Hoy les traigo un post de invitado de un tema que muchas veces no tenemos en cuenta, hasta que nos vemos obligados por circunstancias mayores: la seguridad de nuestro sitio web y específicamente la de nuestra web montada en wordpress.
Este post viene de la mano de mi socio y amigo de la red David Álvarez quien durante años ha fungido como sysadmin en cada uno de los proyectos en el que hemos trabajado juntos y por ende, es quien se ha encargado de los temas de seguridad y hasta la fecha no hemos tenido ningún percance aún cuando hemos logrado llamar la atención de más de un listillo que de uno u otro modo ha intentado (sin lograrlo) acceder a nuestros servidores por lo que considero la persona idónea para hablar sobre el tema.
Sin más, te dejo con él…
——
Yo y Eudis nos conocemos de hace muchos años. Hemos sido socios en varios proyectos, entre los cuales todavía mantenemos uno. El otro día, mientras revisaba el proyecto, él mismo se dio cuenta de un error grave de seguridad de nuestro sitio que permitía a cualquier usuario visualizar la estructura de archivos de la página.
El error era un simple problema de permisos, pero nos hizo darnos cuenta de lo fácil que es cometer estos errores en nuestros sitios WordPress. Por eso, se nos ocurrió hacer este post para que los lectores de EudisRivas.com no cometáis los mismos errores.
Consejos de seguridad para WordPress
Como he comentado anteriormente, muchas de las cosas son elementales pero muchas veces las pasamos por alto o les restamos la importancia que tienen. Es de vital importancia saber cuáles son las posibles consecuencias para así estar más concienciado y evitar sorpresas.
Mantener WordPress actualizado
El primer consejo es el más fácil de aplicar. Un gran porcentaje de las actualizaciones de WordPress son debidas a errores de seguridad que cualquier programador podría explotar. Algunos errores pueden ser insignificantes, pero otros pueden poner en grave peligro la integridad de tu sitio así como la privacidad de tus usuarios.
Mantente siempre actualizado activando las actualizaciones automáticas y tendrás un problema menos del que preocuparte.
Tener cuidado con los plugins (o themes)
Cuando instalamos un plugin, le estamos dando acceso a todos los datos de nuestro sitio web. La mayoría de desarrolladores no tienen intenciones maliciosas, pero siempre hay el elemento que rompe la regla.
Lo mejor para evitarnos problemas con plugins o themes de terceros es mantenerlos siempre actualizados y evitar instalar aquellos obtenidos de fuentes de dudosa reputación. Tener especial cuidado con esos plugins de pago que se ofrecen gratuitamente en webs de descargas ilegales, pues con apenas unas lineas de código malicioso podrían robarte todo el contenido de tu sitio o agregar contenido indeseable en él.
Cambiar el usuario por defecto
Uun ataque de fuerza bruta consiste en probar todas las contraseñas posibles para un cierto nombre de usuario. Si utilizamos el nombre de usuario por defecto, por ejemplo “admin”, le estaremos facilitando la mitad del trabajo a los hackers.
Lo mismo pasa si el usuario administrador de un sitio es el mismo que publica las entradas en el blog. Para ello, lo mejor es utilizar un nombre de usuario secreto para el usuario con permisos administrativos y publicar desde una cuenta con los permisos justos y necesarios.
Evidentemente, la contraseña debe ser segura. En un ataque de fuerza bruta, la diferencia entre adivinar una contraseña de 5 caracteres alfabéticos y una de 6 que mezcla todo tipo de caracteres son años de cómputo.
Limitar el número de intentos de inicio de sesión
Otra manera de complicar infinitamente los ataques de fuerza bruta es limitar el número de intentos fallidos, tal y como hacen las bancos u otras entidades con información delicada.
Existen múltiples plugins para implementar esta funcionalidad, como por ejemplo Login LockDown. Te aconsejo que lo instales ahora mismo y no lo desactives por nada del mundo.
Activar la autenticación en dos pasos:
Plataformas como Google con su app Authenticator nos lo pone muy fácil para hacer prácticamente impenetrable el acceso a nuestro panel de administración.
