Acuario de Gijón. Mantenimiento web

Clientes y Colaboraciones​ Detalles del Proyecto

Proyecto: Acuario de Gijón. Mantenimiento web
Cliente: Acuario de Gijón
Tecnologías: Wordpress / Elementor
Fecha de Inicio: 05/01/2021
Fecha de Finalización: 12/04/2021

Clientes y Colaboraciones​ Descripción del Proyecto

El Acuario de Gijón contrató a Galerna Estudio para llevar a cabo el manteniemiento de su página WordPress, incluyendo la actualización de todos los plugins y módulos instalados, así como de los diferentes aspectos relacionados con la seguridad y la velocidad de carga.

Entre algunas de las tareas de mantenimiento llevadas a cabo, se realizan las siguientes :

  1. Cambiar la contraseña de la base de datos.
  2. Actualización de la versión de PHP a la última compatible.
  3. Forzar a usuarios y administradores a utilizar contraseñas mas seguras y difíciles de adivinar.
  4. Redirigir todas las peticiones de páginas HTTP a HTTPS
  5. Desactivar el acceso al escritorio de WordPress en un periodo de tiempo programado entre la 1:00 y la 6:00 de la mañana. Nadie puede acceder al panel de control entre esas horas.
  6. Activar la funcionalidad de lista de bloqueo de HackRepair.com para que no accedan a este sitio.
  7. Copias de seguridad de bases de datos automatizadas semanalmente que se envían a este correo: mauricio@inetglobal.es
  8. Monitorizar el sitio para buscar cambios inesperados en archivos y alertas de seguridad por correo si se detectan cambios inesperados de algún archivo.
  9. Proteger los archivos del sistema y impedir el acceso del público a readme-html, readme-txt, wp-config-php, install-php, wp-includes, y htaccess. Estos archivos pueden dar a conocer información importante del sitio y no sirven para nada al público una vez que WordPress se ha instalado correctamente.
  10. Desactivar la navegación de directorios y impedir que los usuarios vean una lista de archivos en un directorio cuando no hay archivo de índice como (index-php o index-html, etc) presente.
  11. Filtrar cadenas de petición sospechosas en la URL. Son muy a menudo signos cuando alguien trata de obtener acceso al sitio Web.
  12. Limita el número de caracteres que se pueden enviar en la dirección URL. Los hackers a menudo se aprovechan de las direcciones URL largas para tratar de inyectar información en la base de datos.
  13. Prohibir a scripts y usuarios el poder escribir en los archivos wp-config-php y htaccess. Eso hará más seguros los archivos cambiando los permisos de archivo a 444.
  14. Desactivar la ejecución de PHP en el directorio de subidas. Esto bloquea las peticiones a los archivos de PHP subidos maliciosamente al directorio de subidas.
  15. Desactiva la ejecución de PHP en el directorio de plugins. Esto bloquea las peticiones a los archivos de PHP dentro del directorio de plugins que pu
  16. Desactiva la ejecución de PHP en el directorio de temas. Esto bloquea la peticiones a ficheros PHP dentro de los directorios del tema que pueden ser atacados directamente.
  17. Cambiar las salts de WordPress que se encuentran en el archivo config-php. Una clave secreta hace que el sitio sea más difícil de hackear y acceder al añadir elementos aleatorios a la contraseña.
  18. Quitar la cabecera de Windows Live Writer. Esto es útil solo para otros clientes de blogs que se basen en este archivo.
  19. Eliminar la cabecera RSD (Real Simple Discovery).Esto es útil solo si integras el blog con servicios externos XML-RPC como Flickr entonces la función «RSD» es bastante inútil para acuariogijon.es.
  20. Desactiva el editor de archivos de plugins y temas requiriendo que los usuarios tengan acceso al sistema de archivos para modificar archivos.
  21. Desactivar XML-RPC. La funcionalidad XML-RPC de WordPress permite a servicios externos acceder y modificar contenido en el sitio. Ejemplos comunes de servicios que utilicen XML-RPC son el plugin Jetpack, la aplicación móvil de WordPress, y los pingbacks. Además la funcionalidad XML-RPC de WordPress permite cientos de intentos de pruebas de usuario y contraseña por solicitud. La hemos desactivado para evitar que los atacantes se aprovechen de esta funcionalidad.
  22. Restringir el acceso a la API REST de WordPress para que la mayoría de las peticiones requerirán un usuario conectado o con un privilegio exclusivo, bloqueando las peticiones públicas de datos potencialmente privados.
  23. Desactivar mensajes de error de inicio de sesión para evitar que los mensajes de error se muestren a un usuario en un intento fallido de inicio de sesión. Los mensajes de error pueden servir de ayuda a los hackers para saber que datos es incorrecto, el usuario o la contraseña.
  24. Cambiar el nombre de usuario Admin a gestión. El nombre de usuario Admin, Administrator, Administrador son los primeros nombres de usuario que utilizan los hackers para intentar acceder a cualquier panel de control. Evitar el uso de nombres de usuario mas comunes dificulta los intentos de acceso para los hackers.
  25. Restringir acceso solo con dirección de correo electrónico – Los usuarios ahora solo pueden acceder usando la dirección de correo electrónico de su usuario. Esto desactiva el acceso usando un nombre de usuario.
  26. Ocultar la página de inicio de sesión (wp-login-php, wp-admin, admin y login) por lo que es más difícil de encontrar por ataques automatizados y los hackers. Ahora solo se puede acceder desde https://www.acuariogijon.es/gestion
  27. Cambiar el prefijo de la tabla de la base de datos. El prefijo conocido por todo el mundo es wp- ahora es y4rvwuf_ mas difícil de averiguar para los hackers.

Entre las tareas de optimización de carga, se llevan a cabo las siguientes :

  1. Subida de nueva foto de portada optimizada en tamaño y peso
  2. Subida de nuevo logo optimizado en tamaño y peso
  3. Subida de nueva foto de Gijón Acuario Bioparc (Tickets) optimizada en tamaño y peso
  4. Configuración de plugin Autooptimize