WordPress és una de les plataformes més utilitzades del món, però també una de les més atacades. Cada dia, milers de webs pateixen intents de hackeig, infeccions de codi maliciós o robatoris de credencials que poden afectar el seu rendiment, reputació i fins i tot les seves vendes.
Per ajudar-te a mantenir la teva web segura, a Nominalia hem preparat un webinar gratuït amb Gabriel Linares, especialista en seguretat web del nostre equip, on et mostrem com protegir el teu WordPress i com actuar si el teu lloc ha estat hacker.
Continguts
El que aprendràs al webinar:
Durant els 180 minuts de sessió, Gabriel Linares explica de forma clara i pràctica els aspectes clau de la seguretat a WordPress:
TEMARI DE LA SESSIÓ:
principals amenaces de seguretat a WordPress.
vulnerabilitats en temes, plugins i fitxers PHP.
Tipus d'atacs freqüents: força bruta, DDOS, codi maliciós (malware), spam SEO, robatori de credencials.
Bones pràctiques:
Mantenir WordPress i connectors actualitzats.
Usar només temes i connectors oficials.
Configura còpies de seguretat y SSL.
Cercar autenticació en dos passos (2FA).
Monitoritzar la teva web regularment.
- Mesures de seguretat addicionals
Com detectar i eliminar malware.
passos per recuperar una web hackejada i reforçar-la després de latac.
A més a més, la sessió inclou exemples reals i una ronda de preguntes amb els assistents.
Enregistrament del webinar:
"Seguretat WordPress: aprèn a protegir la teva web"
EXPERT
Gabriel Linares Santonja
Web Designer at Nominalia
DATA
15 octubre 2025
TEMPS
13: 00h
DURADA
180 min
Evita pirates, caigudes i problemes de rendiment amb el nostre servei professional de manteniment WordPress.
Aquí tens la resposta a totes les consultes dels assistents: El nostre expert us respon!
Infeccions, piratejos i neteja de llocs
Si ja heu netejat correctament el vostre lloc (per exemple, amb Wordfence y GOTMLS), pots esperar una mica més de temps o, millor encara, sol·licitar una revisió a Google Search Console.
El procés pot trigar des d'uns dies a diverses setmanes. Mentrestant, segueix monitoritzant i realitzant escanejos periòdics per assegurar-te que la infecció no reaparegui.
És una pregunta molt freqüent. Que hacker un hosting complet és una cosa extremadament improbable (tant per a Nominalia com per a qualsevol altre proveïdor).
Això implicaria una bretxa greu a nivell de servidor —exploits a Apache, PHP, cPanel, etc.—, una cosa molt poc comuna i difícil d'aprofitar per un atacant.
Els proveïdors solen implementar seguretat per capes (aïllament entre comptes, tallafocs, accessos segurs, etc.), la qual cosa fa que el risc estigui gairebé sempre al lloc web en si, no al servidor.
💡 En el 99% dels casos, el problema és als arxius i plugins del propi WordPress.
🔒 Súper dit: Un bon WordPress, amb bones pràctiques de seguretat, pot sobreviure a un hosting mediocre.
Però un WordPress descuidat serà hacker fins i tot en el millor hosting del món.
Bona pregunta. Depèn.
Si tens una còpia de seguretat recent i neta, restaurar-la pot estalviar molt de temps.
Però atenció: si et van piratejar, significa que ja existia una vulnerabilitat en aquest WordPress, encara que la còpia sembla neta.
Per això, a més de restaurar, analitza la web amb Wordfence, revisa si n'hi ha plugins abandonats o vulnerables i corregeix els problemes detectats.
Si no, l'atac es podria repetir.
Plugins i eines de seguretat
No, ni de bon tros. És una cosa que també ens pregunten quan contractem un servei de desinfecció avançada.
Molts diuen: “Però si tenia Wordfence, com és possible que m'hackegessin?”
Plugins com Wordfence, GOTMLS o similars són eines de suport, però no substitueixen les bones pràctiques.
