馃攼C贸mo hacer tu WordPress m谩s seguro en 2021: Checklist de seguridad WordPress

Si has llegado hasta aqu铆 seguramente tengas ya muchos conocimientos sobre WordPress y est茅s buscando un extra para aplicar a tu sitio.

Nosotros llevamos desde 2006 en el mundo WordPress y todos nuestros desarrollos los enfocamos a la seguridad desde el d铆a 1. Este concepto es fundamental para evitar problemas despu茅s.

Ten en cuenta que hay muchas empresas que encargan una web y luego la dejan desatendida. Seguramente te habr谩 pasado que un cliente te llama despu茅s de X a帽os y te dice 芦todo est谩 roto, nada funciona, 隆AYUDA!禄

Cuando algo se rompe, suele ser f谩cil arreglarlo o remplazarlo. Cuando alguien entra en tu servidor, la cosa es mucho m谩s peliaguda.

Figura 1.聽Imagen real de archivos .php ofuscados que no deber铆an estar en una instalaci贸n normal de WordPress

Un concepto muy muy simple:

Cualquier tecnolog铆a que est茅 conectada a internet, est谩 expuesta de una manera u otra a amenazas. Estas amenazas pueden ser explotadas por un delincuente ya sea para obtener beneficios o por los loles.

馃Con esta peque帽a gu铆a, le har谩s la vida imposible a los ataques autom谩ticos m谩s comunes y har谩s que tu web sea m谩s segura y m谩s eficiente.

Checklist de seguridad WordPress

Instala en tu servidor un certificado SSL v谩lido.

Sirve para autenticar la identidad de tu sitio web. Garantizar谩s a tus usuarios que tu sitio es realmente tu sitio, adem谩s de, cifrar la informaci贸n transmitida y que no se transmita la informaci贸n en texto claro.

鈿狅笍Es muy importante que, antes incluso de ponerte a instalar archivos en el servidor, protejas la conexi贸n.

Configura HSTS o Http con聽Seguridad de Transporte Estricta

Activar HTTP Strict Transport Security o HTTP con Seguridad de Transporte eStricta evitar谩聽ataques donde se puedan interceptar comunicaciones, cookies, etc.

Algunos proveedores de hosting incluyen esto como opci贸n en sus paneles.

Solo tienes que a帽adir a tu archivo .htaccess la siguiente linea :

Header set Strict-Transport-Security "max-age=31536000" env=HTTPS

Permisos de carpetas y archivos.

Si los permisos de acceso para archivos y directorios no est谩n correctamente configurados, es posible que los delincuentes puedan acceder a estos archivos y usarlos para poner en riesgo la seguridad de tu sitio web.

Debes comprobar que se establecen los permisos para el archivo wp-config a 600, para los dem谩s archivos a 644 y para los directorios a 755.

鈿狅笍Muy importante, aseg煤rate que la navegaci贸n e indexaci贸n de directorios est茅 deshabilitada.

Figura 2.聽Indice expuesto en una instalaci贸n de pruebas de WordPress.

Cambiar ruta a wp-login.

Esta medida est谩 a debate debido a que se considera seguridad por oscuridad.

Si solo tienes un usuario administrador y un editor no tendr谩s problemas en cambiar la ruta. Si por el contrario tu sitio maneja miembros, est谩 completamente desaconsejado.

Un argumento a favor ser谩 que bloquear谩s un alto porcentaje de intentos autom谩ticos de conexi贸n a tu sitio web.

Como argumento en contra es que el que quiera ir a por t铆, al final pondr谩 toda su inteligencia para ese cometido.

Desactivar ejecuci贸n de archivos PHP en determinados directorios.

Los directorios wp-includes,聽wp-content/uploads o las caches podr铆an ser susceptibles que alguien suba o incluya puertas traseras. Si estas llegan a ejecutarse, podr铆an vulnerar la seguridad de tu web.

Esta medida de seguridad聽es completamente recomendable a nivel servidor para impedir la ejecuci贸n en el caso de un acceso indebido.

Usa los plugins estrictamente necesarios.

Ni m谩s ni menos. Usa los plugins necesarios y solo los necesarios en tus desarrollos. Cuantos m谩s tengas, m谩s pendiente tendr谩s que estas de los CVE que puedan generar (entre otros factores).

Nunca nunca nunca bajo ning煤n concepto uses temas o plugins piratas.

El software pirata puede contener c贸digo maliciosos que puede ser un autentico dolor de cabeza para un proyecto.

En serio, no lo hagas. Si necesitas un plugin o tema, p谩galo.

Siempre instala las versiones oficiales de wordpress o las que se facilitan desde los proveedores de hosting.

Mant茅n tus instalaciones actualizadas, tanto el core como plugins y temas.

Deshabilita XML-RPC, pingbacks y trackbacks en WordPress.

Hazlo de la siguiente manera, si usas Jetpack, autentica tu usuario y justo despu茅s que todo est茅 funcionando, borra el archivo xmlrpc.php de la ra铆z de WordPress. No tengas miedo.

El problema de xml-rcp es que puede ser usado para amplificar los ataques de fuerza bruta con un menor n煤mero de peticiones con聽system.multicall. Por ello, si no usas autenticaci贸n a trav茅s de XML-RCP, deshabilita o borra el archivo.

Usa nombres de usuario y contrase帽as complejas.

En WordPress es muy sencillo conocer el nombre de usuario por enumeraci贸n. Para dificultar este proceso, primeramente,聽deshabilitaremos que de forma autom谩tica se pueda enumerar a los usuarios.

El segundo paso ser铆a tener un usuario admin y otro editor. A ambos usuarios les aplicamos lo siguiente:

Hacemos que el nombre de usuario y el nicename en la base de datos sean completamente diferentes. De esta manera, si un pirata consigue enumerar los usuarios, ver谩 que el nombre de usuario es el nicename, pero con el nicename聽por defecto WordPress no te deja iniciar sesi贸n. Haz la prueba.

