Ir al contenido principal

Guía de Seguridad en WordPress (II)


Este artículo es el segundo de una serie que será publicada aquí, en WWWhatsnew.com, por el Equipo de The Shock family: iconshock, wpthemegenerator y jqueryslidershock, responsables también por bypeople.com.
Podéis leer el primero de la serie aquí.
wordpress
Éstas son algunas medidas básicas de seguridad que se aplicar directamente en WordPress para reforzar la seguridad del sitio:

El truco del directorio

La primera medida de seguridad puede ser implementada al momento de instalar WordPress, para crear una instalación en la cual los archivos estén un poco más seguros la instalación puede ser hecha en una subcarpeta con un nombre bastante particular; esta subcarpeta no será vista en la barra de navegación, por lo que contarás con un poco mas de seguridad; el archivo index debe ser movido a la raiz del sitio, y el acceso al sitio sera: www.tudominio.com/tudirectorio/wp-admin ; la configuración de la dirección se hace desde la opción de ajustes generales, donde se debe poner como la dirección de WordPress (URL) la dirección de la carpeta donde se ha instalado WordPress y en la dirección del sitio, aquélla donde fue puesto el archivo index. A esto se le conoce como el truco del directorio.

Actualiza tu versión de WordPress


Puede ser un poco difícil decidirse a actualizar a la última versión de WordPress porque tenemos miedo de perder algo de información, los plugins, así como los temas, pueden dejar de funcionar, entre otras cosas; aunque es cierto que las cosas pueden salir mal, nunca podrá aquello ser tan malo como quedarse con una copia vulnerable del software, pues con cada nueva versión siempre vienen actualizaciones importantes si no críticas en seguridad.
ACTUALIZA TU WORDPRESS SIEMPRE QUE PUEDAS
Los videos en YouTube que enseñan cómo actualizar a la última versión de WordPress son muy útiles, sin embargo la actualización manual sólo comprende 3 pasos bastante simples:
- Hacer un backup de la base de datos y archivos, hay muchos plugins que te pueden ayudar.
- Descargar y descomprimir la última versión de WordPress en el disco duro.
- Reemplazar todos los archivos, excepto aquellos en la carpeta de temas, ya que ahí se encuentra la personalización hecha a la instalación.
Cada vez que una actualización de wordpress es lanzada, los fallos de las versiones previas se vuelven información pública. WordPress puede tener vulnerabilidades como resultado de cómo está escrito el código que pueden permitir a un atacante omitir ciertos parámetros HTTPS, URI, o forms, logrando así irrumpir en el sitio. Revisa el sitio periódicamente para asegurar que todo luce como debería. Actualiza tus plugins y temas si es posible. Incluso si la instalación esta en modo piloto automático y además revisa los comentarios de seguridad sobre los plugins que tienes instalados.

No muestres tu versión de WordPress

La versión de WordPress que estés usando no debería ser visible por la mismas razones que se explicaron anteriormente; mostrar la versión específica de wordpress que estés usando puede darle al atacante una mano para encontrar la forma de irrumpir.

Algunos consejos de los expertos

A través de toda la red y en sitios de discusión como reddit, donde encontramos esta conversación, hay administradores discutiendo acerca del preocupante aumento de ataques a sitios pequeños viniendo de proxies de todas partes del mundo, incluso a sitios creados con la intención de permanecer ocultos.
Es un conversación digna de ser revisada en su totalidad; hemos recopilado algunos de los consejos más valioso, la mayoría pueden explicarse por sí mismos si se tiene conocimiento sobre WordPress, aunque si no es así entraremos en detalles técnicos para explicarlos más adelante.
- No usar plugins para asegurar WordPress a menos que sepas lo que hacen. La mayoría de plugins son editores del .htaccess y si no sabes lo que estás haciendo, mejor evítalo o consúltalo y entiéndelo muy bien.
- Proteger con contraseña el directorio wp-admin con .htaccess; si se corre un buen firewall, 5 intentos deberían bastar para bloquear la dirección IP del atacante.
- Generar claves con SAL para hacer las cosas más difíciles al atacante (En criptografía, SAL comprende bits aleatorios que son usados como una de las entradas en una función derivada de claves.)
- Reforzar claves con más de 20 caracteres para el administrador y todos los usuarios sin excusas.
- Remover plugins inútiles; si no se necesitan y no hacen más que reforzar malos hábitos, debe hacerse regularmente una revisión de plugins..
- Prohibir instalación de temas y plugins usando (‘DISALLOW_FILE_MODS’,true)
- Los permisos en el archivo wp-config.php deberían ser 0644 o para los paranoicos: 0444.
- Conseguir un .htaccess a prueba de balas. (El de HTML5 boilerplate funciona bastante bien.) Revisar los permisos de dicho archivo para que sean 0644 o 0444
- Instalar ConfigServer exploit Scanner, en general todos los productos de ConfigServer son excelentes y muy recomendados.
- Las brechas en la seguridad de WordPress casi siempre ocurren por culpa de plugins; especialmente SEO, plugins Sociales, y de cache porque necesitan permisos de escritura en el servidor; por eso debe revisarse bien el origen de estos.