No apliquen actualitzacions automàticament, ni reemplacen plugins abandonats, ni eliminen completament el codi maliciós sense intervenció manual.
Aquests plugins ajuden molt —estableixen regles de seguretat, escanegen el lloc i avisen de possibles amenaces—, però l'acció final sempre depèn de nosaltres.
són una excel·lent ajuda, però no una solució total.
Sí, és clar. Hi ha diversos plugins molt bons a més de Wordfence i GOTMLS, cadascun amb els seus avantatges segons el tipus de lloc i el nivell tècnic de lusuari.
Que a mi m'agradin aquests no vol dir que els altres siguin dolents o ineficaços —cada mestra té el seu llibret 😉
Altres que utilitzo i recomano són:
- Sucuri: combina escaneig, auditoria d'integritat i mesures de “hardening” o reforç de seguretat amb només uns clics.
- Seguretat sòlida (abans iThemes Security): ideal per reforçar configuracions (canviar l'URL d'accés, bloquejar bots, forçar contrasenyes segures, etc.). És més preventiu que correctiu.
- MalCare: destaca pel seu escaneig remot, que no sobrecarrega el hosting i ofereix bona detecció de codi maliciós.
Wordfence pot consumir força recursos, especialment durant les anàlisis.
Els components que més recursos demanen són:
- Escaneigs de codi maliciós: Quan analitza tots els arxius del lloc
- Firewall en mode «Learning»: Durant els primers dies.
Els requisits mínims recomanats per a un bon funcionament són:
- PHP memory_limit: Almenys 256MB
- Temps d'execució PHP (max_execution_time) almenys de 120 segons
- Extensions PHP activades: cURL, json , mbstring , openssl ,pdo_mysql ,xml
- Versió de PHP: mínim 5.3, recomanada 8.0 o superior
Tipus de hosting: Evitar hostings compartits molt econòmics. Millor un compartit premium, VPS o hosting especialitzat en WordPress com els hosting WP de Nominalia.
Tipus per millorar el seu funcionament i que repercuteixi menys en el rendiment del teu hosting
- Desactiva notificacions que no necessitis o no siguin importants. Això redueix trucades internes i tasques d'enviament que consumeixen recursos.
- Fes servir el Firewall en mode estès. A tallafocs -> Totes les opocions de tallafocs prem sobre “Optimitzar el tallafocs de Wordfence”. Això crea una regla en .htaccess de manera que molt del filtratge es fa abans de carregar WordPress, estalviant CPU i memòria. D'aquesta manera, les peticions malicioses es bloquegen sense carregar el nucli de WordPress → menys PHP executat.
- Limita les anàlisis a una al dia o una a la setmana per exemple i en hores de baixa activitat de la teva web. A la versió gratuïta no existeix l'opció però ho pots fer de la següent manera: Per desactivar els escanejats automàtics des de Wordfence i utilitzar una tasca cron al teu servidor (si el teu hosting ho permet).
- Aneu a Opcions d'Exploració i desactiva “Programar exploracions de Wordfence”.
- A continuació, al teu tauler de control del hosting crea una tasca cron que llança l'anàlisi un cop al dia a l'hora que vulguis, o un cop a la setmana…
- 0 3 * * * wget -q -O – «https://elteudomini.com/wp-admin/admin-ajax.php?action=wordfence_start_scan» >/dev/null 2>&1
Aquest exemple l'escaneig cada dia a les 3:00 AM.
Canvia l'hora o freqüència segons vulguis (per exemple, 0 3 * * 0 per fer-ho només els diumenges) a les 3 del matí
És cert que Wordfence impacta en certa manera el rendiment, sobretot si el hosting que tenim va una mica just, però la comparació amb AIOS (All In One Security) requereix matisos:
Wordfence ofereix:
- Firewall d'aplicació web (WAF) més robust
- Base de dades d'amenaces més àmplia
- Detecció de malware més profunda
Ara bé si el teu lloc web no ha patit problemes de codi maliciós, està ben actualitzat i sense plugins abandonats o vulnerables AIOS també és una bona opció i pots instal·lar WordFence, tenir-lo desactivat i cada X temps activar-lo per realitzar una anàlisi més profunda i així quedar-te tranquil quant a vulnerabilitats i existència de codi maliciós (malware).
