Unlimited Plugins, WordPress themes, videos & courses! Unlimited asset downloads! From $16.50/m
Advertisement
  1. Code
  2. Security
Code

20 Pasos una Instalación de WordPress Flexible y Segura

by
Difficulty:BeginnerLength:LongLanguages:

Spanish (Español) translation by Eva Collados Pascual (you can also view the original English article)

Una instalación de WordPress completa, aunque fácil de realizar, a menudo requiere varios pasos, muchos de las cuales se pueden omitir accidentalmente con facilidad. ¿Cuántas veces has olvidado personalizar la estructura de tus permalinks? ¿Y qué hay sobre agregar un plugin para crear un sitemap? ¿Para qué cambiar la zona horaria? Si has instalado WordPress más de una vez, lo más probable es que hayas olvidado algo. Sigue los siguientes pasos y nunca te perderás nada de nuevo.

Tutorial now on Wptuts

Paso 1: Obtener WordPress desde SVN

El error número uno en una instalación flexible de WordPress se da desde el primer momento. He visto numerosos desarrolladores descargar, descomprimir y subir WordPress a su sitio de forma manual. Esto no es sólo una pérdida de tiempo, además reduce la flexibilidad.

Si descargas WordPress desde SVN, todo lo que necesitas hacer es ejecutar la siguiente línea de comandos:

Tal vez prefieras la última versión de desarrollador. Esto es incluso más sencillo:

¿Por qué es tan útil? Para empezar, todo lo que necesitas hacer es ejecutar una orden. Mirando en WordPress en una perspectiva a largo plazo revela que SVN también proporciona la manera más simple y sin complicaciones de actualizar a una nueva versión estable (o incluso anterior). Supongamos por ejemplo que deseas actualizar a la versión 3.0. Todo lo que necesitas hacer es ejecutar el comando switch de SVN :

¿Te resultó sencillo? Ten en cuenta que si usas la versión de desarrollador, la actualización será aún más fácil:

Eso es todo. Si necesitases la dirección URL de una nueva versión estable del repositorio, visita el Codex de WordPress. También podrás encontrar allí las instrucciones completas sobre el uso de SVN.

"Considerando WordPress con una perspectiva de largo plazo revela que SVN también proporciona la forma más sencilla, sin complicaciones para actualizar a una nueva versión estable (o incluso cambiar a una anterior)".


Paso 2: Asegurar los Directorios .svn

Directory

Ahora que estás usando SVN, deberías asegurarte de que tu directorio .svn esté protegido del público. Uno de los principales motivos es que el archivo .svn/las entradas, podrían proporcionar información sensible a los posibles atacantes. Para obtener más información sobre este tema, por favor echa un vistazo al artículo SVN server admin issue sobre el tema de Smashing Magazine.

Para asegurar los directorios .svn mediante .htaccess, simplemente aplica las siguientes reglas de redirección:


Paso 3: Crear el Archivo wp-config.php

Como ya indicamos en la famosa instalación de WordPress en 5 minutos, necesitarás cambiar el nombre de wp-config-sample.php a wp-config.php y añadirlo a tu base de datos.


Paso 4: Agregar un Prefijo Único a la Base de Datos y las Claves de Autenticación

Keys

Dejar el archivo wp-config.php con información relativa unicamente a la base de datos y sin realizar ninguna otra configuración es critico para la seguridad. Asegúrate de generar las claves de autenticación, como se indica en los comentarios. Para ello, visita https://api.wordpress.org/secret-key/1.1/salt/ y copia y pegar las claves aleatorias creadas en el archivo.

Advierte que también deberías cambiar el prefijo predeterminado de las tablas de la base de datos de WordPress. Esto sirve para asegurar tu instalación contra hacks, tales como el reciente brote Pharma Hack. Visita random.org para generar una cadena de prefijo aleatoria que después tendrás que establecer como $table_prefix en wp-config.php. Asegúrete además de añadir un guión bajo al final del prefijo.


Paso 5: Instalación Mediante wp-admin/install.php

Como de costumbre, dirígete a wp-admin/install.php desde tu navegador y sigue las instrucciones. Al cumplimentar el formulario, cambia el nombre de usuario para el administrador ("admin"), que viene por defecto para aumentar la seguridad. Ten en cuenta que la mayoría de los atacantes optarán por una instalación de WordPress que mantenga la configuración predeterminada. Por tanto, podríamos afirmar que el cambio del nombre de usuario es una necesidad.

