil.

• DespláDesplázate hacia abajo hasta la secciósección de "AutenticacióAutenticación de dos factores".

• Selecciona "Habilitar la autenticacióautenticación de dos factores para este usuario".

• ConfiguracióConfiguración con Google Authenticator:

• Descarga e instala la aplicacióaplicación "Google Authenticator" en tu dispositivo mómóvil desde la tienda de aplicaciones correspondiente (iOS o Android).

• Escanea el CóCódigo QR:

• En la configuracióconfiguración de 2FA de tu perfil de WordPress, selecciona "Google Authenticator".

• Abre la aplicacióaplicación Google Authenticator en tu telételéfono y escanea el cócódigo QR que aparece en pantalla.

• Alternativamente, puedes introducir el cócódigo secreto manualmente si no puedes escanear el cócódigo QR.

• VerificacióVerificación:

• Una vez escaneado o introducido el cócódigo, la aplicacióaplicación generarágenerará cócódigos de verificacióverificación de seis dídígitos que cambian cada 30 segundos.

• Introduce el cócódigo de verificacióverificación generado por Google Authenticator en el campo correspondiente en tu perfil de WordPress.

• Guarda los Cambios:

• Haz clic en Actualizar perfil para guardar la configuracióconfiguración.

• Probar la AutenticacióAutenticación de Dos Factores:

• Cierra sesiósesión en WordPress y vuelve a iniciar sesiósesión.

• Introduce tu nombre de usuario y contraseñcontraseña como de costumbre.

• Cuando se te solicite, abre la aplicacióaplicación Google Authenticator en tu telételéfono e introduce el cócódigo de verificacióverificación actual.

• ConfiguracióConfiguración Adicional:

• Algunos plugins de 2FA permiten opciones adicionales, como la entrega de cócódigos por correo electróelectrónico o SMS como mémétodo secundario de autenticacióautenticación.

Para aplicar a todos los usuarios de tu sitio wordpress se debe activar la opcióopción todos los usuarios como se ve en la siguiente imagen.

2.4.10. Limita los Intentos de Inicio de SesióSesión: Usa un plugin como "Limit Login Attempts Reloaded" para bloquear direcciones IP despuédespués de varios intentos fallidos de inicio de sesiósesión.

InstalacióInstalación de un Plugin de Seguridad:

• Busca y selecciona un plugin de seguridad confiable en WordPress, como "Limit Login Attempts Reloaded" o "Wordfence Security".

• InstáInstálalo y actíactívalo desde el panel de administracióadministración de WordPress.

ConfiguracióConfiguración del Plugin:

• DespuéDespués de activar el plugin, ve a su configuracióconfiguración en el menúmenú lateral de WordPress (generalmente bajo "ConfiguracióConfiguración" o "Seguridad").

• Encuentra la secciósección relacionada con la restricciórestricción de intentos de inicio de sesiósesión.

Establecimiento de LíLímites y Acciones:

• Define el núnúmero mámáximo de intentos de inicio de sesiósesión permitidos antes de que se active la restricciórestricción (por ejemplo, 3-5 intentos).

• Configura el tiempo de bloqueo de la direcciódirección IP despuédespués de alcanzar el lílímite de intentos fallidos (por ejemplo, 15 minutos, 1 hora, etc.).

PersonalizacióPersonalización de Mensajes y Notificaciones:

• Algunos plugins te permiten personalizar los mensajes mostrados a los usuarios cuando exceden el lílímite de intentos de inicio de sesiósesión.

• Configura notificaciones por correo electróelectrónico o alertas dentro del panel de administracióadministración para informarte sobre intentos de inicio de sesiósesión fallidos.

Prueba y VerificacióVerificación:

• Realiza pruebas para asegurarte de que la restricciórestricción de intentos de inicio de sesiósesión estéesté funcionando segúsegún lo esperado.

• Intenta iniciar sesiósesión varias veces con credenciales incorrectas para verificar que se active la restricciórestricción despuédespués de alcanzar el lílímite establecido.

