Estrategía de seguridad y mantenimiento con WordPress

1. Sentido Común

* Proveedor de Hosting Seguro
* Temas y plugins de autores confiables
* Nombres de usuario y contraseñas difíciles
* Roles de usuario con permisos adecuados
* WP Core y plugins actualizados

2. Control de acceso

* En caso de no permitir registro de usuarios, verificar que está deshabilitado.
* En caso de permitir registro de usuarios, verificar rol de suscriptor como default.
* Deshabilitar WP JSON si no se requiere acceso al API del sitio.
* Deshabilitar pingbacks & trackbacks para mantener el sitio libre de SPAM.
* Prevenir el acceso directo a directorios y verificar permisos de archivo correctos.
* Deshabilitar la información de versión de WordPress.
* Cambiar el prefix de la base de datos y seguridad de llaves secretas en wp-config.
* Proteger archivos de configuración y administración
* Archivo de indexación robots txt & permisos de archivos y folders del servidor .htaccess

3. Rendimiento del sitio

* Compatibilidad con browsers y dispositivos móviles
* Rendimiento de carga del sitio Google Page Speed Test
* Test de calidad de HTTPS Qualys SSL
* Validación de código W3C y accesibilidad WAI-ARIA
* Archivos log, time stacks, header checkers.
* Revisar el rendimiento y compatibilidad de scripts (Profilers)
* Verificar el funcionamiento de cadenas de consulta en bases de datos (Query Monitor) 

3. Auditoría de crisis

* Content Security Policy para prevenir ataques XSS, Clickjacking, MIME Sniffing.
* Firewall, monitoreo de servidor y scanning.
* Bloqueo de bots malignos y spam.
* Estrategia de actualización y backups.
* Estrategia de optimización del sitio.