SEGURIDAD
WORDPRESS
SEGURIDAD
WORDPRESS
INTRODUCCIÓ
INTRODUCCIÓN
U S O W O R D P R E S S
WordPress es, de lejos, el CMS más usado a nivel mundial. El 53%* de las webs mundiales están programadas sobre WordPress. A nivel nacional, esta estadística aumenta hasta el 65%* de las webs españolas.
Unas estadísticas de uso tan altas lo convier-ten en un blanco perfecto de ataques, ya que
a
encontrada una vulnerabilidad, existe un alto número de webs sobre las que explo-tarla.
* Estadísticas obtenidas del portal builtwith.com
SE G U R I D A D W O R D P R E SS ¿ Q U É V A M O S A V E R ?
Casi 20 millones de sitios web utilizan
WordPress como gestor de contenido. No se tienen en cuenta las webs de wordpress.com
N I V E L M U N D I A L
53%
El 41% de las webs españolas están
desarrolladas con la última versión de WordPress. N I V E L N A C I O N A L
65%
USO
GLOBAL
W O R D P R E S SINTRODUCCIÓ
INTRODUCCIÓN
E N T O R N O S E G U R O
Partimos de la premisa de que, como afirma Panda Security, “No existe la seguridad plena en ningún ambito de la vida, y tampoco en internet”,
¿Quiere decir esto que cualquier protección que tomemos será ineficiente? No, quiere de-cir que cualquier medida de seguridad tarde
d
o temprano quedará obsoleta y deberemos actualizar la política de seguridad para hacer frente a las nuevas amenazas.
Teniendo presente esta premisa, debemos ser conscientes de la importancia de tener cualquier software o sistema informático ac-tualizado. SE G U R I D A D W O R D P R E SS ¿ Q U É V A M O S A V E R ?
ALERTA
O B J E T I V O # 2
Capacidad de reacción frente cualquier ataque, detectarlo y subsanarlo en el menor
tiempo posible.
DEFENSA
O B J E T I V O # 1
Crear un entorno seguro y con las menos fisuras posibles. Estar preparadas/os para
PROVEEDOR
PROVEEDOR
S E R V I C I O C O N
G A R A N T Í A S
El primer paso en conseguir un entorno se-guro es la elección del servidor donde aloja-remos nuestro WordPress.
Debemos escoger un proveedor de confian-za, que nos garantice fiabilidad y estabilidad en el sistema.
Desconfiar de proveedores económicos y que desconocemos. S E R V I D O R SE G U R I D A D W O R D P R E SS
SERVIDOR WEB
SERVIDOR WEB
S S L
Tener un certificado SSL instalado en nuestro servidor web cifrará las conexiones y creará un entorno seguro que aportará confianza al visitante.
Además, si nuestra web no cuenta con un certificado SSL, Google la penalizará.
A día de hoy, muchos proveedores ofrecen certificados SSL gratuitos como Let’s Encrypt.
. H T A C C E S S
Podemos aumentar la seguridad protegiendo los ficheros más sensibles e importantes de nuestra instalación WordPress.
<files .htaccess> order allow,deny deny from all
</files> SE G U R I D A D W O R D P R E SS S E R V I D O R <files wp-config.php> order allow,deny
deny from all </files>
INSTALACIÓN
INSTALACIÓN
N O M B R E S D E U S U A R I O
Y C O N T R A S E Ñ A S
A la hora de elegir un nombre de usuario y una contraseña (tanto para WordPress como para la base de datos) debemos elegir una cadena de texto segura. Es decir:
Larga y compleja (minúsculas, mayúsculas, dígitos y símbolos).
Esto nos permite tener una instalación más segura frente a ataques de fuerza bruta.
B A S E D E D A T O S
El prefijo de la base de datos es recomenda-ble que sea distinto al que viene por defecto. Una medida de seguridad extra es cambiar el “nicename” de los usuarios en la base de datos. SE G U R I D A D W O R D P R E SS W O R D P R E S S
INSTALACIÓN
INSTALACIÓN
E L I M I N A R A R C H I V O S
I N N E C E S A R I O S
Realizada la instalación de WordPress, se generan varios archivos que es recomendable eliminar:
• readme.html Este archivo, al que se puede acceder públicamen-te, contiene información sobre la versión de WordPress utilizada, con lo que estamos dando información sobre vulnerabilidades existentes.
• wp-config-sample.php A pesar de que en principio no entraña ningún peligro, este archivo no tiene ninguna función más alla de la instalación de WordPress. W O R D P R E S S SE G U R I D A D W O R D P R E SS
PLUGINS
PLUGINS
C O N C E P T O S
G E N E R A L E S
A la hora de instalar un plugin, debemos re-alizar la instalación desde el respositorio de WordPress para asegurarnos que:
• Es de un desarrollador de confianza.
• El plugin no se ha modificado.
Si instalamos plugins de terceros fuera del re-positorio, debemos estar seguros de que son seguros y no afectarán a nuestra instalación.