Monitoreo Continuo y Ajustes:

• Monitorea regularmente los registros de inicio de sesiósesión y las alertas de tu plugin de seguridad para detectar actividades sospechosas.

• Ajusta la configuracióconfiguración segúsegún sea necesario para mantener un equilibrio entre seguridad y accesibilidad.

2.5.11. Cambia el Prefijo de la Base de Datos: Durante la instalacióinstalación, cambia el prefijo predeterminado wp_ de la base de datos a algo úúnico para prevenir ataques SQL.

Cambiar el prefijo de la base de datos en WordPress es una medida de seguridad que puede ayudar a proteger tu sitio contra ataques SQL Injection. AquíAquí tienes una guíguía paso a paso para hacerlo:

Cambiar el Prefijo de la Base de Datos en WordPress

1. Realizar una Copia de Seguridad Completa:

• Antes de realizar cualquier cambio en la base de datos, es crucial hacer una copia de seguridad completa de tu sitio web y de la base de datos.

• Puedes usar plugins como UpdraftPlus, BackupBuddy, o el propio sistema de backups de tu proveedor de hosting.

• Desactivar Plugins de CachéCaché y Seguridad:

• Desactiva temporalmente cualquier plugin de cachécaché o seguridad para evitar conflictos durante el proceso.

• Editar el Archivo wp-config.php:

• Accede al archivo wp-config.php en el directorio raíraíz de tu instalacióinstalación de WordPress.

Encuentra la lílínea que define el prefijo de la base de datos, que generalmente se ve asíasí:
php
Copiar cócódigo
$table_prefix = 'wp_';

• 
  

Cambia el prefijo wp_ a algo úúnico, por ejemplo:
php
Copiar cócódigo
$table_prefix = 'nuevo_prefijo_';

• 
  

4. Actualizar el Prefijo en la Base de Datos:

• Usa una herramienta como phpMyAdmin o cualquier otro administrador de bases de datos para acceder a tu base de datos de WordPress.

Ejecuta las siguientes consultas SQL para cambiar el prefijo de todas las tablas:
sql
Copiar cócódigo
RENAME table `wp_commentmeta` TO `nuevo_prefijo_commentmeta`;

RENAME table `wp_comments` TO `nuevo_prefijo_comments`;

RENAME table `wp_links` TO `nuevo_prefijo_links`;

RENAME table `wp_options` TO `nuevo_prefijo_options`;

RENAME table `wp_postmeta` TO `nuevo_prefijo_postmeta`;

RENAME table `wp_posts` TO `nuevo_prefijo_posts`;

RENAME table `wp_terms` TO `nuevo_prefijo_terms`;

RENAME table `wp_termmeta` TO `nuevo_prefijo_termmeta`;

RENAME table `wp_term_relationships` TO `nuevo_prefijo_term_relationships`;

RENAME table `wp_term_taxonomy` TO `nuevo_prefijo_term_taxonomy`;

RENAME table `wp_usermeta` TO `nuevo_prefijo_usermeta`;

RENAME table `wp_users` TO `nuevo_prefijo_users`;

• 
  

5. Actualizar las Referencias en la Base de Datos:

Algunas tablas contienen referencias al prefijo antiguo. Debes actualizar estas referencias tambiétambién. Ejecuta las siguientes consultas SQL:
sql
Copiar cócódigo
UPDATE `nuevo_prefijo_options` SET `option_name` = REPLACE(`option_name`, 'wp_', 'nuevo_prefijo_') WHERE `option_name` LIKE 'wp_%';

UPDATE `nuevo_prefijo_usermeta` SET `meta_key` = REPLACE(`meta_key`, 'wp_', 'nuevo_prefijo_') WHERE `meta_key` LIKE 'wp_%';

• 
  

6. Verificar y Probar:

• Vuelve a activar los plugins de cachécaché y seguridad.

• Revisa que todo estéesté funcionando correctamente en tu sitio web.

• Si encuentras algúalgún problema, verifica las tablas y las referencias en la base de datos para asegurarte de que todas se han actualizado correctamente.