Al nostre parer si els recursos del teu hosting gestionen bé WordFence i no es veu alentit optaríem més per WordFence, si notes baixada de rendiment i la teva web està “saludable” pots optar per AIOS, no és mal plugin.
NOTA: pots provar també amb Worfence i els tipus d'optimització que hem suggerit a la pregunta anterior.
La gratuïta. Tots els recursos utilitzats al webinar són gratuïts. Funciona de meravella i és més que suficient per assegurar la integritat del teu WordPress si apliques la resta de bones pràctiques.
Aquest és un problema comú amb Wordfence a hostings de baix rendiment. L'error "exploració ha fallat" a "Estat de servidor" generalment indica limitacions del hosting o configuració.
Intenta comprovar que al teu hosting tens almenys el php memory limit a 256MB (512 seria l'ideal). Augmenta el php_value max_execution_time a 300 segons.
Si segueix fallant pots intentar fer una configuració poc agressiva (també menys eficient però que sol ser suficient):
Aneu a Wordfence → Totes les opcions → Opcions de rendiment i tria:
- Utilitza l'exploració de recursos baixos
- A «Limita la quantitat de problemes enviats al correu electrònic de resultats de l'exploració» posa 50
- Estableix » Màxim temps d'execució per a cada nivell d'anàlisi» a 10-20 segons
IMPORTANT: Alguns hostings tenen ModSecurity configurat de manera que bloqueja WordFence. En aquest cas facis allò que facis sempre fallarà l'exploració. Si el pots gestionar desactiva-ho per veure si és el problema i si no contacta amb el teu proveïdor perquè modifiqui la regla que està bloquejant WordFence.
Manteniment i serveis gestionats
No, no necessites fer res, nosaltres ens n'encarregarem una vegada el contractis (prèvia còpia de seguretat, per descomptat).
Aquestes tasques estan incloses al servei de Manteniment WordPress. Per descomptat, el que sí que és important és que plugins i themes premium que tinguessin llicència la tinguin aplicada i vigent, si no no podríem actualitzar-los. Si ens topem amb algun component sense llicència per suposat t'ho farem saber perquè ho puguis solucionar.
No, no necessites fer res, nosaltres ens n'encarregarem una vegada el contractis (prèvia còpia de seguretat, per descomptat). Aquestes tasques estan incloses al servei de Manteniment WordPress.
De fet, es poden donar diversos casos:
- La web està desenvolupada per Nominalia fa menys de 6 mesos. No has de fer absolutament res, només contractar-ne el manteniment.
- La web està desenvolupada per Nominalia fa més de 6 mesos o per una altra empresa, proveïdor o per tu mateix. En aquest cas abans del manteniment en realitzarem una auditoria completa que en un detallat informe us mostrarà els principals problemes del vostre WordPress i les seves possibles solucions. Aquí avaluem si el manteniment és possible (tranquil, ho és en el 99% dels casos). En contractar el manteniment, és clar que l'import de l'auditoria (52€) és descomptat del preu. D'aquesta manera us informem detalladament de l'estat de la vostra web i us assegurem que podrem donar-vos un servei de total qualitat.
Actualitzacions i bones pràctiques
Cada mestre té el seu llibret, però nosaltres aconsellem fer-ho en aquest ordre:
- Primer: Plugins (de menys crítics a més crítics)
- Segon: Temes (primer tema fill si el fas servir, després tema pare)
- Darrer: Core de WordPress
Per què aquest ordre?
- Els plugins solen adaptar-se ràpidament a noves versions del core
- Si un plugin falla, és més fàcil desactivar-lo sense afectar tot el lloc
- El core de WordPress és el més estable, actualitzar-lo al final redueix incompatibilitats
L'ordre correcte és:
- PRIMER: Plugin base (versió gratuïta)
- DESPRÉS: Plugin premium o addons del plugin base
A l'exemple d'Elementor que planteges:
- Actualitza Elementor (versió gratuïta)
- Després actualitza Elementor Pro
Per què?
