Hablemos de seguridad en wordpress, cómo prevenir ataques un tema delicado que muchos tendemos a descuidar pero que, sin ser paranoicos, nos debe interesar en gran medida para favorecer nuestra información y publicaciones. Seguramente no serán prácticas tan oscuras y crípticas que impidan nuestro propio acceso a wordpress o a las bases de datos. Empecemos.
Instalación de WordPress
La seguridad en wordpress arranca desde la misma instalación, que debe hacerse desde fuente confiable y preferiblemente la última versión de wordpress que esté vigente. No se trata de pasión o de fiebre por la cms, se trata que siempre la versión más nueva, corrige fallos de seguridad de las anteriores, lo que nos da cierta ventaja sobre los «cacos» o «malandrines» de la web.
Actualizaciones, nuevas versiones
Esto mismo aplica para cuando hayan actualizaciones, vale la pena hacerlas, pues estos parches de seguridad mejorar nuestras condiciones de supervivencia en la web. Puede ser una tarea tediosa para muchos, estar ingresando a su zona de administración, para estar actualizando su wordpress; para otros que ingresamos a diario y publicamos cosas, hace parte de las rutinas.
De ahí que sea peligroso tener abandonado nuestra cms sin ingresar de cuando en cuando para hacer estas actualizaciones. Es crucial, casi cuestión de vida o muerte.Retire así mismo plugins y temas inactivos.
Servidores
La seguridad en wordpress tiene que ver mucho con el tipo de servidor que use su empresa de hosting y con las medidas de seguridad internas que su alojamiento web toma para prever y alejar todo tipo de ataques a la información allí almacenada.
No escoja su servicio de hosting web guiándose solo por el precio o por parámetros que nada tenga que ver con calidad, servicio y seguridad de sus blogs y sitios web. Ahora, si tiene la suerte ( o la desdicha) de un servidor compartido, pues el riesgo es mayor. Averigüe con su proveedor de hosting cuales medidas disuasivas o filtros de seguridad manejan en su servidor.
Conexiones inseguras
Hay otro tipo de vulnerabilidades propias de internet o de la red desde la cual usted se conecta. Por ejemplo, no espere que una conexión en un locutorio o cafe internet, tenga cifrado de datos, un firewall optimizado y un antivirus que detenga malware, virus o spyware nocivos para su wordpress.
Y eso sin contar con que en conexiones publicas (pc o cabinas con equipos que cualquiera usa) normalmente hay keylogger para robar contraseñas y nombres de usuario. Sea este el momento de recordar la lectura de seguridad informatica y virus, un par de artículos donde doy pautas de sentido común respecto a la seguridad.
Su propio pc
Un antivirus actualizado, escaneos frecuentes; un firewall activo, evita que desde su propio equipo esté subiendo virus y malware a su servidor. Navegación segura; hay muchos sitios webs que transmiten sus infecciones solo por ingresar allí.
Contraseñas o passwords
Otro tipo de recomendaciones de seguridad tiene que ver con la vulnerabilidad de las contraseñas que normalmente usamos, muy cortas (4 caracteres, cuando lo ideal es más de 6-después del último ataque de fuerza bruta sugiero 20 e inclusive 30-, que incluyan caracteres alfanuméricos, así como mayúsculas y minúsculas) o muy evidentes; pero no hay que olvidar el nombre de usuario.
Sugiero leer este articulo ilustrativos: passwords. Y así suene trillado, que su nombre de usuario no sea admin o 1 por favor, estaría, entregando su sitio en bandeja de plata.Tampoco editor o moderator, por favor.
Contraseñas de baja calidad
Algunas contraseñas de baja calidad (fácilmente burlables) pudieran ser: «1234», «12345678», «password», «jesus,» «ninja,» «mustang,» «password1,» y «bienvenido»; otras terribles serían «abc123», «qwerty»,»dragon», «111111», «iloveyou», «123123», su primer o segundo nombre, su numero de documento de identidad, su año de nacimiento.
Los hackers no se sientan toda la noche a probar manualmente si una funciona y otra no, se automatizan los procesos; como se dice en el medio, no se trata de algo personal, solo son negocios. Usan lo que en principio se conoce como técnica de ataque de diccionario, donde se trata de derrotar un sistema de cifrado o mecanismo de autenticación, intentando descifrar sus contraseñas, como un diccionario, en un orden establecido.
Consejos sobre contraseñas
Cambie sus contraseñas con frecuencia; no las comparta; no las escriba, mejor, use un administrador de contraseñas del tipo Keepass o Lastpass.