Cambiar el prefijo de la base de datos ayuda a reducir el riesgo de ataques automatizados que se aprovechan de la configuracióconfiguración predeterminada de WordPress. Esta medida, combinada con otras práprácticas de seguridad, puede fortalecer significativamente la proteccióprotección de tu sitio web

TambiéTambién se puede realizar mediante Plugin el cual describimos a continuaciócontinuación:

Desplegamos el Plugin 

 

Desactiva2.12 la Exploración de Directorios: Agrega Options -Indexes a tu archivo .htaccess para evitar que los atacantes puedan explorar tus directorios.

Oculta la VersióVersión de WordPress: Elimina la versión de WordPress del código fuente para dificultar a los atacantes la identificación de posibles vulnerabilidades.

Ocultar la versióversión de WordPress es una medida de seguridad que ayuda a proteger tu sitio de ataques dirigidos a vulnerabilidades especíespecíficas de la versióversión que estáestás utilizando. AquíAquí tienes una guíguía paso a paso para hacerlo:

Ocultar la Versión de WordPress

1. Eliminar la VersióVersión de WordPress del CóCódigo Fuente:

• Por defecto, WordPress añañade la versióversión del sitio en el cócódigo fuente del HTML. Puedes eliminar esto añañadiendo un pequeñpequeño fragmento de cócódigo en tu archivo functions.php.

• Ve al panel de administracióadministración de WordPress y navega a "Apariencia" > "Editor de temas" o accede a tu servidor mediante FTP y abre el archivo functions.php de tu tema activo.

AñAñade el siguiente cócódigo al archivo functions.php:
php
Copiar cócódigo
// Eliminar la versióversión de WordPress del cócódigo fuente

remove_action('wp_head', 'wp_generator');

2. Ocultar la VersióVersión de WordPress en los Feeds RSS:

WordPress tambiétambién incluye la versióversión del sitio en los feeds RSS. Para eliminar esto, añañade el siguiente cócódigo al archivo functions.php:
php
Copiar cócódigoocultar
// Eliminar la versióversión de WordPress de los feeds RSS

function remove_wp_version_rss() {

    return '';

}

add_filter('the_generator', 'remove_wp_version_rss');

• 
  

3. Eliminar la VersióVersión de WordPress de los Scripts y Estilos:

Los scripts y estilos en WordPress a menudo tienen la versióversión de WordPress adjunta. Puedes eliminar esto añañadiendo el siguiente cócódigo al archivo functions.php:
php
Copiar cócódigo
// Eliminar la versióversión de WordPress de los scripts y estilos

function remove_wp_version_scripts_styles($src) {

    if (strpos($src, 'ver=')) {

        $src = remove_query_arg('ver', $src);

    }

    return $src;

}

add_filter('style_loader_src', 'remove_wp_version_scripts_styles', 9999);

add_filter('script_loader_src', 'remove_wp_version_scripts_styles', 9999);

• 
  

4. Instalar un Plugin de Seguridad:

• Para mayor conveniencia, puedes usar un plugin de seguridad que incluya la opcióopción de ocultar la versióversión de WordPress. Algunos plugins recomendados son "WP Hardening", "Sucuri Security" y "iThemes Security".

• Instala y activa el plugin de tu eleccióelección desde "Plugins" > "AñAñadir nuevo".

• Navega a la configuracióconfiguración del plugin y habilita la opcióopción para ocultar la versióversión de WordPress.

• Verificar la ImplementacióImplementación:

• DespuéDespués de realizar estos cambios, verifica que la versióversión de WordPress no sea visible en el cócódigo fuente de tu sitio.

• Abre tu sitio en un navegador, haz clic derecho y selecciona "Ver cócódigo fuente de la pápágina" (o similar segúsegún el navegador).

• Busca cualquier menciómención de la versióversión de WordPress. Si la has eliminado correctamente, no deberídeberías encontrarla.

