Paquete de herramientas de WordPress
Todas las instalaciones de WordPress a partir de la versión 3.4 pueden añadirse al paquete de herramientas de WordPress, un interfaz de gestión que le permite realizar operaciones en múltiples instalaciones de WordPress, como por ejemplo:
- Verificar y mejorar el nivel de seguridad de las instalaciones de WordPress
- Instalar, desinstalar, activar, desactivar y actualizar plugins usados por instalaciones de WordPress
- Instalar, desinstalar, actualizar temas y seleccionar un tema activo usado por las instalaciones de WordPress
- Comprobar la existencia de actualizaciones y actualizar instalaciones de WordPress
- Configurar la actualización automática de instalaciones de WordPress
Para administrar instalaciones de WordPress en su suscripción, vaya a la pestaña Sitios web y dominios > WordPress.
Para instalar una nueva copia de WordPress, vaya a Sitios web y dominios > WordPress y haga clic en Instalar.
Las instalaciones APS de WordPress se añaden automáticamente al paquete de herramientas de WordPress, si bien las instalaciones que no sean APS deberán añadirse al paquete de herramientas de WordPress de forma manual. Si ha actualizado una versión anterior de Plesk donde utilizaba WordPress, debería añadir manualmente las instalaciones existentes de WordPress al paquete de herramientas de WordPress.
Para añadir instalaciones de WordPress al paquete de herramientas de WordPress, vaya a Sitios web y dominios > WordPress y haga clic en Analizar. Se analizarán los archivos de su suscripción y las instalaciones de WordPress encontradas serán añadidas al paquete de herramientas de WordPress. A continuación, las nuevas instalaciones APS de WordPress se añadirán automáticamente al paquete de herramientas de WordPress. De todos modos, tenga en cuenta que si usted o sus clientes instalan nuevas copias de WordPress de forma manual una vez completado el análisis, dichas instalaciones no se añadirán al paquete de herramientas de WordPress. Es por este motivo que le recomendamos que periódicamente realice un análisis para detectar la existencia de nuevas instalaciones de WordPress.
Todas las instalaciones APS de WordPress se añaden de forma permanente al paquete de herramientas de WordPress. No podrá eliminarlas del paquete, sino que solo podrá eliminarlas de forma completa. Si desea eliminar una instalación de WordPress, vaya a Sitios web y dominios > WordPress > haga clic en el nombre de la instalación deseada de WordPress y a continuación haga clic en el botón Eliminar.
Las instalaciones no APS de WordPress no pueden eliminarse a través del paquete de herramientas de WordPress. Lo único que puede hacer es no tenerlas en el paquete de herramientas de WordPress. Si desea cancelar la asociación de una instalación de WordPress, vaya a Sitios web y dominios > WordPress > haga clic en el nombre de la instalación deseada de WordPress y a continuación haga clic en el botón Cancelar asociación. Tenga en cuenta que la instalación de WordPress para la que se ha cancelado la asociación volverá a añadirse al paquete de herramientas de WordPress cada vez que realice un nuevo análisis de las instalaciones de WordPress.
Para ver y modificar la configuración de una instalación de WordPress, vaya a Sitios web y dominios > WordPress > <nombre de la instalación de WordPress>.
Para cada instalación de WordPress puede modificar parámetros de configuración como el nombre de usuario y la contraseña para la base de datos de WordPress, el email del administrador, el nombre del sitio y el idioma del interfaz. Para ello, vaya a Sitios web y dominios > WordPress > <nombre de la instalación de WordPress> > Cambiar configuración.
Para acceder al panel de información de WordPress a través de Plesk, vaya a Sitios web y dominios > WordPress > <URL de la instalación de WordPress>. Tenga en cuenta que en el caso de una instalación no APS de WordPress, deberá indicar el nombre de usuario y la contraseña del administrador.
Si desea acceder automáticamente al panel de información de WordPress a través de Plesk para una instalación no APS, vaya a Sitios web y dominios > WordPress > <nombre de la instalación de WordPress>, haga clic en Administrar presente al lado de Administrador e indique las credenciales del administrador para esta instalación de WordPress.