El funcionamiento es más que conocido: una vez el usuario ha introducido su contraseña, debe a la vez introducir un código que aparece en su teléfono móvil. Posiblemente este es el consejo definitivo, por lo que te aconsejo que lo implementes si no te importa pasar por el proceso cada vez que inicies sesión.
Puedes utilizar el plugin Google Authenticator para habilitarlo en tu sitio web de manera totalmente gratuita.
Visualiza los logs periódicamente:
Uno de los ataques más comunes de Internet es el de negación de servicio distribuido, más conocido como DDoS. El procedimiento detrás de este nombre tan complejo es muy simple: alguien hace muchas solicitudes a nuestro servidor en un periodo pequeño de tiempo, hasta que se satura y quiebra.
Este tipo de ataques es el más común de todos, y todos los sitios con un mínimo de popularidad los reciben a menudo. Muchas veces el propio servicio de hosting es el encargado de mitigarlo, pero en otras ocasiones seremos nosotros los responsables.
Si los ataques vienen de un solo atacante, bastará con prohibir la IP de éste. Si el ataque es más complejo, deberemos utilizar firewalls más avanzados. Revisar los logs nos ayudará a ser consciente de lo que sucede en nuestro sitio.
Desactiva el reporte de errores de PHP:
Muchas veces, un programador mientras crea un theme o plugin activa el reporte de errores nativo de PHP. Esto es muy útil mientras se desarrolla, pero muy peligroso cuando se utiliza en un entorno de producción.
Si tu sitio muestra páginas con errores que no comprendes, ponte en contacto inmediatamente con tu programador para que desactive el reporte de errores y hazle prometer que nunca más volverá a pasar.
Mantén los permisos adecuados:
Una de las técnicas más utilizadas por los “programadores” para evitarse problemas con los permisos es poniéndolos todos a 777 (permiso de lectura, escritura y ejecución para todo el mundo). Yo mismo he utilizado esa técnica cuando tengo un problema con un sitio web que no funciona y necesito ponerlo en línea lo más rápidamente posible.
Como solución temporal puede servir, pero debemos corregirlo lo antes posible. Desde WordPress nos recomiendan utilizar 755 o 750 en directorios y 640 o 644 en archivos. El archivo wp-config.php debería ser el más restrictivo, con permiso 400.
Cabe mencionar que los permisos anteriores únicamente funcionarán correctamente si el propietario de los archivos es el propio usuario con el que se ejecuta Apache. Esto ya son conceptos más técnicos, por lo que deberías consultar con tu asesor técnico en caso de no saber hacerlo tu mismo.
Cuidado con el hacking social:
Ya saliendo de WordPress, en los últimos años la técnica de hacking que más ha crecido ha sido precisamente la del hacking social. El nombre es bastante ambiguo, pero consiste en utilizar el desconocimiento técnico y los despistes para robarte tus propias contraseñas.
Un ejemplo muy típico de este tipo de ataque sería recibir un email diciendo que ha sucedido algo en tu sitio web junto a un enlace para entrar al panel de administración y arreglarlo. El enlace, aunque bien camuflado, es en realidad hacia una página web con el mismo diseño que el tuyo pero propiedad del hacker que te robará tus datos de acceso.
Si quieres saber más sobre este tipos de ataques, te recomiendo que mires el post que he escrito en mi blog personal donde lo explico con detalle.
Realiza copias de seguridad periódicas de tu sitio:
Posiblemente esto ya lo estés haciendo, y en caso contrario estás jugando con fuego. En nuestro caso, Eudis y yo utilizamos UpdraftPlus, un plugin de uso gratuito que cumple con la función a la perfección.
El plugin tiene además la opción de subir los respaldos a otros servicios de alojamiento, como Google Drive o Dropbox. Una opción que debemos utilizar si queremos incrementar todavía más la seguridad de nuestro sitio.
Sea como sea, WordPress es posiblemente una de las plataformas más seguras del mundo y muy difícil de hackear. Los consejos anteriores te ayudarán a hacer más seguro lo que ya de por si es prácticamente infranqueable.