Seguridad en WordPress para Dummies 4


La presente guía está inspirada una serie de artículos publicados en wwwyaht´s new: Guía de seguridad para WP I, II, III, IV, V. En una labor de curación de contenidos hemos querido sintetizar y unificar, de forma sencilla y accesible para cualquier gestor de blogs, algunos consejos y medidas básicos.

Fuera de WordPress…

No debemos pensar en la seguridad sólo como un conjunto de técnicas informáticas o herramientas técnicas. Ésta debe partir de una serie de actitudes y reglas sencillas de prevención y precaución. Si no mantenemos un código de buenas prácticas dará igual cualquier medida informática que llevemos a cabo.

  • Mantén actualizado el antivirus de tu computadora. Aunque muchos ataques pueden dirigirse directamente a nuestro servidor (el lugar donde este alojado nuestro blog), si un hacker o keylogger (software para registrar teclas) accede a nuestro ordenador podrá tener acceso a información como contraseñas.
  • Vigila desde donde accedes a la gestión de tu blog. A menudo gestionamos nuestros espacios desde ordenadores que no conocemos (cibercafés, aulas TIC abiertas…). En estos espacios desconocemos como de protegidos están los ordenadores, el software instalado, si mantienen actualizados los antivirus…
  • Ojo al iniciar sesión como administradores/as. Sobre todo si usamos un ordenador que no es nuestro. Muchas veces los navegadores recuerdan contraseñas y nombres de usuario. Deberemos fijarnos en que esto no suceda desmarcando cualquier opción que lo permita. Así mismo, no debemos dejar nuestra sesión abierta y, antes de cerrar el navegador, deberemos asegurarmos de cerrar sesión.
  • Usar contraseñas robustas: una contraseña robusta combina números, letras mayúsculas y minúsculas así como símbolos. También conviene que la contraseña no esté relacionada con el sitio. Existen herramientas específicas para generar contraseñas. También puedes usar “frases contraseña” (passworddeejemplo=pA55w0rDdE3j3mp10), algo fácil de recordar pero difícil de descifrar.
  • ¿Dónde guardas tus contraseñas? Esta claro que no es recomendable tener contraseñas apuntadas en ningún soporte. Sin embargo, los administradores de espacios manejamos un volumen muy alto de claves. Si tenemos apuntadas nuestras contraseñas en un documento éste deberá estar como mínimo encriptado y protegido con contraseña (los actuales procesadores de texto permiten esto). En ningún caso los deberemos almacenar o apuntar temporalmente en un bloc de notas, ya que éstos pueden ser abiertos por troyanos. Igualmente, el nombre de este archivo debe pasar desapercibido, es decir, no llaméis a vuestro archivo de contraseñas “logines”, “accesos”, “claves”… También existe software gestor de contraseñas como Keepass.

Acceso a nuestro blog…

Las siguientes medidas hacen referencia a los puntos de acceso para gestionar nuestro blog.

  • Ojo con la red por la que navegamos. Las redes wifi abiertas de los espacios públicos, también suponen un componente de riesgo a la hora de acceder como administradores a la gestión de nuestros blogs. Este tipo de redes permite a usuarios avanzados acceder a información personal, navegar a través de redes sin cifrar conlleva que el tráfico generado en ellas tampoco lo este.
  • Revisa el acceso FTP. FTP es un protocolo de transferencia de archivos a través de la red, cuando vayas a conectarte al servidor, en lo posible hazlo a través de SFTP (encripta los datos transmitidos)  si tu proveedor la ofrece. Si no estas seguro de si es ofrecida o no, simplemente pregunta y actívala.
  • Accesos directos y URL por defecto. Otro elemento de WordPress que puede ser cambiado para añadir un nivel extra de seguridad es la URL de acceso al sitio; si ponemos un ejemplo hipotético en el que el atacante ha robado tu contraseña, el sólo necesitaría la dirección de ingreso que suele ser igual que la página de inicio con la terminación /wp-admin. Hay Plugins que permiten el cambio de la URL de acceso como Hide Login.