"Ten en cuenta que la mayoría de los atacantes optarán por una instalación de WordPress que mantenga la configuración predeterminada."


Paso 6: Eliminar el Archivo wp-admin/install.php

Este es un paso omitido habitualmente aunque sólo se necesitan unos segundos para llevarlo a cabo. Simplemente tienes que quitar el script wp-admin/install.php tras instalar WordPress para incrementar la seguridad.


Paso 7: Acceder al Escritorio y Completar el Perfil de Usuario

Inicia sesión en tu instalación de WordPress vía http://example.com/wp-admin, pulsa sobre tu nombre de usuario situado en la esquina superior derecha y completa los datos de tu perfil de usuario.


Paso 8: Editar la Descripción Corta y la Zona Horaria

Timezone

Dentro la pestaña General del menú Ajustes, asegúrate de editar la descripción corta de tu blog y la zona horaria.


Paso 9: Revisar los Ajustes de Escritura, Lectura y Comentarios

Aunque es probable que no tengas que cambiar nada, siempre conviene revisar por encima las configuraciones de Ajustes > Escritura, Ajustes > Lectura y Ajustes > Comentarios. Asegúrate de que la configuración cumple con tus estándares.


Paso 10: Cambiar la Estructura de los Enlaces Permanentes

Permalink

Una instalación de WordPress por defecto viene con permalinks de cadena de consulta que parecen http://example.com/?p=1 para cada artículo. No sólo es no favorable al motor de búsqueda, pero también no es incluso humanos ambiente. Cambiar a una estructura de permalink que contiene el título del post (% postname%/ % si utiliza una configuración a medida).


Paso 11: Agregar Reglas en el Archivo .htaccess

Un archivo .htaccess es necesario para su sitio de WordPress funcione correctamente. Para comenzar, activar el RewriteEngine:

Desactiva el listado de directorios por motivos de seguridad:

Agregar o eliminar www para evitar la duplicación de contenido (sustituye example.com por tu dominio real):

WordPress necesita que redirijas todo lop que no sea un archivo y los directorios a index.php:

Desactivar ETags:

Suprimir los errores PHP (ten en cuenta que puede que esto no funcione en todos los servidores):

Controlar el almacenamiento en caché de los archivos para acelerar tu sitio:

Haz seguro el archivo .htaccess:

Haz seguro el archivo wp-config.php:

Haz seguros los directorios SVN, como se explica en el paso #2:

Si quisieras añadir más configuraciones en tu sitio web y buscas un tutorial general, consulta la Guía definitiva sobre los archivos htaccess de Tuts+ o Stupid htaccess Tricks (Trucos estúpidos para htaccess) en Perishable Press.


Paso 12: Usar gzip

Gzip

Al aplicar gzip se pueden comprimir los archivos de texto hasta en un 80% y ahorrar bastante ancho de banda. Activarlo en tu sitio requiere sólo un archivo PHP y un poco de .htaccess. Ten en cuenta que el siguiente código hace referencia a un tutorial sobre gzip en Lateral Code.

PHP (gzip.php):

Esto puede parecer un poco desalentador al principio, pero realmente no es tan malo. La gran expresión booleana comprueba si gzip está disponible y, si es así, se aplica. Por desgracia, he encontrado que este método gzip no funciona bien con WordPress styles.php de carga y carga-scripts.php. Como resultado, se utiliza el preg_match para excluirlos.

.htaccess:

Este fragmento de código agrega el controlador php a los archivos .html, .css y .js para que puedan ser comprimidos con gzip. También se anexa el archivo anteriormente mencionado gzip.php. Asegúrate de cambiar la ruta /absolute/path/to/gzip.php a la correcta.


Paso 13: Aplicar la Lista Negra de 4G

La lista negra 4G de Perishable Press evitará numerosos ataques a tu sitio web a través de .htaccess. He incluido el código siguiente (editado para WordPress). Puedes aprender cómo funciona leyendo el artículo en Perishable Press:

Algunas de estas reglas están comentadas o editadas porque interfieren con WordPress. Si tienes problemas con ciertas URLs, soluciónalo anteponiendo un "#" (comentario) a la regla correspondiente.


Paso 14: Activar Akismet

"Activar Akismet es necesario para prevenir comentarios spam".