- Els plugins premium depenen del plugin base
- Actualitzar el premium primer pot causar errors de dependència
- El plugin base conté les funcions core que el premium estén
Casos especials a tenir en compte:
- Llegeix sempre les notes de versió (aquest fitxer readme.txt o changlelog.txt, de vegades indiquen un ordre específic)
- Si hi ha una actualització més gran (ex: Elementor 2.xa 3.x), revisa la documentació
- Està genial si abans de canviar la versió de php fas una comprovació de la compatibilitat del teu plugins. Pots utilitzar el connector Fes servir el connector «Plugin Compatibility Checker (Portal-integrated)» per escanejar el vostre lloc i us mostrarà excepte alguna excepció de forma detallada amb quines versions de php són compatibles els plugins que tens instal·lats. Si algun no ho és ja tenim avançat el possible culplable de la no compatibilitat i podrem desactivar-ho si alguna cosa falla reanomenant la carpeta d'aquest plugin per ftp.
- Assegura't de tenir backup complet (arxius + base de dades)
- Actualitza tots els components a la darrera versió (core, plugins i themes)
- Actualitza la versió de PHP del teu hosting
Si el teu hosting té panell (cPanel, Plesk, etc.):
• Cerca PHP Version o Selector PHP
• Selecciona la nova versió (recomano PHP 8.1 o 8.2 actualment)
• Aplica canvis - Després d'actualitzar:
• Revisa immediatament el lloc
• Verifiqueu el log d'errors
• Prova funcionalitats crítiques (checkout, formularis, etc.) - Si alguna cosa falla:
• Torna a la versió PHP anterior immediatament (és totalment reversible)
• Identifica el plugin/tema incompatible (el log d'errors us dirà qui provoca l'error)
• Actualitza o reemplaça el component problemàtic
• Reintenta l'actualització
Mesures de securització addicional
(Et facilitem els recursos per aplicar les mesures de seguretat addicionals que vam veure al webinar tant amb codi com amb plugins)
Limitar el nombre d'accessos erronis
🎯 Per què és important?
Evita atacs de força bruta on els hackers proven milers de combinacions de contrasenyes.
📝 MÈTODE MANUAL (amb ..htaccess)
protegir wp-login.php limitant accés només al teu IP:
# Añadir al .htaccess
<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from TU.IP.AQUI.XXX
</Files>⚠️ ULL: Només funciona si teniu IP fixa. Si canvieu, quedareu bloquejat
hauràs d'entrar per ftp i actualitzar el teu IP si quedes bloquejat.
🔌 MÈTODE AMB PLUGIN (recomanat)
Complement: WordFence - Gratuït
Recomanem aquest perquè el farem servir per aplicar altres mesures
Utilitzar factor de doble autenticació 2FA
🎯 Per què és important?
Afegeix una capa extra de seguretat. Encara que robin la teva contrasenya, necessitaran el teu mòbil per accedir-hi.
📝 MÈTODE MANUAL (amb ..htaccess)
No hi ha un mètode manual senzill, requeria una programació a mida complexa
🔌 MÈTODE AMB PLUGIN (recomanat)
Plugin : WordFence - Gratuït
APP mòbil necessària: Google Authenticator o Microsoft Authenticator
⚠️ IMPORTANT: Desar codis de recuperació en lloc segur
Desactivar XML-RCP
🎯 Per què és important?
XML Remote Procediment Trucar — és un protocol que utilitza peticions HTTP i dades en format XML per executar funcions a distància. S'utilitza per publicar entrades des d'aplicacions externes (per ex mòbils), també és usat per algun plugin com Jetpack per sincronitzar estadístiques, còpies o notificacions i també s'usava antigament per automatitzar accions amb scripts externs o APIs antigues.