Si desea modificar el nombre del administrador en WordPress, vaya a Sitios web y dominios > WordPress > <nombre de la instalación de WordPress>, haga clic en Administrar presente al lado de Administrador, proporcione su nombre de usuario actual e indique el nuevo nombre de usuario.
Protección de instalaciones de WordPress
Para verificar y proteger instalaciones de WordPress:
- Vaya a Sitios web y dominios > WordPress.
- Seleccione las instalaciones de WordPress y haga clic en Comprobar seguridad. Se verificará la seguridad de los siguientes datos:
- La carpeta wp-content. El directorio
wp-content
puede contener archivos PHP que no sean seguros y que puedan usarse para comprometer su sitio. Una vez instalado WordPress, los archivos PHP pueden ejecutarse a través del directoriowp-content
. La comprobación de seguridad debería verificar que se prohíbe la ejecución de archivos PHP en el directoriowp-content
. - La carpeta wp-includes. El directorio
wp-includes
puede contener archivos PHP que no sean seguros y que puedan utilizarse para comprometer su sitio. Una vez instalado WordPress, los archivos PHP pueden ejecutarse a través del directoriowp-includes
. La comprobación de seguridad debería verificar que se prohíbe la ejecución de archivos PHP en el directoriowp-includes
. - El archivo de configuración. El archivo
wp-config.php
contiene las credenciales de acceso a la base de datos, entre otros. Una vez instalado WordPress, puede ejecutarse el archivowp-config.php
. Si por algún motivo se desactivara el procesamiento de archivos PHP por parte del servidor web, los hackers podrían acceder al contenido del archivowp-config.php
. La comprobación de seguridad debería verificar que se bloquea el acceso no autorizado al archivowp-config.php
. - Permisos para la exploración de directorios. Si la exploración de directorios está activada, los hackers podrían obtener información de su sitio, como por ejemplo los plugins usados. Por omisión, la exploración de directorios está desactivada en Plesk. La comprobación de seguridad debería verificar que la exploración de directorios en la instalación de WordPress está desactivada.
Prefijo de la base de datos
. Las tablas de la base de datos de WordPress tienen los mismos nombres en todas las instalaciones de WordPress. Cuando se utiliza el prefijo estándarwp_
para los nombres de la tabla de la base de datos, la estructura de la base de datos de WordPress deviene insegura y cualquier persona puede acceder a sus datos. La comprobación de seguridad debería verificar que el prefijo para los nombres de la tabla de la base de datos no eswp_
.Claves de seguridad
. WordPress utiliza claves de seguridad (AUTH_KEY
,SECURE_AUTH_KEY
,LOGGED_IN_KEY
yNONCE_KEY
) para garantizar un mejor cifrado de la información que se guarda en las cookies del usuario. Una buena clave de seguridad debería ser larga (estar formada por un mínimo de 60 caracteres), además de ser aleatoria y suficientemente complicada. La comprobación de seguridad debería verificar que se han definido claves de seguridad y que estas están formadas por al menos caracteres numéricos y alfanuméricos.Permisos para archivos y directorios
. Si los permisos para archivos y directorios no cumplen la directiva de seguridad, estos archivos pueden usarse para hackear su sitio Una vez instalado WordPress, los archivos y directorios pueden tener distintos permisos. La comprobación de seguridad debería verificar que los permisos para el archivowp-config.php
se han definido a600
, que los permisos para otros archivos se han definido a644
y que los permisos para los directorios se han definido a755
.Nombre de usuario del administrador
. Cuando se instala una copia de WordPress, por omisión existe un usuario con privilegios administrativos y con el nombre de usuarioadmin
. Como el nombre de usuario de un usuario no puede modificarse en WordPress, solo es necesario adivinar la contraseña para disponer de acceso al sistema como administrador. La comprobación de seguridad debería verificar que no existe ningún usuario con privilegios administrativos y con el nombre de usuarioadmin
.Información de la versión
. Cada versión de WordPress presenta vulnerabilidades de seguridad conocidas. Es por este motivo que el hecho de mostrar la versión de su instalación de WordPress hace que esta sea más vulnerable frente a posibles ataques por parte de hackers. La versión de una instalación no protegida de WordPress puede verse en los metadatos de las páginas y en los archivosreadme.html
. La comprobación de seguridad debería verificar que todos los archivosreadme.html
están vacíos y que todos los temas tienen un archivofunctions.php
que contenga la línea:remove_action(\'wp_head\', \'wp_generator\');
.