Activar Akismet es una necesidad para prevenir comentarios spam. Házlo mediante el registro de una clave de API en akismet.com. Ten en cuenta que una clave de cuenta de API de WordPress.com también funcionará.

Una vez hayas obtenido la clave, visita Plugins > Configuración Akismet en tu escritorio y pégala en el campo correspondiente.


Paso 15: Descargar Plugins

Plugins

Los siguientes plugins son una gran ayuda a cualquier blog de WordPress:

Para mayor seguridad, estos plugins, citados en el artículo WordPress lockdown de DigWP, también son importantes:

Para facilitar la instalación, puedes ejecutar la siguiente línea de comandos bajo el directorio de plugins:

Esto recuperará los archivos zip de los plugins, los descomprímirá y eliminará el archivo .zip original

Estos enlaces de descarga podrían no ser correctos más tarde debido a las actualizaciones del plugin. Para solucionarlo, puedes visitar la página de cada plugin mencionado en wordpress.org donde encontrarás los enlaces actualizados.

Tras finalizar la instalación de los plugins, no olvides activarlos desde el Escritorio de WordPress.


Paso 16: Configurar All in One SEO Pack

Antes de activar All in One SEO Pack, tendrás que configurarlo. Para ello dirígete al menú Ajustes > All in One SEO Pack Asegúrate de marcar el botón "activar". Además, añade un título para la página de inicio, una descripción y las palabras clave. Por último, establezce el resto de las opciones a tu gusto.


Paso 17: Generar un Sitemap

Visita Ajustes > Mapa XML del sitio para generar tu primer sitemap que será enviado a los motores de búsqueda. Antes de hacerlo, asegúrate de que las opciones en la página de ajustes son lo que deseas. Yo, por ejemplo, modifico a menudo las frecuencias, ya que hago cambios en mis entradas muy a menudo.

Una vez estés listo, desplázate a la parte superior de la página y haz clic en el enlace de compilación ("Clic aquí"). Probablemente tendrás que crear dos archivos, sitemap.xml en blanco y sitemap.xml.gz, en tu directorio raíz dependiendo de los permisos que tengas en el directorio. Sin embargo, una vez lo hayas creado por primera vez, este debería actualizarse automáticamente siempre que hayas marcado la opción "Reconstruir el mapa del sitio si cambia el contenido de tu blog".


Paso 18: Aumentar la Seguridad

Security

Si has seguido los pasos hasta aquí, ya habrás instalado cuatro plugins de seguridad. Ahora debes utilizarlos.

Visita Ajustes > WordPress File Monitor y añade wp-content/uploads en la ruta de exclusión. Cambia la información si es necesario. Advierte que este plugin te informará cada vez que dtecte un cambio en el sistema de archivos.

En Ajustes > Hacer WP Seguro, comprueba los avisos de Error y Windows Live Writer para conseguir una protección extra.

Ten en cuenta que hay una nueva pestaña "Seguridad" creada por WP Security Scan. Repara los elementos destacados en rojo dentro de Seguridad > Seguridad y Seguridad > Escáner. Cuando visites Seguridad > Escáner, asegúrate también de asignar un chmod con valor 755 a todos tus plugins. Además, puedes hacer uso de la herramienta de generación de  contraseña para generar una segura.

Por último, corrige los errores que aparezcan en Herramientas > Comprobación de seguridad final y asegúrate de que tu sitio recibe una calificación A.


Paso 19: Personalizar el Tema y el Sidebar

Ahora que has realizado una instalación flexible y segura de WordPress, tendrás que acabar personalizando el tema y la columna lateral para que se adapte a las necesidades de tu sitio. Por supuesto, no hay ningún método establecido para hacerlo; cada sitio es único a su manera. Crea un tema que te atraiga tanto a ti como a tus lectores.


Paso 20: Escribir Contenido

Write

Todo lo que queda por hacer ahora es redactar contenido genuino que apele a tu base de usuarios. Ahora ya tienes una instalación de WordPress segura, flexible y completa. Utilízala sabiamente.


¡Felicidades! Ahora tienes una completa instalación de WordPress segura, flexible. ¡Utilízala con sabiduría!

Recursos adicionales

Si eres nuevo en el desarrollo de WordPress, seguramente también te interesará nuestra información sobre cómo Instalar un tema WordPress en Envato Studio, donde tenemos también una gran variedad de recursos sobre WordPress.

Advertisement
Advertisement
Looking for something to help kick start your next project?
Envato Market has a range of items for sale to help get you started.