No és molt habitual usar i és usat en atacs DDoS i de força bruta (Els hackers ho usen per provar milers de combinacions d'usuari/contrasenya sense passar pel formulari normal de login (wp-login.php). La majoria de llocs no ho necessiten.
MÈTODE MANUAL (recomanat
protegir wp-login.php limitant accés només al teu IP:
Order Deny,Allow
Deny from allO estigui codi en un snipet de codi o fitxer functions.php del teu tema fill
// Desactivar XML-RPC completamente
add_filter('xmlrpc_enabled', '__return_false’);
// Eliminar headers de XML-RPC
remove_action('wp_head', 'rsd_link’);
remove_action('wp_head', 'wlwmanifest_link');
Només cal instal·lar-lo i activar-lo desactivarà automàticament xml-rcp
Canviar l'usuari “admin” per defecte
🎯 Per què és important?
"admin", "administrator" o "administrador" és el primer usuari que proven els hackers.Canviar-lo augmenta la seguretat.
MÈTODE MANUAL (recomanat)
protegir wp-login.php limitant accés només al teu IP:
- Veu “usuaris” à “Afegeix nou” i crea un nou usuari administrador utilitzant un nom únic i assigna-li el rol Administrador.
- Tanca sessió i torna a accedir amb el nou usuari
- Elimina l'usuari anterior “administració"
⚠️ MOLT IMPORTANT: En esborrar l'administrador anterior, seleccioneu «Atribuir tot el contingut al vostre nou usuari o perdries tot el contingut que s'hi va publicar.
🔌 MÈTODE AMB PLUGIN
Complement: Canvia el nom d'usuari
En instal·lar-lo permet “editar” els noms d'usuari, cosa que no permet WP de forma nativa.
No recomanem fer servir un plugin per a una cosa tan senzilla, fins i tot alguns hostings bloquegen aquest canvi per seguretat.
Meixor fer-ho manualment
Usar contrasenyes llargues i úniques
🎯 Per què és important?
Les contrasenyes febles són la porta d'entrada més comuna per als hackers als atacs de força bruta.
És tan senzill com establir contrasenyes
- Mínim 12 caràcters (millor 16+)
- Barreja de majúscules, minúscules, números i símbols
- Sense paraules del diccionari
- Única per a cada lloc
⚠️ USA EL GENERADOR DE WORDPRESS: WordPress ja té generador integrat en crear/editar usuaris.
🔌 MÈTODE AMB PLUGIN
Complement: WordFence - Gratuït
Si la vostra web permet el registre d'usuaris, com per exemple en una botiga en línia o altres serveis amb registre amb WordFence pots “obligar” que determinats tipus d'usuaris utilitzin contrasenyes segures.
Ho pots fer des de Wordfence >> Totes les opcions >> «Bloqueu Opcions addicionals»
Deshabiliteu l'enumeració d'usuaris
🎯 Per què és important?
Per defecte, WordPress revela noms d'usuari a URL com tudominio.com/?author=1 per la qual cosa us facilitarem una informació valuosa a l'atacant, el nom d'usuari del nostre wp-admin
Afegirem el següent codi a functions.php o com un fragment de codi si ho preferim:
// Bloquear enumeración de usuarios
function bloquear_enumeracion_usuarios() {
if (!is_admin() && isset($_REQUEST['author']) && intval($_REQUEST['author'])) {
wp_die('Acceso no autorizado', 'Error', array('response' => 403));
}
}
add_action('template_redirect', 'bloquear_enumeracion_usuarios’);
// Ocultar usuarios en API REST
add_filter('rest_endpoints', function($endpoints) {
if (isset($endpoints['/wp/v2/users'])) {
unset($endpoints['/wp/v2/users']);
}
if (isset($endpoints['/wp/v2/users/(?P<id>[\d]+)'])) {
unset($endpoints['/wp/v2/users/(?P<id>[\d]+)']);
}
return $endpoints;
});🔌 MÈTODE AMB PLUGIN
Complement: WordFence - Gratuït
Wordfence ens permet desactivar l'enumeració d'usuaris de manera que aconseguim assenyalar el nom d'usuaris a consultes el tipus /?author= que haurien revelat el nom d'usuari i facilitant l'accés il·licito al lloc web.