Almacene su contraseña de forma segura
Un problema al elegir una contraseña segura es que son difíciles de recordar. Aquí hay varios métodos que puede utilizar para almacenar sus contraseñas y cada una de ellas tiene ventajas y problemas asociados con ellas. Elige cuál funciona para ti y sabe que ninguna de ellas es perfecta:
Use un servicio de billetera de contraseñas como 1password que almacena sus contraseñas encriptadas y usa una contraseña maestra para acceder a ellas.
Estos servicios también pueden ser pirateados, lo que compromete todas sus contraseñas a la vez. La ventaja de usarlos es que nunca tiene que recordar otra contraseña.
Escriba su contraseña abajo. Fácil de hacer, pero si alguien obtiene acceso físico a su oficina, sus contraseñas se verán comprometidas.
Memorice sus contraseñas. Muy seguro, pero si olvida sus contraseñas, tiene mucho trabajo para recuperarlas.
Utilice una fórmula de contraseña. Por ejemplo: tome las letras del nombre de dominio con el que se está iniciando, agréguelas al principio y al final de una contraseña que haya memorizado con alguna fórmula y que tenga una contraseña única para cada sitio en el que inicie sesión con una forma de recordar cada una.
Esto puede ser muy seguro si la fórmula que produce produce contraseñas seguras.
Elija un mecanismo de almacenamiento de contraseñas que funcione para usted y asegúrese de elegir contraseñas seguras para su sitio de WordPress, especialmente para sus cuentas de nivel administrativo de WordPress.
Inicio de sesión
La seguridad de WordPress comienza en el momento en que inicia sesión en su sitio de WordPress para administrarlo. Compruebe el nombre de dominio que está iniciando.
Una táctica común que utilizan los piratas informáticos es que le enviarán un correo electrónico con un enlace para que inicie sesión en un servicio. El servicio puede parecer ser su propio sitio de WordPress, pero en realidad es su sitio web malicioso.
Cuando inicia sesión en lo que parece ser su propio sitio web de WordPress, almacenan su nombre de usuario y contraseña y lo utilizan para piratear su sitio real de WordPress. Esta técnica se llama ‘phishing’.
Una forma de evitar el «phishing» es asegurarse de que cuando inicie sesión en un sitio, verifique el nombre de dominio en la barra de ubicación de su navegador web para asegurarse de que sea su propio sitio web.
Intenta usar solo HTTPS
El uso de una conexión segura es una parte importante de la seguridad de WordPress. Antes de iniciar sesión, compruebe la barra de ubicación de su navegador para asegurarse de que su sitio comience con ‘https: //’ y esté verde (en la mayoría de los navegadores).
También puede tener un icono de candado que indica que es una página segura. El inicio de sesión a través de HTTPS garantiza que su información de inicio de sesión se envíe encriptada a través de la Red y que alguien que la escuche no pueda robar su nombre de usuario y contraseña.
Muchos sitios de WordPress no usan HTTPS y si el suyo es uno de ellos, comuníquese con el administrador de su sitio y pídales que lo actualicen a HTTPS. Esto generalmente implica la compra de un certificado HTTPS de una Autoridad de Certificación . Cuestan desde gratis hasta más de $ 1000 dólares dependiendo del tipo de certificado que compre y de quién lo compre.
No incrustar código no confiable
La incorporación de javascript u otro código en su sitio le da al propietario del código acceso a datos muy confidenciales. Pueden robar sus cookies de visitante, incluidas las cookies de su propio sitio cuando inicia sesión como administrador. Esto le puede dar al propietario del código acceso de nivel de administrador a su sitio web.
Antes de tomar algo de código y agregarlo a una página o publicación para que pueda incluir un widget de video o Javascript, primero considere la fuente. ¿Confías en la empresa que te proporciona el código? Si es YouTube.com o Vimeo, probablemente puedas confiar en ellos. Si es weStealCookies.com o knownBadGuys.com, quizás debería reconsiderarlo. La evaluación cuidadosa del código antes de integrarlo en su sitio es una parte integral de la seguridad de WordPress.
Cuidado con el redactor invitado
Una vez que su sitio comienza a recibir tráfico de los motores de búsqueda, es posible que alguien se ofrezca a hacer una publicación de invitado. Si elige permitirle que publiquen post o artículos, le recomendamos que publiquen la publicación utilizando una plataforma de terceros como Google Docs. Luego, puede copiar y pegar el contenido en una publicación y publicarlo, dando crédito al póster del invitado si lo desea.