Implementar estas medidas ayuda a reducir el riesgo de que los atacantes exploten vulnerabilidades especíespecíficas de tu versióversión de WordPress, aumentando asíasí la seguridad general de tu sitio web

2.13. Usa HTTPS/SSL: AsegúAsegúrate de que tu sitio web utiliza HTTPS instalando un certificado SSL.

1. Uso de Certificados SSL.

AquíAquí tienes los pasos simplificados para instalar un certificado SSL en WordPress:

2. Obtener un Certificado SSL:

1. Puedes obtener un certificado SSL a travétravés de tu proveedor de hosting. Algunos proveedores ofrecen certificados SSL gratuitos a travétravés de servicios como Let's Encrypt.

3. Instalar el Certificado SSL:

1. En tu panel de control de hosting, busca la secciósección de SSL o certificados.

2. Activa o instala el certificado SSL proporcionado por tu proveedor. Sigue las instrucciones especíespecíficas de tu proveedor de hosting para completar la instalacióinstalación del certificado SSL en tu dominio.

4. Actualizar la URL de WordPress a HTTPS:

1. Inicia sesiósesión en el panel de administracióadministración de WordPress.

2. Ve a "Ajustes" > "General".

3. Actualiza las direcciones URL de WordPress a HTTPS en los campos "DireccióDirección de WordPress (URL)" y "DireccióDirección del sitio (URL)".

5. Redireccionar HTTP a HTTPS (opcional pero recomendado):

1. Para asegurarte de que todas las pápáginas carguen a travétravés de HTTPS, puedes configurar redirecciones desde HTTP a HTTPS.

2. Esto se puede hacer mediante el archivo .htaccess en Apache, o a travétravés de la configuracióconfiguración del servidor si estáestás usando Nginx u otro servidor web.

6. Verificar el Funcionamiento del SSL:

1. Una vez configurado, verifica que tu sitio web cargue correctamente utilizando HTTPS.

2. Comprueba que no haya advertencias de seguridad y que el candado verde o el icono de seguridad se muestren en la barra de direcciones del navegador.

7. Actualizar Enlaces Internos y Contenido Mixto (si es necesario):

1. Si tu sitio web contiene enlaces internos con URLs absolutas (HTTP), actualíactualízalos a HTTPS.

2. Verifica que no haya contenido mixto (elementos HTTP en una pápágina HTTPS), ya que pueden causar advertencias de seguridad en los navegadores.

8. Configurar Recursos de Seguridad Adicionales (opcional):

1. Considera configurar polípolíticas de seguridad HTTP como Content Security Policy (CSP) para mejorar la seguridad de tu sitio web.

2. Implementa encabezados HTTP estrictos para proteger contra ataques como XSS y Clickjacking.

2.14. Usa Google reCAPTCHA: AñAñade Google reCAPTCHA a tus formularios de inicio de sesiósesión, registro y comentarios para evitar el spam y los intentos de inicio de sesiósesión automatizados.

1. Instalar un Plugin de CAPTCHA:

• Ve al panel de administracióadministración de WordPress.

• Navega a "Plugins" > "AñAñadir nuevo".

• Busca un plugin de CAPTCHA. Algunas opciones populares incluyen "reCAPTCHA by BestWebSoft", "Google Captcha (reCAPTCHA) by BestWebSoft" y "WP-reCAPTCHA".

• Instalar y Activar el Plugin:

• Haz clic en "Instalar ahora" junto al plugin de tu eleccióelección.

• Una vez instalado, haz clic en "Activar".

• Configurar el Plugin de CAPTCHA:

• DespuéDespués de activar el plugin, generalmente encontraráencontrarás una nueva opcióopción en el menúmenú lateral del panel de administracióadministración, como "reCAPTCHA" o "Google Captcha".

• Navega a la pápágina de configuracióconfiguración del plugin.

• Obtener las Claves de reCAPTCHA:

• Si estáestás utilizando Google reCAPTCHA, necesitaránecesitarás obtener las claves del sitio y secreto desde Google reCAPTCHA.

• RegíRegístrate en Google reCAPTCHA con tu cuenta de Google, añañade tu sitio web y obtéobtén las claves necesarias.