Ho pots fer des de Wordfence >> Totes les opcions >> «Bloqueu Opcions addicionals»
Assignar rols apropiats
🎯 Per què és important?
No tothom necessita ser administradors. Limita permisos segons la funció real.
És tan senzill com establir els rols desitjats des de “Usuaris >> Tots els usuaris” >> “Editar” usuari >> Assignar el rol desitjat
🔌 MÈTODE AMB PLUGIN
Complement: Editor de funcions d'usuari - Gratuït
Si tenim necessitats particulars pel que fa al rol dels usuaris hi ha pluguins que ens permeten crear rols a la carta i personalitzar els permisos de cadascun o modificar-ne els existents.
Desactivar feed rss i atom
🎯 Per què és important?
Els feeds es poden fer servir per rastrejar el teu contingut i fer scraping automàtic. Això a menys que la teva voluntàriament vulguis que així sigui per importar els teus propis continguts des d'una altra web, permetre que se subscriguin als teus feeds usant RSS (per exemple periodistes o clients que segueixen les teves publicacions) pot ser negatiu de cara al SEO → penalització o pèrdua d'autoritat SEO de la teva web i encara que no permet la injecció de codi o malware pot oferir informació ja que l'RSS/Atom pot revelar rutes internes, taxonomies o endpoints. Això facilita atacs automatitzats (força bruta, spam, exploits a /wp-json/ o /xmlrpc.php). d'autoritat SEO
Pots afegir aquest codi al fitxer functions.php de la teva nen tema o en un fragment de codi
function disable_all_feeds() {
wp_die( __('Los feeds RSS y Atom están desactivados. Visita nuestro sitio web directamente.’)
}
add_action('do_feed', 'disable_all_feeds',1);
add_action('do_feed_rdf', 'disable_all_feeds', 1);
add_action('do_feed_rss', 'disable_all_feeds', 1);
add_action('do_feed_rss2', 'disable_all_feeds', 1);
add_action('do_feed_atom', 'disable_all_feeds', 1);
// Eliminar enlaces de feeds del head
remove_action('wp_head', 'feed_links', 2);
remove_action('wp_head', 'feed_links_extra', 3);🔌 MÈTODE AMB PLUGIN
Plugin : Disable Feeds WP - Gratuït
En instal·lar-lo i activar-lo desactivarà automàticament els feeds i qualsevol sol·licitud d'un feed serà redirigida al contingut principal
Desactivar logs de WordPress i PHP
🎯 Per què és important?
Els logs poden exposar informació sensible del servidor, rutes de fitxers i plugins que estem utilitzant.
MÈTODE MANUAL (recomanat)
Afegirem el codi següent:
a htaccess
# Desactivar display de errores PHP
php_flag display_errors Off
php_flag display_startup_errors Off
php_flag log_errors Off
php_value error_reporting 0a .wp-config.php
// Desactivar debug
define('WP_DEBUG', false);
define('WP_DEBUG_LOG', false);
define('WP_DEBUG_DISPLAY', false);
@ini_set('display_errors', 0);Si necessitem el debug.log i el volem protegir
# Proteger debug.log
<Files debug.log>
Order allow,deny
Deny from all
</Files>🔌 MÈTODE AMB PLUGIN
Complement: WP Debugging - Gratuït
Ens permet activar o desactivar els logs de wordpress
Amagar la versió de WordPress
🎯 Per què és important?
Els hackers cerquen versions específiques amb vulnerabilitats conegudes. Si podeu veure la versió del nostre WordPress en el codi font us estem donant informació per facilitar-vos les coses.