Si permite que el póster invitado edite una publicación o página directamente en su sitio, debe otorgarles un mayor nivel de acceso para crear un documento borrador. También debe ver la fuente de la publicación o página haciendo clic en la pestaña «Texto» en la parte superior del artículo para asegurarse de que no incrustó ningún código en la publicación o incluir enlaces a sitios web que tal vez no apruebe.
Asegúrese de analizar cuidadosamente cualquier artículo invitado para los enlaces de spam y el código incrustado.
Permisos administrativos
Fíjese así mismo en los permisos administrativos de su archivos y directorios web, ajustando lo que necesite al respecto.
Copias de seguridad
Haga frecuentes copias de seguridad de su base de datos y de los contenidos de su sitio, no vaya y sea que lo echen abajo y no posea soporte para restaurarlo.
Spam
Filtrado automático
Le sorprenderá saber que consideramos el spam como una función de seguridad de WordPress. Casi inmediatamente después de lanzar su primer sitio de WordPress, notará que aparecen comentarios que son basura, con enlaces a sitios web llenos de basura. Bienvenido a ‘comentar spam’. Para ayudar a filtrar el spam de comentarios, recomendamos dos complementos para WordPress:
- Akismet : este complemento hace un gran trabajo ayudando a filtrar el spam de comentarios automáticamente y reducirá su carga de trabajo.
- Wordfence : Wordfence es un complemento de seguridad de WordPress e incluye algunas características adicionales de filtrado de correo no deseado que marcarán automáticamente el comentario de spam y lo clasificarán en la carpeta de correo no deseado.
Una vez que haya configurado el filtro automático de correo no deseado, desafortunadamente descubrirá que parte del correo no deseado pasa a través de los filtros y usted necesita filtrarlo manualmente.
Desarrollar una política de filtrado de spam manual
Recomendamos seguir estas pautas:
- No permita comentarios que incluyan código incrustado o javascript. Por lo general, esto no está permitido y WordPress lo eliminará, pero a veces aparecen vulnerabilidades que permiten el paso de código como este. Si ve el código, simplemente márquelo como spam a menos que esté ejecutando un sitio web para desarrolladores y desee permitir que sus comentaristas incluyan ejemplos de código.
- Confíe en los comentarios que no incluyen una URL del sitio más que aquellos con una URL. En general, los spammers siempre incluirán la URL de su sitio con el comentario. Los comentaristas reales hacen lo mismo, pero en general, cuando ves un comentario sin URL, significa que quien lo haya publicado no está interesado en la autopromoción y rara vez encontrarás spammers que no estén interesados en eso.
- No permita comentarios en un idioma que no entienda. Por alguna razón, tenemos un problema con los comentarios japoneses que pasan a través de nuestro filtro de correo no deseado. No sabemos lo que dice el comentario, si contiene un discurso políticamente sensible o si contiene contenido para adultos. Filtre estos.
- Considere cuidadosamente un comentario con muchas URLs. Por lo general, estos son típicos de los comentarios de spam y hay algunas razones legítimas para incluir un gran número de URL en un comentario.
Revisar la configuración de comentarios
En WordPress, vaya a «Configuración> Discusión» (Ajustes, comentarios) y encontrará la configuración que rige su política de comentarios. Aquí hay algunas sugerencias útiles:
- Es posible que desee deshabilitar pingbacks y trackbacks. Esta puede ser una fuente común de spam y, a menos que desee que los enlaces se agreguen automáticamente a los sitios que lo enlazan, deshabilite esta función.
- Permitir que las personas publiquen comentarios sobre nuevos artículos. Esto mantiene las cosas animadas.
- Requerir que el autor del comentario complete el nombre y correo electrónico.
- La función para «cerrar comentarios automáticamente» con más de una cantidad de días es excelente para reducir su carga de trabajo de filtrado de correo no deseado. La mayoría de los comentarios en una publicación o página aparecerán dentro de los primeros días y luego se reducirán a nada. Sin embargo, mira cómo se comportan los visitantes de tu sitio. Hemos visto páginas que se han convertido en una especie de «foro» sobre un tema en particular y, si no le importa filtrar los comentarios de spam en publicaciones anteriores, esta puede ser una excelente manera de que su comunidad de usuarios siga aportando contenido valioso a su sitio.
- Es probable que desee recibir un correo electrónico cada vez que se publique un comentario, a menos que el tráfico de comentarios sea muy intenso y se registre diariamente.