Texto escrito en wwwhatsnew.com

Patrocinan WWWhatsnew: Vuelos Baratos
Hospedado en RedCoruna



Comentarios

Publicar un comentario

Entradas populares de este blog

Hoy domingo se realizará el velorio: ¡Hasta pronto Lila!

El viernes 20 de julio dejo de existir la bella actriz Lila Pereira. Sus restos están siendo velados en el Cementerio del Este, La Guairita. Y mañana domingo será su sepelio a las 2.00 de la tarde. ¡Descansa en paz Lila! Hermosa, sensual, carismática y muy auténtica. Así era Lila Pereira. Conocida por el público por sus actuaciones en los programas humorísticos de Venevisiòn  “Cheverísimo” y “Cásate y Veras y por su participaciones en obras de teatro. Su figura fue ampliamente promocionada en los medios impresos. Portadas de revista, editoriales y por supuesto desnudos artísticos, donde siempre se mostró cuidadosamente seductora, sin caer en lo vulgar, fueron parte de la trayectoria de esta sexy bomba venezolana, que el Lupus nos arrebató. Sufrió mucho y vivió poco, pero a quienes tuvimos la dicha de conocerla, nos deja un bonito recuerdo. Sincera, amiga incondicional, entregada a su legión de fanáticos, siempre dispuesta y con ganas de trascender en el medio artístico y cu...
Publicar un comentario
Leer más

Notes Board, un tablón para notas virtuales en Chrome

Hoy en día tenemos a nuestra disposición múltiples herramientas y recursos con los que podemos mantener un poco de orden en nuestro día a día : anotar las tareas que tenemos que acometer, tomar notas, sincronizar nuestros contactos, nuestros calendarios, etc. Gracias a la nube podemos mantener toda esta información sincronizada y accesible desde múltiples dispositivos, pudiendo recurrir a ella desde cualquier lugar o equipo. Una de las aplicaciones con bastantes posibilidades de personalización y que, además, hacen uso de la nube para hacer que nuestra información esté siempre disponible es Google Chrome , el navegador de Google, puesto que podemos sincronizar marcadores, contraseñas, aplicaciones y extensiones. Para Google Chrome podemos encontrar un buen número de extensiones y aplicaciones para casi cualquier tipo de necesidad y, dentro de la productividad personal, Notes Board puede ser una extensión a tener en cuenta porque dota a nuestro navegador de un tablón virtual de notas...
Publicar un comentario
Leer más

Vialogues – estableciendo discusiones en los propios vídeos

Vialogues es un recurso que nos permite establecer discusiones que giren alrededor de los vídeos que hayamos elegido, pudiendo incorporar encuestas y comentarios a lo largo de la duración de los mismos. Para ello, los usuarios podemos subir vídeos de hasta 1GB de tamaño, aceptando los formatos más comunes, o bien indicar la URL de los vídeos de YouTube sobre los cuales queremos discutir. Carece, eso sí, de un buscador de vídeos de YouTube integrado. Hay que señalar que para que podamos incorporar encuestas, ya sean éstas de únicas o múltiples opciones seleccionables, deberemos ser moderadores de dichos vídeos. En cualquier caso, seamos moderadores o no, podemos dejar nuestros comentarios en cualquier punto de la duración de los mismos. Los vialogues que podemos crear pueden ser de acceso público, donde puede participar cualquier usuario, e incluso nos permite incrustarlos en nuestros sitios web, o bien privado, donde seleccionaremos aquellos usuarios que queramos que participen. Los...
Publicar un comentario
Leer más