- La carpeta wp-content. El directorio
- Si algún dato no superara la comprobación de seguridad, selecciónelo en la lista de resultados del análisis de seguridad y haga clic en Proteger. En función de los elementos seleccionados, se realizarán las siguientes acciones:
- En el caso de la carpeta wp-content, se prohibirá la ejecución de archivos PHP en el directorio wp-content en el archivo de configuración del servidor (Apache, nginx para Linux o web.config para Windows). Tenga en cuenta que las directivas personalizadas en los archivos .htaccess o web.config pueden invalidar esta medida de seguridad. Considere también que es posible que algunos de sus plugins dejen de funcionar tras proteger la carpeta wp-content.
- En el caso de la carpeta wp-includes, se prohibirá la ejecución de archivos PHP en el directorio wp-includes en el archivo de configuración del servidor (Apache, nginx para Linux o web.config para Windows). Tenga en cuenta que las directivas personalizadas en los archivos .htaccess o web.config pueden invalidar esta medida de seguridad. Considere también que es posible que algunos de sus plugins dejen de funcionar tras proteger la carpeta wp-includes.
- En el caso del archivo de configuración, se prohibirá la ejecución del archivo wp-config.php en el archivo de configuración del servidor (Apache, nginx para Linux o web.config para Windows). Tenga en cuenta que las directivas personalizadas en los archivos .htaccess o web.config pueden invalidar esta medida de seguridad.
- En el caso de la exploración de directorios, se desactivará la exploración de directorios en la instalación de WordPress en el archivo de configuración del servidor (Apache, nginx para Linux o web.config para Windows).
- En el caso del prefijo de la base de datos, se activará el modo de mantenimiento, se desactivarán todos los plugins, se modificará el prefijo en la base de datos, se volverán a activar los plugins, se actualizará la estructura permalink y se desactivará el modo de mantenimiento.
- Se generarán claves de seguridad válidas y estas se añadirán a su instalación de WordPress.
- Por lo que respecta a los permisos para archivos y directorios, se modificarán los permisos de acuerdo con la directiva de seguridad de WordPress: los permisos para el archivo wp-config se definirán a 600, para los demás archivos a 644 y a 755 para los directorios.
- En el caso del nombre de usuario del administrador de WordPress, se creará un nuevo usuario con unas credenciales aleatorias y con el mismo perfil y propiedades que el administrador actual. Los enlaces y blogs del administrador volverán a asignarse al nuevo usuario y se procederá con la eliminación de la cuenta del administrador.
- En el caso de la información de la versión de WordPress, se eliminará el contenido de los archivos readme.html y se añadirá la línea descrita arriba al archivo functions.php de cada uno de los temas. Si no existiera este archivo en un tema, se procederá con su creación.
Actualización de instalaciones de WordPress
Si desea comprobar la existencia de actualizaciones para las instalaciones de WordPress, vaya a Sitios web y dominios > WordPress > Buscar actualizaciones.
Para actualizar las instalaciones de WordPress, vaya a Sitios web y dominios > WordPress, seleccione las instalaciones deseadas de WordPress y haga clic en Actualizar.
Para que las instalaciones de WordPress se actualicen automáticamente:
- Vaya a Sitios web y dominios > WordPress > Actualización automática.
- Seleccione las instalaciones de WordPress que desea actualizar automáticamente y haga clic en Activar actualización automática.
Preste también especial atención a la Administración de plugins de WordPress y a la Administración de temas de WordPress.