MÈTODE MANUAL (recomanat)
Pots afegir aquest codi al fitxer functions.php del teu child theme o crear un snippet de codi
// Ocultar versión de WordPress
remove_action('wp_head', 'wp_generator’);
add_filter('the_generator', '__return_empty_string’);
// Eliminar versión de CSS y JS
function quitar_version_scripts($src) {
if (strpos($src, 'ver=')) {
$src = remove_query_arg('ver', $src);
} return $src;
}
add_filter('style_loader_src', 'quitar_version_scripts', 9999); add_filter('script_loader_src', 'quitar_version_scripts', 9999);🔌 MÈTODE AMB PLUGIN
Complement: WordFence - Gratuït
En activar l'opció a «Opcions generals de WordFence»
- Elimina el meta tag del encapçalament
- Filtra els fitxers RSS/Àtom
- Neteja els scripts i estils
- Oculta informació a readme.html
- Protegeix fitxers sensibles
Esborrar fitxers d'identificació
🎯 Per què és important?
Aquests fitxers revelen que uses WordPress i la seva versió. Els hackers cerquen versions específiques amb vulnerabilitats conegudes. Si podeu veure la versió del nostre WordPress en el codi font us estem donant informació per facilitar-vos les coses.
MÈTODE MANUAL (recomanat)
Simplement pots connectar per ftp o amb el teu administrador de fitxers del hosting i esborrar aquests fitxers:
✅ readme.html
✅ license.txt
✅ llicència.txt
✅ wp-config-sample.php
Però recomanem que els blocatges a ..htaccess ja que si no en les actualitzacions del nucli de WordPress tornaran a crear-se i hauràs de fer-ho cada cop que actualitzis.
# Bloquear archivos de identificación
<FilesMatch "^(readme\.html|license\.txt|licencia\.txt|wp-config-sample\.php)$"> Order Allow,Deny
Deny from all
</FilesMatch>🔌 MÈTODE AMB PLUGIN
Plugin : WP Hide & Security Enhancer - Gratuït
En les seves opcions ens permeten bloquejar aquests fitxers entre moltes altres mesures.
Desactivar l'exploració de directoris
🎯 Per què és important?
Evita que algú vegi la llista de fitxers de les teves carpetes i que quedi exposada Informació sensible. Si està activada podrà veure per exemple que plugins tenim instal·lats a la nostra carpeta domini.com/wp-content/plugins simplement teclejant aquesta adreça. Avui dia la majoria de hostings ja apliquen directament una regla per evitar-ho, però d'altres no. “Prova a cercar a Google intitular: "index of"
/ Wp-content /
├plugins/
|─elemetor
|─aiowp
|─revslider
MÈTODE MANUAL (recomanat)
Si és el teu cas i es mostra la relació de directoris i fitxers, afegeix el codi següent:
A .htaccess
# Deshabilitar listado de directorios
Options -Indexes🔌 MÈTODE AMB PLUGIN
Complement: WordFence - Gratuït
En instal·lar-lo i activar-lo bloquejarà per defecte l'adreça per directoris com a part del vostre firewall.
Afegir capçaleres de seguretat
🎯 Per què és important?
Les capçaleres HTTP protegeixen contra XSS (Cross-site scripting) – vulnerabilidade que permet a un atacant injectar codi maliciós, normalment javascript, Clickjacking (l'atacant superposa una pàgina o elements maliciosos sobre la teva…) i altres atacs.
MÈTODE MANUAL (recomanat)
A .htaccess
<IfModule mod_headers.c>
# -------------------------------------------------------------
# SEGURIDAD BÁSICA DE NAVEGADOR
# -------------------------------------------------------------
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
# IMPORTANTE: Solo descomentar si tu sitio tiene certificado SSL activo
# Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
# -------------------------------------------------------------
# PERMISSIONS POLICY
# -------------------------------------------------------------
Header always set Permissions-Policy "accelerometer=(), camera=(), geolocation=(), gyroscope=(), microphone=(), payment=(), usb=()"
</IfModule>
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
🔌 MÈTODE AMB PLUGIN
Plugin : Capçaleres HTTP - Gratuït
És un plugin molt complet que ens permet activar les capçaleres recomanades