- Rechazar un comentario si contiene uno o dos enlaces es una característica útil porque los spammers suelen incluir enlaces en el cuerpo del comentario.
Revise cuidadosamente la configuración de sus comentarios, desarrolle una política que coincida con las necesidades de su sitio web y la comunidad y que ayude a limitar el spam.
Temas, themes o plantillas
Encontrar e instalar temas
Un tema en sus sitios de WordPress crea la apariencia de su sitio. Instala un tema nuevo en el menú Apariencia> Temas.
Evitar temas nulos y maliciosos
Los temas anulados han tenido un gran impacto en la seguridad de WordPress. Al elegir un tema para su sitio de WordPress, evite descargar temas de fuentes no confiables. Desafortunadamente, hay muchos sitios web en la Web que distribuyen temas maliciosos. Estos temas se denominan temas «nulos» y contienen códigos maliciosos preinstalados. Sólo instale temas de fuentes confiables.
La fuente más popular para los temas de WordPress es el repositorio oficial de temas de WordPress que puede encontrar en WordPress.org. Estos son temas aportados por la comunidad. Son de código abierto y generalmente son confiables y libres de infecciones.
Los temas comerciales se pueden encontrar en sitios conocidos como Themeforest.net y ElegantThemes . Cuando use un tema de una fuente que no reconoce, intente buscar en Google el nombre del dominio del sitio entre comillas y puede encontrar informes que indiquen si el sitio es confiable o si participa en una campaña de malware.
Actualizar el tema regularmente
En ocasiones, se puede descubrir una vulnerabilidad de seguridad en el tema de su sitio que permite a los piratas informáticos obtener acceso.
Cualquier creador de temas confiable distribuirá correcciones para vulnerabilidades en forma de nuevos lanzamientos de temas. Asegúrese de actualizar a la versión más reciente de su tema si se publica una después de revisar los cambios. Esto asegurará que cualquier corrección se incorpore a su tema.
Nota: es una práctica común entre los desarrolladores de WordPress personalizar los temas. Si actualiza su tema, puede perder algunos cambios que un desarrollador ha realizado. Si está utilizando un tema que se ha personalizado y nota que se ha lanzado una nueva versión, trabaje con el desarrollador de su sitio para asegurarse de que no pierda ninguna personalización en su sitio cuando realice la actualización. Una opción para preservar sus personalizaciones es usar temas secundarios o hijos .
Plugins
Además de lo anterior, vale la pena implementar el plugin wordpress firewall (que ni es de mi autoría ni se vende-o me dan comisiones por venderlo- ni es de un amigo ni nada por el estilo), una extensión que he descubierto aleja muchas vulnerabilidades y hackers de mi sitio en wordpress; la recomiendo.
Otro plugin estupendo es Better WP Security que reduce ostensiblemente la probabilidad de ser hackeado, incluye opciones de bloqueos para ips y agents users.
Un plugin genial también en este tipo de prevenciones y controles, BulletProof Security, así como Wordfence Security, File Monitor Plus y WP Time Machine.
Encontrar e instalar complementos
Los complementos de WordPress son muy útiles y una de las características más poderosas de WordPress. Hay decenas de miles de complementos de código abierto disponibles en WordPress.org en el repositorio oficial de complementos de WordPress . Puede instalar fácilmente nuevos complementos iniciando sesión en la interfaz administrativa de WordPress, yendo a Complementos> Agregar nuevo y utilizando la función de búsqueda para encontrar complementos que se ajusten a sus necesidades.
Al igual que con los temas, es importante evitar la instalación de complementos «nulos» que son distribuidos por un sitio web malicioso y contienen códigos maliciosos preinstalados.
Los complementos del repositorio oficial de complementos son generalmente seguros de instalar. El equipo de WordPress vigila de cerca el repositorio de complementos para códigos maliciosos. El repositorio de complementos también es visible para la comunidad de WordPress, que informa sobre vulnerabilidades y actividades maliciosas.
Cómo evitar vulnerabilidades en los complementos
Comprender las vulnerabilidades de los complementos es una parte crítica de la seguridad de WordPress porque los complementos vulnerables son la forma más común en que se hackea un sitio de WordPress.
Si bien es un recurso muy poderoso y útil, los complementos son una de las cosas que pueden conducir a serias vulnerabilidades de seguridad en un sitio web de WordPress. Contienen significativamente más código PHP que los temas y el código es más complejo. Esto crea más oportunidades para que las vulnerabilidades se introduzcan en el código.
