Configuración de directivas Nginx en ISPConfig ============================================= .. image:: securizar2.png Dentro del sitio haciendo clic en “Options” se nos abre una venta nueva, con diferentes apartados a rellenar. Buscamos el apartado que se llama ‘Nginx Directives‘. Donde tenemos que añadir las siguientes directivas. .. code:: bash add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; add_header X-Content-Type-Options "nosniff" always; add_header Referrer-Policy "strict-origin-when-cross-origin" always; Directivas de seguridad para sitios Wordpress ============================================= .. code:: bash location / { try_files $uri $uri/ /index.php?$args; } location ~* /wp-includes/.*.php$ { deny all; access_log off; log_not_found off; } location ~* /wp-content/.*.php$ { deny all; access_log off; log_not_found off; } location ~* /wp-content/uploads/.*.php$ { deny all; access_log off; log_not_found off; } location ~* /wp-content/plugins/.*.php$ { deny all; access_log off; log_not_found off; } location ~* /wp-content/themes/.*.php$ { deny all; access_log off; log_not_found off; } location = /xmlrpc.php { deny all; access_log off; log_not_found off; } location ~* ^/tmp/.*\.(php|php5|phtml)$ { deny all; return 403; } location /wp-content/uploads/ { location ~* \.(php|phtml)$ { deny all; } } Una vez añadidas las lineas anteriores, guardamos los cambios. A continuación hay que modificar el fichero functions.php. Este fichero se encuentra en web/wp-includes. La modificación consiste en añadir las siguientes líneas al código: .. code:: bash add_filter('json_enabled', '__return_false'); add_filter('json_jsonp_enabled', '__return_false' Medidas de seguridad adicionales -------------------------------- 1.- Para comprobar la seguridad de un sitio, se puede usar el siguiente link https://transparencyreport.google.com/safe-browsing/search y introduciendo el nombre de su dominio. Este link nos permite ver si el dominio es seguro o no. .. image:: segurizar.png .- Para obtener más seguridad se pueden cambiar salts de seguridad y credenciales en el fichero wp-config.php que se encuentra el el directorio web. Los que están indicados con un rectángulo rojo, son los que se tienen que cambiar por cualquier frase oc combinación de letras,números y caracteres especiales. .. image:: securizar2-1.png 3.- Otra manera es también cambiar la contraseña del la base de datos. El cambio se tiene que hacer en el mismo fichero wp-config.php y en ISPConfig, en la parte de ‘Database users‘. .. image:: securizar3-278x300.png .. image:: securizar4-768x394.png