Guía de Seguridad en WordPress (II)

Este artículo es el segundo de una serie que será publicada aquí, en WWWhatsnew.com, por el Equipo de The Shock family: iconshock, wpthemegenerator y jqueryslidershock, responsables también por bypeople.com.

Podéis leer el primero de la serie aquí.

wordpress

Éstas son algunas medidas básicas de seguridad que se aplicar directamente en WordPress para reforzar la seguridad del sitio:

El truco del directorio

La primera medida de seguridad puede ser implementada al momento de instalar WordPress, para crear una instalación en la cual los archivos estén un poco más seguros la instalación puede ser hecha en una subcarpeta con un nombre bastante particular; esta subcarpeta no será vista en la barra de navegación, por lo que contarás con un poco mas de seguridad; el archivo index debe ser movido a la raiz del sitio, y el acceso al sitio sera: www.tudominio.com/tudirectorio/wp-admin ; la configuración de la dirección se hace desde la opción de ajustes generales, donde se debe poner como la dirección de WordPress (URL) la dirección de la carpeta donde se ha instalado WordPress y en la dirección del sitio, aquélla donde fue puesto el archivo index. A esto se le conoce como el truco del directorio.

Actualiza tu versión de WordPress


Puede ser un poco difícil decidirse a actualizar a la última versión de WordPress porque tenemos miedo de perder algo de información, los plugins, así como los temas, pueden dejar de funcionar, entre otras cosas; aunque es cierto que las cosas pueden salir mal, nunca podrá aquello ser tan malo como quedarse con una copia vulnerable del software, pues con cada nueva versión siempre vienen actualizaciones importantes si no críticas en seguridad.

ACTUALIZA TU WORDPRESS SIEMPRE QUE PUEDAS

Los videos en YouTube que enseñan cómo actualizar a la última versión de WordPress son muy útiles, sin embargo la actualización manual sólo comprende 3 pasos bastante simples:

– Hacer un backup de la base de datos y archivos, hay muchos plugins que te pueden ayudar.
– Descargar y descomprimir la última versión de WordPress en el disco duro.
– Reemplazar todos los archivos, excepto aquellos en la carpeta de temas, ya que ahí se encuentra la personalización hecha a la instalación.

Cada vez que una actualización de wordpress es lanzada, los fallos de las versiones previas se vuelven información pública. WordPress puede tener vulnerabilidades como resultado de cómo está escrito el código que pueden permitir a un atacante omitir ciertos parámetros HTTPS, URI, o forms, logrando así irrumpir en el sitio. Revisa el sitio periódicamente para asegurar que todo luce como debería. Actualiza tus plugins y temas si es posible. Incluso si la instalación esta en modo piloto automático y además revisa los comentarios de seguridad sobre los plugins que tienes instalados.

No muestres tu versión de WordPress

La versión de WordPress que estés usando no debería ser visible por la mismas razones que se explicaron anteriormente; mostrar la versión específica de wordpress que estés usando puede darle al atacante una mano para encontrar la forma de irrumpir.

Algunos consejos de los expertos

A través de toda la red y en sitios de discusión como reddit, donde encontramos esta conversación, hay administradores discutiendo acerca del preocupante aumento de ataques a sitios pequeños viniendo de proxies de todas partes del mundo, incluso a sitios creados con la intención de permanecer ocultos.

Es un conversación digna de ser revisada en su totalidad; hemos recopilado algunos de los consejos más valioso, la mayoría pueden explicarse por sí mismos si se tiene conocimiento sobre WordPress, aunque si no es así entraremos en detalles técnicos para explicarlos más adelante.

– No usar plugins para asegurar WordPress a menos que sepas lo que hacen. La mayoría de plugins son editores del .htaccess y si no sabes lo que estás haciendo, mejor evítalo o consúltalo y entiéndelo muy bien.
– Proteger con contraseña el directorio wp-admin con .htaccess; si se corre un buen firewall, 5 intentos deberían bastar para bloquear la dirección IP del atacante.
– Generar claves con SAL para hacer las cosas más difíciles al atacante (En criptografía, SAL comprende bits aleatorios que son usados como una de las entradas en una función derivada de claves.)
– Reforzar claves con más de 20 caracteres para el administrador y todos los usuarios sin excusas.
– Remover plugins inútiles; si no se necesitan y no hacen más que reforzar malos hábitos, debe hacerse regularmente una revisión de plugins..
– Prohibir instalación de temas y plugins usando (‘DISALLOW_FILE_MODS’,true)
– Los permisos en el archivo wp-config.php deberían ser 0644 o para los paranoicos: 0444.
– Conseguir un .htaccess a prueba de balas. (El de HTML5 boilerplate funciona bastante bien.) Revisar los permisos de dicho archivo para que sean 0644 o 0444
– Instalar ConfigServer exploit Scanner, en general todos los productos de ConfigServer son excelentes y muy recomendados.
– Las brechas en la seguridad de WordPress casi siempre ocurren por culpa de plugins; especialmente SEO, plugins Sociales, y de cache porque necesitan permisos de escritura en el servidor; por eso debe revisarse bien el origen de estos.

Juan Pablo Sarmiento

Fundador de iconshock (iconos profesionales) y designshock (paquetes para diseñadores) y curador editorial en ByPeople, amante del diseño y la programación web.

5 comentarios

  1. Supongo que tengo el wp-config en modo super paranoico, ya que lo tengo en 0400. :D

    Funciona bastante bien sino se hacen ediciones, en ese caso no se puede y hay que hacer chmod.

  2. Meyer

    @filex totalmente inutil, para hacer un deface no necesito entrar a tu wp-admin

  3. @Meyer, es cierto, sólo hace falta que algo sea explotable, como un plugin, una vulnerabilidad en el servidor, etc, pero es mejor poner las cosas de la forma mas difícil posible.

  4. Creo que la mejor herramienta para tener tu wordpress seguro es ser cosciente de los peligros de tus aplicaciones (plugins)y theme que tengas instalado.
    Que tu plugin no sea vulnerable hoy no significa que no lo sea mañana. Por eso es importante auditar la web constantemente.
    Un saludo

  5. Muy buena guía, tendremos que poner estos consejos en práctica, ya me han hackeado 2 veces, y han hecho lo que han querido con mi web, da mucho miedo, me esperaré a la tercera parte de este post y me pondré a ello. Gracias por esta guía genial. Un saludo