P L U G I N S D E
S E G U R I D A D
En el repositorio de WordPress contamos con distintas soluciones de seguridad, muchas gratuitas, que nos permitirán monitorizar la actividad y nos alertarán de amenazas:
• Wordfence
• All in One WP Security & Firewall
• iThemes Security • Centrora Security SE G U R I D A D W O R D P R E SS W O R D P R E S S
WORDFENCE
WORDFENCE
S E G U R I D A D Y
C O R T A F U E G O S
Uno de los mejores plugins de seguridad es Wordfence. Dispone de opciones como bloquear el acceso a países enteros, bloquear a determinados nombres de usuarios o aler-tar de fallos de seguridad.
Instalar y activar es suficiente para que co-mience a monitorizar en tiempo real la activi-dad que tiene lugar en nuestro sitio web.
W O R D P R E S S SE G U R I D A D W O R D P R E SS
PLUGINS
PLUGINS
A U M E N T A R L A
S E G U R I D A D
Aparte de los plugins mencionados que pro-tegen frente a ataques y permiten llevar un seguimiento de la actividad en la web, en el repositorio de WordPress contamos con una serie de plugins que aumentan la seguridad.
S E G U R I D A D E N E L
I N I C I O D E S E S I Ó N
Estos plugins presentan distintas soluciones que crean una capa de seguridad extra a la hora de iniciar sesión:
• Captcha
• Verificación en dos pasos
SE G U R I D A D W O R D P R E SS W O R D P R E S S
PLUGINS
PLUGINS
V E R I F I C A C I Ó N E N D O S
P A S O S
Una de las medidas de seguridad más poten-tes a día de hoy es la verificación en dos pasos. Consiste en la solicitud a la/el usuaria/o un código temporal de vida muy corta que se genera normalmente en una aplicación instalada en un dispositivo de confianza pre-viamente configurado.
Es el caso de Google Authenticator.
W O R D P R E S S SE G U R I D A D W O R D P R E SS
COMENTARIOS
COMENTARIOS
P U E R T A D E E N T R A D A
El formulario de comentarios de WordPress es una puerta de entrada de código malicio-so y de SPAM. Debemos tener una correcta configuración de los mismos y desconfiar de códigos o enlaces sospechosos que entren por esta vía para evitar ataques indeseados.
Una buena configuración podría ser que los comentarios se deben aprobar previamente a menos que el autor tenga ya algún comen-tario aprobado anteriormente.
Por supuesto, no pulsar sobre ningún enlace sospechoso. SE G U R I D A D W O R D P R E SS W O R D P R E S S
USUARIOS
USUARIOS
R E G I S T R O
Si nuestro sitio web tiene habilitado el regis-tro de usuarios, debemos asegurarnos que el rol por defecto a la hora de registrarse no le permite acceder al panel de WordPress y que sus habilidades están acotadas.
? A U T H O R = 0
Una de las variables que maneja WordPress es la variable author en la url. Si añadimos “?author=0” a la url, nos llevará a la página del usuario que ejecutó la instalación, y por tan-to, administrador. Debemos limitar la infor-mación que se da en esta página, cambiar el nicename o eliminar el usuario inicial.
SE G U R I D A D W O R D P R E SS W O R D P R E S S
BACKUPS
BACKUPS
C O P I A S D E S E G U R I D A D
P E R I Ó D I C A S
Una medida de seguridad pasiva consiste en realizar copias de seguridad de manera periódica. Si sufrimos un ataque o perdemos información y contamos con una copia de seguridad reciente con la que realizar una restauración, el daño será menor. W O R D P R E S S SE G U R I D A D W O R D P R E SS
WEB ATACADA
WEB ATACADA
Q U É H A C E R
Si llegamos a la indeseable situación de que nuestra web ha sido atacada, debemos man-tener la calma y seguir una serie de pasos para revertir la situación
SE G U R I D A D W O R D P R E SS Y S I . . .
C A M B I A R
C O N T R A S E Ñ A S
El primer paso es cambiar las contrasñeas de WordPress, base de datos y del servidor, así como verificar que la información de los usu-arios es la correcta. SE G U R I D A D W O R D P R E SS
E V A L U A R L O S D A Ñ O S
A continuación debemos evaluar los daños e intentar averiguar qué sucede. Muchas veces se inyecta un código javascript que crea una redirección y con eliminar la línea de código que genera la redirección es suficiente.
R E S T A U R A R C O P I A D E
S E G U R I D A D
Si la web se ha visto comprometida seria-mente, se ha perdido contenido o no pode-mos determinar el alcance del ataque y dis-ponemos de una copia de seguridad re-ciente, debemos proceder a restaurarla.
En caso de que no tengamos copia de se-guridad, debemos contactar con el provee-dor donde se aloja la web y preguntar si dis-ponen de una copia de seguridad para reali-zar una restauración.
R E V I S A R L A P O L Í T I C A
D E S E G U R I D A D
Una vez restaurada la web, debemos revisar y actualizar la política de seguridad. Esto impli-ca actualizar el motor de WordPress, temas y plugin, revisar los archivos principales para comprobar que no tienen código malicioso (.htaccess y wp-config.php) y adoptar medi-das de seguridad extra que impidan que la situación se pueda volver a repetir.
SE G U R I D A D W O R D P R E SS
