Además de aplicar las cotidianas medidas de seguridad, existen otros dos aspectos claves para mejorar la seguridad de WordPress.
Estos son proteger los archivos con información sensible y eliminar archivos que no deberían existir en la estructura de archivos de tu instalación WP porque pueden proporcionar datos de valor para un hacker audaz.
Hoy conocerás cuáles son esos archivos y qué hacer exactamente con ellos. Vamos con el primer grupo.
¿Qué archivos perjudican la seguridad de WordPress?
Los archivos license.txt, licencia.txt y readme.html o cualquier otro con extensiones txt o html. Estos tipos de archivos debes eliminarlos de la raíz de tu web, donde solo debe estar el archivo .htaccess y los archivos con extensión php.
Pero si te da temor eliminarlos o no quieres quitarlos porque tú los incluiste o fueron añadidos por algún plugin (algo extraño, pero no imposible) lo que te sugiero es crear un nuevo directorio y moverlos allí o renombrar los archivos. Por ejemplo, al archivo readme.html puedes renombrarlo como readme_oculto.html.
Sea cual sea tu decisión quiero que tengas muy presente varios aspectos:
1.- Eliminar los archivos license.txt, licencia.txt y readme.html no afecta el funcionamiento correcto de WordPress.
2.- Cuando actualices tu versión de WordPress, es probable que estos archivos eliminados se instalen nuevamente, así que está atento para quitarlos otra vez.
¿Qué archivos contienen información sensible?
Ahora bien, aquí hablamos de archivos que sí son necesarios para el buen desempeño de . Nos referimos a los archivos wp-config.php y .htaccess que están en la raíz de tu sitio.
Estos dos tipos de archivos jamás debes eliminarlos y que por el contrario sería bueno que le agregues una capa extra de protección y con lo que puedes mejorar la seguridad de WordPress.
¿Por qué?
Básicamente porque en el archivo wp-config.php está toda la información de configuración de WordPress (nombre de la base de datos, usuario y contraseña, etc.), mientras que el archivo .htaccess contiene información que los ladrones informáticos pueden utilizar para vulnerar la seguridad de WordPress.
Si bien es cierto a estos archivos no pueden acceder usuarios externos, nunca está de más colocar una protección adicional.
¿Cómo hacerlo? Solo abre el archivo .htaccess y pega al principio este código:
# proteger wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# proteger htaccess
<files .htaccess>
order allow,deny
deny from all
<files>
De esta forma, impedirás que se acceda a los dos archivos desde fuera de tu instalación, pudiendo solo ingresar desde el propio servidor.
Conclusión
La seguridad en WordPress es un compendio de pequeñas acciones que en conjunto construyen esa muralla impenetrable.
Te recuerdo esto porque de nada servirá que hagas lo que te acabo de compartir si no lo acompañas de los otros mecanismos para aumentar la seguridad WordPress.
Te hablo, por ejemplo, de la implementación de CAPTCHAs en tus formularios, instalación del certificado SSL, utilizar plugins de seguridad eficaces como Sucuri, crear copias de seguridad e instalar un WAF para WordPress.
En los anteriores enlaces te dejo cómo hacer cada una de esas actividades y así puedas realmente mejorar la seguridad de WordPress.