Figura 3. Captura de phpmyadmin con el campo del user_nicename

Si tu username es ladiesman217bumblebeeoptimusprime聽y tu nicename es admin, el pirata pensar谩, 芦voy a hacer un ataque de fuerza bruta a admin禄, pero en mi WAF, en la lista de palabras prohibidas para iniciar sesi贸n pondremos 芦admin禄 . Bloqueado al primer intento. Es un truco simple pero funciona de maravilla.

Sobre las contrase帽as, siempre usa una frase larga que seas capaz de recordar con una combinaci贸n de n煤meros o caracteres, en vez de n煤meros aleatorios o letras sin sentido.

鉁匛steEsMiSe帽oraContrase帽aYLaVoyAUsarEnEstaWeb#4

鉂孮kFTRTY0IFBBUkVDRSBCVUFZIFBFUk8gTk8gTE8gRVM=

驴Cu谩l de las dos te parece mejor?

Usa 2FA siempre.

Activa el 2FA o Segundo Factor de Autentificaci贸n. Esto sirve para, en el hipot茅tico caso que alguien adivine la contrase帽a, tendr谩 una barrera m谩s para que no accedan a tu panel de WordPress.

Gestor de contrase帽as vs introducir contrase帽as a mano.

Usa siempre un gestor de contrase帽as tipo llavero de iCloud, 1 password o keepass. Esto lo hacemos porque si somos v铆ctimas de phishing, el sistema no identificar谩 la p谩gina y no nos dejar谩 meter la contrase帽a.

Si en tu gestor de contrase帽as tienes dado de alta credenciales en 芦google.com禄 y el pirata te env铆a la url para que piques con 芦google.admin.restore-mypassword.pharmacy.xyz芦. El llavero no te ofrecer谩 poner la contrase帽a. Si no te lo hace, es que la web no es quien dice ser. F谩cil y simple.

鈿狅笍OJO! Si la web a la que est谩n intentando que accedamos para robarnos las credenciales es vulnerable a XSS (Cross Site Scripting), seguramente la web y la url sean reales y lo que est谩 haciendo el pirata es inyectar su c贸digo en la URL que te env铆a. Por eso es muy importante no pinchar nunca enlaces desde correos sospechosos.

Usa un WAF, s铆 o s铆.

Usar un Web Application Firewall o WAF es una obligaci贸n hoy en d铆a.

Ya sea WordFence, 聽iThemes Security Pro o cualquiera que te permita configurar reglas, bloquear tr谩fico de ciertos pa铆ses, monitorizar conexiones, supervisar inicios de sesi贸n o que te env铆e notificaciones cada vez que alguien entre en la web.

驴Por qu茅 es tan importante esto?聽Por el punto que te explic谩bamos ah铆 arriba 芦Cualquier tecnolog铆a que est茅 conectada a internet…禄

Imagina por un instante poder bloquear el tr谩fico de… digamos por ejemplo… 隆RUSIA! 馃嚪馃嚭. 聽Hemos quitado el 70% de los ataques autom谩ticos que recibir谩s al mes. 隆Se dice pronto!

Haz respaldos de tu web y tu base de datos

Usar backups es una prioridad en caso de desastres. Los proveedores de hosting suelen tener m煤ltiples opciones. Nuestra recomendaci贸n es:

Un respaldo al d铆a, uno semanal y uno mensual. Si tienes聽opci贸n, guarda los respaldos fuera de tu instalaci贸n.

鈿狅笍Importante. Cuidado con las rutas de los respaldos. Muchos novatos han cometido el error de guardar los backups en un directorio con los permisos mal configurados. Usando una consulta de google se ha podido acceder a esos archivos comprimidos.

Figura 4.聽Imagen real de archivos comprimidos en directorio mal configurado. Los delincuentes accedieron a los respaldos y obtuvieron el 芦Golden Ticket de Willy聽Wonka禄.

Esto ha generado que se tuviera acceso directo a la base de datos, contrase帽a de la misma y las Authentication Unique Keys and Salts. 鉀旓笍隆Danger Danger!鉀旓笍

Conclusiones

  • Te hemos presentado algunos de los puntos clave para mantener tu WordPress seguro en 2021.
  • Los ataques han evolucionado mucho y algunas de las viejas t茅cnicas para frenarlos se han quedado obsoletas.
  • Muchos de estos trucos son conocidos por todos, pero otros, los hemos aprendido a lo largo de nuestra experiencia y esperamos que te sean de utilidad.
  • La mayor铆a de los ataques se producen desde sistemas autom谩ticos y cuando no encuentran lo que buscan o se les bloquea un numero determinado de veces, se cansan y se van.

Si te pierdes o necesitas ayuda para tu actividad profesional, no dudes en contactarnos. Te ayudaremos encantados.

馃挕Recuerda, 芦Todo son risas y unicornios hasta que tu base de datos aparece en la deepwebllapop禄. 隆Prot茅gete!

驴Conoces alguna t茅cnica diferente? 驴Utilizas alg煤n plugin o servicio que aporte algo mejor?

Si te ha gustado est谩 publicaci贸n, no te olvides de compartirla en tus redes. Si no te ha gustado, puedes poner una reclamaci贸n aqu铆.

Archivado en:

Deja una respuesta

Tu direcci贸n de correo electr贸nico no ser谩 publicada. Los campos obligatorios est谩n marcados con *

Rellena este campo
Rellena este campo
Por favor, introduce una direcci贸n de correo electr贸nico v谩lida.
Tienes que aprobar los t茅rminos para continuar

Contenido similar que podr铆a interesarte: