Paquete de herramientas de WordPress

Todas las instalaciones de WordPress a partir de la versión 3.4 pueden añadirse al paquete de herramientas de WordPress, un interfaz de gestión que le permite realizar operaciones en múltiples instalaciones de WordPress, como por ejemplo:

  • Verificar y mejorar el nivel de seguridad de las instalaciones de WordPress
  • Instalar, desinstalar, activar, desactivar y actualizar plugins usados por instalaciones de WordPress
  • Instalar, desinstalar, actualizar temas y seleccionar un tema activo usado por las instalaciones de WordPress
  • Comprobar la existencia de actualizaciones y actualizar instalaciones de WordPress
  • Configurar la actualización automática de instalaciones de WordPress

Para administrar instalaciones de WordPress en su suscripción, vaya a la pestaña  Sitios web y dominios  > WordPress.

Para instalar una nueva copia de WordPress, vaya a Sitios web y dominios > WordPress y haga clic en Instalar.

Las instalaciones APS de WordPress se añaden automáticamente al paquete de herramientas de WordPress, si bien las instalaciones que no sean APS deberán añadirse al paquete de herramientas de WordPress de forma manual. Si ha actualizado una versión anterior de Plesk donde utilizaba WordPress, debería añadir manualmente las instalaciones existentes de WordPress al paquete de herramientas de WordPress.

Para añadir instalaciones de WordPress al paquete de herramientas de WordPress, vaya a Sitios web y dominiosWordPress y haga clic en Analizar. Se analizarán los archivos de su suscripción y las instalaciones de WordPress encontradas serán añadidas al paquete de herramientas de WordPress. A continuación, las nuevas instalaciones APS de WordPress se añadirán automáticamente al paquete de herramientas de WordPress. De todos modos, tenga en cuenta que si usted o sus clientes instalan nuevas copias de WordPress de forma manual una vez completado el análisis, dichas instalaciones no se añadirán al paquete de herramientas de WordPress. Es por este motivo que le recomendamos que periódicamente realice un análisis para detectar la existencia de nuevas instalaciones de WordPress.

Todas las instalaciones APS de WordPress se añaden de forma permanente al paquete de herramientas de WordPress. No podrá eliminarlas del paquete, sino que solo podrá eliminarlas de forma completa. Si desea eliminar una instalación de WordPress, vaya a Sitios web y dominiosWordPress > haga clic en el nombre de la instalación deseada de WordPress y a continuación haga clic en el botón Eliminar.

Las instalaciones no APS de WordPress no pueden eliminarse a través del paquete de herramientas de WordPress. Lo único que puede hacer es no tenerlas en el paquete de herramientas de WordPress. Si desea cancelar la asociación de una instalación de WordPress, vaya a Sitios web y dominiosWordPress > haga clic en el nombre de la instalación deseada de WordPress y a continuación haga clic en el botón Cancelar asociación. Tenga en cuenta que la instalación de WordPress para la que se ha cancelado la asociación volverá a añadirse al paquete de herramientas de WordPress cada vez que realice un nuevo análisis de las instalaciones de WordPress.

Para ver y modificar la configuración de una instalación de WordPress, vaya a Sitios web y dominios > WordPress > <nombre de la instalación de WordPress>.

Para cada instalación de WordPress puede modificar parámetros de configuración como el nombre de usuario y la contraseña para la base de datos de WordPress, el email del administrador, el nombre del sitio y el idioma del interfaz. Para ello, vaya a Sitios web y dominios > WordPress > <nombre de la instalación de WordPress> > Cambiar configuración.

Para acceder al panel de información de WordPress a través de Plesk, vaya a Sitios web y dominios > WordPress > <URL de la instalación de WordPress>. Tenga en cuenta que en el caso de una instalación no APS de WordPress, deberá indicar el nombre de usuario y la contraseña del administrador.

Si desea acceder automáticamente al panel de información de WordPress a través de Plesk para una instalación no APS, vaya a Sitios web y dominios > WordPress > <nombre de la instalación de WordPress>, haga clic en Administrar presente al lado de Administrador e indique las credenciales del administrador para esta instalación de WordPress.

Si desea modificar el nombre del administrador en WordPress, vaya a Sitios web y dominios > WordPress > <nombre de la instalación de WordPress>, haga clic en Administrar presente al lado de Administrador, proporcione su nombre de usuario actual e indique el nuevo nombre de usuario.

Protección de instalaciones de WordPress

Para verificar y proteger instalaciones de WordPress:

  1. Vaya a  Sitios web y dominios > WordPress.
  2. Seleccione las instalaciones de WordPress y haga clic en Comprobar seguridad. Se verificará la seguridad de los siguientes datos:
    • La carpeta wp-content. El directorio wp-content puede contener archivos PHP que no sean seguros y que puedan usarse para comprometer su sitio. Una vez instalado WordPress, los archivos PHP pueden ejecutarse a través del directorio wp-content. La comprobación de seguridad debería verificar que se prohíbe la ejecución de archivos PHP en el directorio wp-content.
    • La carpeta wp-includes. El directorio wp-includes puede contener archivos PHP que no sean seguros y que puedan utilizarse para comprometer su sitio. Una vez instalado WordPress, los archivos PHP pueden ejecutarse a través del directorio wp-includes. La comprobación de seguridad debería verificar que se prohíbe la ejecución de archivos PHP en el directorio wp-includes.
    • El archivo de configuración. El archivo wp-config.php contiene las credenciales de acceso a la base de datos, entre otros. Una vez instalado WordPress, puede ejecutarse el archivo wp-config.php. Si por algún motivo se desactivara el procesamiento de archivos PHP por parte del servidor web, los hackers podrían acceder al contenido del archivo wp-config.php. La comprobación de seguridad debería verificar que se bloquea el acceso no autorizado al archivo wp-config.php.
    • Permisos para la exploración de directorios. Si la exploración de directorios está activada, los hackers podrían obtener información de su sitio, como por ejemplo los plugins usados. Por omisión, la exploración de directorios está desactivada en Plesk. La comprobación de seguridad debería verificar que la exploración de directorios en la instalación de WordPress está desactivada.
    • Prefijo de la base de datos. Las tablas de la base de datos de WordPress tienen los mismos nombres en todas las instalaciones de WordPress. Cuando se utiliza el prefijo estándar wp_ para los nombres de la tabla de la base de datos, la estructura de la base de datos de WordPress deviene insegura y cualquier persona puede acceder a sus datos. La comprobación de seguridad debería verificar que el prefijo para los nombres de la tabla de la base de datos no es wp_.
    • Claves de seguridad. WordPress utiliza claves de seguridad (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY y NONCE_KEY) para garantizar un mejor cifrado de la información que se guarda en las cookies del usuario. Una buena clave de seguridad debería ser larga (estar formada por un mínimo de 60 caracteres), además de ser aleatoria y suficientemente complicada. La comprobación de seguridad debería verificar que se han definido claves de seguridad y que estas están formadas por al menos caracteres numéricos y alfanuméricos.
    • Permisos para archivos y directorios. Si los permisos para archivos y directorios no cumplen la directiva de seguridad, estos archivos pueden usarse para hackear su sitio Una vez instalado WordPress, los archivos y directorios pueden tener distintos permisos. La comprobación de seguridad debería verificar que los permisos para el archivo wp-config.php se han definido a 600, que los permisos para otros archivos se han definido a 644 y que los permisos para los directorios se han definido a 755.
    • Nombre de usuario del administrador. Cuando se instala una copia de WordPress, por omisión existe un usuario con privilegios administrativos y con el nombre de usuario admin. Como el nombre de usuario de un usuario no puede modificarse en WordPress, solo es necesario adivinar la contraseña para disponer de acceso al sistema como administrador. La comprobación de seguridad debería verificar que no existe ningún usuario con privilegios administrativos y con el nombre de usuario admin.
    • Información de la versión. Cada versión de WordPress presenta vulnerabilidades de seguridad conocidas. Es por este motivo que el hecho de mostrar la versión de su instalación de WordPress hace que esta sea más vulnerable frente a posibles ataques por parte de hackers. La versión de una instalación no protegida de WordPress puede verse en los metadatos de las páginas y en los archivos readme.html. La comprobación de seguridad debería verificar que todos los archivos readme.html están vacíos y que todos los temas tienen un archivo functions.php que contenga la línea: remove_action(\'wp_head\', \'wp_generator\');.
  3. Si algún dato no superara la comprobación de seguridad, selecciónelo en la lista de resultados del análisis de seguridad y haga clic en Proteger. En función de los elementos seleccionados, se realizarán las siguientes acciones:
    • En el caso de la carpeta wp-content, se prohibirá la ejecución de archivos PHP en el directorio wp-content en el archivo de configuración del servidor (Apache, nginx para Linux o web.config para Windows). Tenga en cuenta que las directivas personalizadas en los archivos .htaccess o web.config pueden invalidar esta medida de seguridad. Considere también que es posible que algunos de sus plugins dejen de funcionar tras proteger la carpeta wp-content.
    • En el caso de la carpeta wp-includes, se prohibirá la ejecución de archivos PHP en el directorio wp-includes en el archivo de configuración del servidor (Apache, nginx para Linux o web.config para Windows). Tenga en cuenta que las directivas personalizadas en los archivos .htaccess o web.config pueden invalidar esta medida de seguridad. Considere también que es posible que algunos de sus plugins dejen de funcionar tras proteger la carpeta wp-includes.
    • En el caso del archivo de configuración, se prohibirá la ejecución del archivo wp-config.php en el archivo de configuración del servidor (Apache, nginx para Linux o web.config para Windows). Tenga en cuenta que las directivas personalizadas en los archivos .htaccess o web.config pueden invalidar esta medida de seguridad.
    • En el caso de la exploración de directorios, se desactivará la exploración de directorios en la instalación de WordPress en el archivo de configuración del servidor (Apache, nginx para Linux o web.config para Windows).
    • En el caso del prefijo de la base de datos, se activará el modo de mantenimiento, se desactivarán todos los plugins, se modificará el prefijo en la base de datos, se volverán a activar los plugins, se actualizará la estructura permalink y se desactivará el modo de mantenimiento.
    • Se generarán claves de seguridad válidas y estas se añadirán a su instalación de WordPress.
    • Por lo que respecta a los permisos para archivos y directorios, se modificarán los permisos de acuerdo con la directiva de seguridad de WordPress: los permisos para el archivo wp-config se definirán a 600, para los demás archivos a 644 y a 755 para los directorios.
    • En el caso del nombre de usuario del administrador de WordPress, se creará un nuevo usuario con unas credenciales aleatorias y con el mismo perfil y propiedades que el administrador actual. Los enlaces y blogs del administrador volverán a asignarse al nuevo usuario y se procederá con la eliminación de la cuenta del administrador.
    • En el caso de la información de la versión de WordPress, se eliminará el contenido de los archivos readme.html y se añadirá la línea descrita arriba al archivo functions.php de cada uno de los temas. Si no existiera este archivo en un tema, se procederá con su creación.

Actualización de instalaciones de WordPress

Si desea comprobar la existencia de actualizaciones para las instalaciones de WordPress, vaya a Sitios web y dominios > WordPress > Buscar actualizaciones.

Para actualizar las instalaciones de WordPress, vaya a Sitios web y dominios > WordPress, seleccione las instalaciones deseadas de WordPress y haga clic en Actualizar.

Para que las instalaciones de WordPress se actualicen automáticamente:

  1. Vaya a Sitios web y dominios > WordPress > Actualización automática.
  2. Seleccione las instalaciones de WordPress que desea actualizar automáticamente y haga clic en Activar actualización automática.

Preste también especial atención a la Administración de plugins de WordPress y a la Administración de temas de WordPress.