• Configurar las Claves en el Plugin:

• Ingresa las claves del sitio y secreto en los campos correspondientes en la pápágina de configuracióconfiguración del plugin.

• Configura las opciones adicionales segúsegún tus necesidades, como en quéqué formularios deseas habilitar el CAPTCHA (inicio de sesiósesión, registro, comentarios, etc.).

• Guardar la ConfiguracióConfiguración:

• Guarda los cambios realizados en la configuracióconfiguración del plugin.

• Verificar la ImplementacióImplementación del CAPTCHA:

• Visita las pápáginas de inicio de sesiósesión, registro o comentarios de tu sitio web para asegurarte de que el CAPTCHA estéesté correctamente implementado.

• Realiza pruebas para confirmar que el CAPTCHA estáestá funcionando como se espera y que no afecta la usabilidad del sitio para los usuarios legílegítimos.

• Monitorear y Ajustar:

• Monitorea el rendimiento del CAPTCHA y ajusta la configuracióconfiguración si es necesario para mejorar la proteccióprotección contra bots y spam sin afectar negativamente la experiencia del usuario.

Configuració2.15. Configuración de Copias de Seguridad AutomáAutomáticas.

Instala un Plugin de Copias de Seguridad:

• En el panel de administracióadministración de WordPress, ve a "Plugins" y luego a "AñAñadir nuevo".

• Busca un plugin de copias de seguridad como UpdraftPlus, BackupBuddy o VaultPress.

• Instala y activa el plugin elegido.

Configura el Plugin de Copias de Seguridad:

• DespuéDespués de activar el plugin, deberídebería aparecer en el menúmenú lateral de WordPress.

• Haz clic en el nombre del plugin para acceder a su configuracióconfiguración.

Crea un Nuevo Trabajo de Copia de Seguridad:

• Dentro del plugin, busca la opcióopción para crear una nueva copia de seguridad o configurar un nuevo trabajo de copia de seguridad.

Selecciona QuéQué Incluir en la Copia de Seguridad:

• Elige si deseas incluir la base de datos de WordPress, los archivos del sitio, o ambos.

• Algunos plugins te permiten seleccionar automáautomáticamente los archivos y la base de datos necesarios.

Configura la Frecuencia y Horario:

• Define la frecuencia de las copias de seguridad automáautomáticas (diariamente, semanalmente, mensualmente) y el horario en que deseas que se realicen.

Elige el Destino de la Copia de Seguridad:

• Decide dódónde almacenar las copias de seguridad. Puedes usar servicios de almacenamiento en la nube como Dropbox, Google Drive, Amazon S3, o almacenamiento local en el servidor.

Configura Opciones Avanzadas (si es necesario):

• Algunos plugins ofrecen opciones avanzadas como compresiócompresión de archivos, cifrado de copias de seguridad, exclusióexclusión de archivos especíespecíficos, etc. Configura segúsegún tus necesidades.

Guarda y Activa el Trabajo de Copia de Seguridad:

• Una vez configurado, guarda la configuracióconfiguración y activa el trabajo de copia de seguridad. AsegúAsegúrate de que estéesté programado segúsegún tus preferencias.

Prueba y Verifica:

• Realiza una prueba inicial para asegurarte de que las copias de seguridad automáautomáticas se estáestán realizando correctamente.

• Verifica que los archivos y la base de datos se estéestén respaldando como esperabas.

Monitoriza y MantéMantén:

• Supervisa regularmente las copias de seguridad automáautomáticas para asegurarte de que se estéestén realizando correctamente.

• Ajusta la configuracióconfiguración segúsegún sea necesario para mantener la seguridad y la disponibilidad de las copias de seguridad.

Crea Copias de Seguridad Regularmente: Usa plugins como UpdraftPlus o BackWPup para crear copias de seguridad regulares de tu sitio.

Se puede realizar mediante plugin 

En la parte de ajustes dentro del plugins 

Desactiva la Exploración de Directorios: Agrega Options -Indexes a tu archivo .htaccess para evitar que los atacantes puedan explorar tus directorios.