Guía de Seguridad en WordPress (I)

Este artículo es el primero de una serie que será publicada aquí, en WWWhatsnew.com, por el Equipo de The Shock family: iconshock, wpthemegenerator y jqueryslidershock, responsables también por bypeople.com.

wordpress

Uno de los problemas más grandes que últimamente enfrentan las aplicaciones y sitios web es un elevado número de ataques, gran cantidad de información es robada o manipulada ya sea por virus/malware o por hackers o grupos de hackers diariamente, y este es un problema que crece cada día. Desde que iniciamos la creación del WordPress Theme Generator y los temas de WordPress themes shock, siempre pensamos en la seguridad como un factor fundamental, para garantizar que nuestros temas o plugins no tuvieran niguna vulnerabilidad, y de esta manera investigamos y concluimos esta completa guía que te ayudará a proteger tu sitio de WordPress, dado el ya mencionado y constante crecimiento de ataques que se han reportado ultimamente.

WordPress es el CMS usado por muchos de los sitios más importantes en la actualidad como TED, NBC y CNN y no sólo eso; se estima que WordPress es usado en un 20% del total de los sitios conectados a Internet. Andrew Nacin, uno de los desarrolladores de WordPress comentó en su cuenta de Twitter cómo cientos de millones de personas leen millones de blogs al mes, haciendo cientos de miles de comentarios en cientos de miles de posts.

Dada la gran popularidad de WordPress, no sólo hay una gran legión de seguidores usándolo limpiamente, sino que también hay otra legión de perpetradores, siempre en busca de nuevas debilidades que explotar, nada de esto es desconocido por los profesionales que usan WordPress, es por ello que se ha venido implementando un sinnúmero de prácticas y métodos que serán descritos en este artículo para ayudar a evitar que seas la próxima víctima de un ataque, o si ya lo eres, para ayudarte a superar el problema.

Lo primordial es entender claramente el concepto de seguridad

La seguridad no se trata de tener un gestor de contenido, o un sistema en general perfectamente protegidos, la seguridad en muchos casos puede ser establecida siguiendo unas simples reglas incluso ajenas al código o al sistema. En este artículo se cubre lo básico y también algunos aspectos que requieren un mayor nivel de experticia, con la intención de brindar más recursos para reforzar la seguridad porque en lo que se refiere a proteger un sitio en WordPress, los ataques pueden y probablemente vengan de todas partes. No se debe tomar a la ligera bajo la falsa certeza de que al ser un sitio pequeño no hay razón para un ataque, o como dice Dre Armeda, cofundador de Sucuri Security: “No se puede asegurar algo al 100% (…) ni el porcentaje de riesgo puede ser cero.”

Primeros pasos a seguir fuera de WordPress

Considerando que la seguridad en WordPress no sólo depende del software con el que está hecho sino también de otros elementos externos, esta sección habla de tales factores, aquellos que son susceptibles de ser mejorados.

Encuentra vulnerabilidades en tu computador

Asegúrate de que el computador que usas esta libre de spyware, malware o virus. Sin importar qué tan seguro sea un sitio de WordPress, no hará la mas mínima diferencia si hay un keylogger que pueda robar las credenciales en tu computador local y si un hacker consigue tus claves, por más seguridad que tengas, estarás perdido.

Revisa la seguridad de tu red

La red en ambos extremos, el tuyo y el del servidor debería ser idealmente una red segura; ésto puede implicar actualizar las reglas en el enrutador o ser muy cuidadoso si entras a una red ajena. Un café internet o un sistema que envía datos sin encriptar no puede ser considerado una red segura. Es importante mantener protocolos de seguridad claves dentro de tu red local, en general, ningún computador de la red debería tener permisos de administración a menos que lo requiera estrictamente, debe haber un buen antivirus revisando la red constantemente y evita el uso de software no conocido o con poco soporte.

Revisa tu FTP

FTP es un protocolo de transferencia de archivos a traves de la red, cuando vayas a conectarte al servidor, en lo posible hazlo a través de SFTP  si tu proveedor la ofrece. Si no estas seguro de si es ofrecida o no, simplemente pregunta y actívala. SFTP no difiere mucho del protocolo FTP excepto por el hecho de que encripta los datos transmitidos; lo que dificulta interceptar y robar información.

Revisa tu servidor y tu proveedor de hosting.

Si tu administras tu propio servidor, asegúrate que corra una versión estable y segura del software; o si usas el servicio de un proveedor, asegúrate de que tome dichas precauciones. Puede ser que tu sitio esté en un servidor compartido y si otro sitio en el mismo servidor ha comprometido su seguridad de algún modo, el tuyo puede estar en riesgo; incluso si sigues todas las otras indicaciones de la guía. Por eso infórmate con el proveedor acerca de las precauciones que están siendo tomadas. Si quieres tener un ambiente absolutamente seguro, lo mejor es usar un servidor dedicado muy bien configurado; y si no es posible, es importante invertir un poco de dinero en un proveedor que se encargue de tomar medidas básicas de seguridad. También es buena idea revisar las críticas de sus usuarios en internet en relacion a cómo manejan sus temas de seguridad.

El administrador

El problema mas grande de seguridad ha sido, es, y siempre será el usuario final. Sin importar las medidas técnicas de seguridad implementadas, el riesgo siempre puede estar presente si se tienen malas prácticas como dejar una sesión abierta o copiar la contraseña en un bloc de notas que pueda ser abierto por un troyano; incluso si se tiene mala suerte, se puede ser víctima de phishing. El mejor lugar para guardar la contraseña es tu cabeza, o si es muy compleja para recordarla, usa un gestor de contraseñas como 1password o LastPass

Juan Pablo Sarmiento

Fundador de iconshock (iconos profesionales) y designshock (paquetes para diseñadores) y curador editorial en ByPeople, amante del diseño y la programación web.

1 comentario

  1. Supongo que estos pasos también se pueden aplicar en Joomla?