Es importante tener en cuenta que WordPress no es una plataforma intrínsecamente insegura. Es simplemente una plataforma muy popular y tiene una gran cantidad de complementos disponibles. WordPress tiene más de 40,000 complementos disponibles (con más de 1 billón de descargas), lo que lo convierte en un objetivo atractivo para los hackers. Debido a esto, es importante que siga algunas pautas al elegir, instalar y mantener sus complementos de WordPress.
Recomendaciones
Aquí hay algunos consejos importantes:
- Sólo instale complementos de un sitio de buena reputación. El repositorio oficial de plugins es un gran comienzo.
- Solo instala los plugins que necesite. Cuantos menos complementos tenga disponible, menor será la «superficie de ataque» a la que tienen acceso los piratas informáticos porque tienes menos código para atacar en tu sitio.
- No deje plugins desactivados en su sitio. Borrelos. Los complementos desactivados aún pueden proporcionar una forma para que un pirata informático pueda ingresar porque el código aún puede ser de acceso público.
- Sólo instale complementos bien mantenidos. Si un complemento no se ha actualizado en un año o más, probablemente no se mantenga. Eso significa que si un investigador informa un problema de seguridad (una vulnerabilidad) al desarrollador, es posible que no lo solucione.
- Cuando se lance una nueva versión de un complemento, revise los cambios y actualice a la versión más reciente tan pronto como sea posible, especialmente si incluye una solución de seguridad.
Mantener sus complementos actualizados y seguros es una de las formas más efectivas de garantizar que su sitio web de WordPress se mantenga seguro.
Evitar códigos y widgets peligrosos
En la sección anterior sobre publicaciones y páginas, mencionamos evitar la instalación de código no confiable. WordPress incluye una característica útil que le permite instalar «widgets», que son elementos que aparecen en su barra lateral o pie de página.
Puede acceder a esta función visitando Apariencia> Widgets.
La mayoría de los widgets son útiles y proporcionan características útiles. Algunos sitios y servicios ofrecen código javascript u otro código que puede insertar como un widget en su sitio. Por lo general, agregará un widget de texto e incluirá el código que proporcionan.
Elija con cuidado al insertar el código de otro sitio web o fuente en su sitio. Si instala el código de otra persona, le concede acceso a los datos confidenciales de su sitio, incluidas las cookies de los visitantes de su sitio y sus propias cookies administrativas.
Si el código que está cargando en el widget se carga desde su propio sitio web, entonces tiene la capacidad de mantener ese código. Si el código se carga desde el sitio web de otra persona, pueden cambiar el código cuando lo deseen.
Por ejemplo, digamos que su sitio es example.com. Si carga el código que incluye como un widget desde http://example.com/mycode.js, entonces controla qué código se está cargando en su sitio. La única forma en que el archivo mycode.js puede cambiar es si lo cambia.
Sin embargo, si example.com es propiedad de otra persona y está cargando ese código en su propio sitio, simplemente pueden ingresar y editar mycode.js, cambiarlo para que robe las cookies de su sitio y crear un grave problema de seguridad para usted.
Se puede confiar en algunos códigos javascript que se cargan desde un sitio externo. Google Analytics y Google AdSense son ejemplos de código javascript que se carga desde otro sitio web (los servidores de Google en ambos casos). Por lo tanto, si elige instalar un widget en su sitio que carga código de otro lugar, asegúrese de que sea un sitio web confiable.
Creando nuevos usuarios de forma segura
Por omisión el sistema puede permitir que cualquiera se registre, generalmente con rol de suscriptor, esto aumenta no solo el spam sino las posibilidades de ofrecer fisuras o posibilidades de ataques con más elementos de juicio. Lo mejor desactivar esta opción y solo manualmente crear los nuevos usuarios que deseemos y controlemos (por decirlo de alguna forma).
Pass
Al crear el nuevo usuario, es mejor dejar que el sistema provea la contraseña para garantizar que sea fuerte, difícil de romper.
Buscar vulnerabilidades
Vamos así mismo a buscar vulnerabilidades en la instalación de wordpress y en sus plugins; un buen sitio para enterarse es secunia; el mismo portal oficial de wordpress ayuda en esto.
Leer también: Cómo crear un .htaccess nuevo y porqué hacerlo en wordpress ; Desactivar la firma del servidor, versión de Apache ; Ocultar el número de versión de Php
Ediciones 2013-14-18-20
This post is also available in:
Español
Los comentarios están cerrados.