Dentro de WordPress…

  • Mantén actualizada tu versión de wordpress. Cada vez que se publica una nueva versión, los fallos de las versiones anteriores se hacen públicos, lo que ofrece información susceptible de usarse malintencionadamente (por eso, tampoco deberemos hacer pública la versión de wp que estemos usando). Esto también es aplicable a nuestros plugin y temas. Por supuesto, como medida preventiva, recuerda realizar una copia de seguridad de tu sitio antes de cualquier actualización (en este sentido existen múltiples herramientas para realizar copias de seguridad).
  • Cuidado con los plugins. Las brechas en la seguridad de WordPress casi siempre ocurren por plugins (especialmente SEO, plugins Sociales, y de caché, ya que necesitan permisos de escritura en el servidor). Antes de instalar un plugin busca información sobre él en diversas fuentes. Así mismo, si dejamos de usar un plugin deberemos desinstalarlo, ya que es un riesgo mantenerlo desactualizado.
  • Definir un límite de intentos de acceso. Hay herramientas que ayudan a definir el número de intentos de acceso (muchos programas funcionan por ensayo-erro). Para WordPress existen algunos plugins: Limit Login Attempts, Better WP security, y Login Security Solution.

En nuestro servidor…

¡Ojo! Las siguientes medidas requieren algo más de conocimientos informáticos, por lo que no deberás hacer nada de esto si no sabes de que se habla.

  • Proteger con contraseña el directorio wp-admin con .htaccess.
  • Generar claves con SAL para hacer las cosas más difíciles al atacante (En criptografía, SAL comprende bits aleatorios que son usados como una de las entradas en una función derivada de claves).
  • Los permisos en el archivo wp-config.php deberían ser 0644 o 0444.
  • Usa una herramienta que encuentre vulnerabilidades. Una recomendada es CXS (ConfigServer eXploit scanner.) Esta herramienta monitorea el FTP en tiempo real y cualquier descarga hecha sin autorización es automáticamente borrada; y Backtrack, que más que ser una simple herramienta, es una suite con múltiples opciones desde escáneres de vulnerabilidades hasta herramientas forenses.

Si ya hemos sido atacados…

  • Si no estás segur@ de si tu sitio fue infectado o no, una herramienta que puede verificarlo es Sucuri SiteCheck.
  • Restaura tus contraseñas (FTP, WordPress, base de datos…).
  • Haz una copia de seguridad de todo, aunque este infectada podremos rescatar información valiosa.
  • Descarga la versión estable más reciente de WordPress. A la hora de instalar de nuevo los plugin recuerda buscar información sobre ellos e instala las versiones más recientes.
  • Cambia la URL de acceso tal y como se ha comentado anteriormente.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS

Responsable: Pedernal, Educación y Tecnología

Finalidad: Moderar los comentarios a los artículos publicados en el blog.

Legitimación: Consentimiento del interesado.

Destinatarios: No se comunicarán datos a persona u organización alguna.

Derechos: Tiene derecho a Acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional.

Plazo de conservación de los datos: Hasta que no se solicite su supresión por el interesado.

Información adicional: Puede consultar la información adicional y detallada sobre Protección de Datos Personales en nuestra Política de privacidad.

4 ideas sobre “Seguridad en WordPress para Dummies

  • javier2a

    Hola Adri, yo tengo varios blogs en wordpress.com y el tema de la actualización ni me lo he planteado. Tengo varias páginas en un hosting de joomla y si que en cada plantilla me avisan cuando sale una nueva actualización, pero en wordpress ni me he enterado. ¿es por eso que cuando veo alguno de mis blogs en otros ordenadores que no son míos, aparece una publicidad que yo no veo en mis ordenadores, no tiene que ver con algún bicho de esos ordenadores?

    • adrian Autor

      Saludos. El tema de la actualización de wordpress es diferente del de la publicidad. Seguramente ves la publicidad en otros ordenadores porque desde tu ordenador personal tendrás recordada en el navegador la contraseña de administración del blog y esto elimina la publicidad. Cuando entras como visitante desde otro pc ves la publicidad que, en realidad esta ahí y la ve cualquier persona (menos cuando estas logueado, como comentábamos). Entiendo que tienes wordpress.com, no?

    • adrian Autor

      Saludos Javier. Me temo que no conozco LastPass, no he tenido oportunidad de usarlo ni probarlo, así que no puedo ayudarte mucho en este sentido. Igualmente gracias por preguntar y comentar el post. Un abrazo.