Algo de seguridad en WordPress, que a lo mejor no sabías


Son detalles básicos que todo usuario debe de saber sobre WordPress. Personalmente, me gustaría hablar más sobre otros temas interesantes como proteger tu WordPress y además, quitar ese bulo de tu mente de que WordPress no es seguro.

Tenemos que empezar a pensar que nada es seguro. Un símil que utilizo mucho en la comunidad es comparar la seguridad con un barco.

Acabas de adquirir un barco. Da igual qué tipo de embarcación, da lo mismo si tiene motor, es velero, hay que utilizar remos… no deja de ser un barco.

Pero, los barcos, por muy bien que vaya, se puede hundir, colisionar, tener varios problemas a bordo, incluso perderse en alta mar.

Con tu proyecto web podría ocurrir lo mismo. Puedes estar posicionando bien, por tus productos, servicios o contenido, pero poner fácil al ciberdelincuente el atacar tu web.

Consejos básicos de seguridad en WordPress

Sí, vamos a ver unos consejos muy básicos sobre la seguridad en tu WordPress, aunque debes de mentalizarte que vayas lo que vayas añadiendo o configurando, es para alargar más en el tiempo el que puedan hackear tu web.

El ciberdelincuente puede aburrirse y buscar objetivos sin motivo alguno. Quiero decir, a lo mejor hace una búsqueda exhaustiva de una vulnerabilidad y ha encontrado tu web.

Comenzará a la exploración, marcará una estrategia de ataque (muchos no lo hacen, créeme) y lo añadirá en su portfo… lista de webs hackeadas. Sí, hay listas de webs que son hackeadas y el grupo o ciberdelincuente, entra en una especie de clasificación.

Luego está el ciberdelincuente que sí te tiene como objetivo. Por el motivo que sea, quiere destruir todo lo que es tu marca, tu nombre, ese producto o servicio que no le gusta. 

Estos no se aburren jamás, se toman molestias e incluso son más precavidos, y a la hora de atacar… lo pueden hacer en silencio. Utilizan ya «brújula» y con una recopilación minuciosa de tus datos.

Bien, ya tenemos claro que es un ciberdelincuente y a modo de introducción, para este artículo, sabemos ya muchos detalles interesantes. La ciberseguridad es un mundo enorme que fluctúa todos los días y a cualquier hora.

Así que te doy unos pequeños consejos para que puedas ponerlos en práctica y así, defender tu WordPress.

  1. No todo es culpa de WordPress. Piensa que es un CMS, pero que lo vitaminamos con plugins, plantillas, dominios, hostings, etc.
    ¿A dónde quiero llegar con esto? Pues debes realizar un estudio previo de todos los recursos y herramientas que vas a utilizar.
    Imagina las capas de una cebolla, cada capa puede ser el dominio, otra el hosting, muchas capas por cada plugin y plantilla activado/desactivado en nuestro WordPress.
    Puedes aprovechar los siguientes trucos para hacer ese documento, pero por favor, no pongas datos confidenciales en NINGÚN documento.
  2. La base de datos, si es posible, la creas con un prefijo que no sea por defecto.
    Normalmente, el prefijo es wp_ y es un problema que añadimos al proyecto y facilitamos al ciberdelincuente.
  3. El usuario, que sea complicado, porque «Alberto1234» o «NOMBRE_PROYECTO» creo que le dirá al ciberdelincuente más de lo que piensas.
    Quita, elimina, liquida, no lo sé, PERO HAZLO, el usuario de admin.
    Tocará hacer una búsqueda de nombres para usuarios sin un patrón determinado. Vamos, no me pongas «m4rk3t01», «m4rk3t02»…
    Si entra un profesional o un compañero del equipo del proyecto a la web, por favor, crea un usuario. No cometas el error de dar tu usuario. Lo mismo que tardas en crear un usuario en WordPress, multiplica ese tiempo por 1000 y eso es lo que te ahorras en disgustos.
  4. Las contraseñas. Puedes utilizar muchos métodos para generar contraseñas. ¡¡¡ANDA MIRA!!!, WordPress te genera contraseñas y tienes esta opción creando un usuario en tu propio WordPress.
    Tienes, por otro lado, y además podrás tenerlos bien guardados, gestores de contraseñas que no sólo lo guardan, sino que además generan contraseñas. Aunque depende cuál, pueden hackearte esa aplicación o generador.
    Ponle fecha de caducidad a las contraseñas. Aunque te llamen pesado, cada X tiempo, obliga a cambiar la contraseña a los usuarios.
  5. Ahora, yo aprovecharía más el 2FA, la autenticación en dos fases, y así añadir una capa más. OJO, deberás de estudiar un poco qué aplicaciones utilizar para confirmar en tu dispositivo o correo electrónico. Por eso me repetiré mucho, WordPress no es fácil de hackear, como realizas las cosas, es el problema y usar el sentido común.
    Si pierdes el dispositivo o hackean tu cuenta de email… imagina. Es como dejarte tu coche abierto en el peor barrio del mundo.
  6. Actualizar, actualiza todo, pero hazlo con responsabilidad. No vayas a actualizar nada más entrar al escritorio de tu WordPress. Siempre que hagas un cambio, realiza una copia de seguridad. Y estos dos consejos, actualizar y copias de seguridad, debería ser lo primero en esta lista, pero es que esto ya sería con la instalación de WordPress. OJO, nada más coger un hosting para tu proyecto, miraría la parte de backups.
  7. Plugins y plantillas. Actualiza, como te dije antes, pero te sugiero no hacerlo automáticamente. Que sí, muchos compañeros/as de la comunidad te dirán lo contrario, pero al final de todo esta chapa, tienes mi opinión.
    Activados o desactivados, elimina si son de un uso temporal o cada cierto tiempo.
    Huye de esos plugins que te permiten entrar a los archivos y directorios de tu hosting desde el backend. Aunque los desactives, si tienes una intrusión, imagina lo que pueden hacer.
    Instala un plugin de seguridad, pero UNO. No te puedo recomendar ahora mismo uno, repito, no quiero ser un comercial; sin embargo, unos son muy completos y otros le falta alguna funcionalidad.
  8. Conoce. Conoce WordPress. No sabes la cantidad de valor que hay en este CMS. Pero además, conocer es conocer su funcionamiento, los archivos más importantes y que es cada directorio.
    El ciberdelincuente lo conoce, sabe qué archivos son delicados y que modificándolos puede generar problemas o dar un paso más para hackear su objetivo. Ellos saben metodologías de ataques que incluso te dejarían de piedra. Proteger los archivos wp-config.php y el .htaccess, que mejor te aconsejo abras un ticket a tu hosting y que te explique cómo hacerlo.

Mi opinión

Esto son cosas muy básicas, no muy técnicas. No he hablado de cómo eliminar roles de usuario ni de a dónde acudir si te hackean la web.

Tampoco hablo de síntomas que pueden ser signo de hackeo. Mucho menos hablar de metodologías.
Pero sí de sentido común. Es la mejor herramienta que tenemos todos y es que dentro de toda la escena que es tu proyecto, la parte más débil no es WordPress, eres tú.

Piensa antes de dar un paso en alguna configuración. Kevin Mitnick, uno de los hackers más grandes de nuestros tiempos, fue arrestado por culpa de su compañero. Se confió mucho.

Te aconsejo, me tomo la libertad de que acudas a la WordCamp más próxima y a las Meetup. Habla con nosotros, comparte tus inquietudes y con tu sentido común, ejecuta lo aprendido.
Lee, lee mucho. Hay blogs, libros, formaciones sobre la seguridad.

Así que ya para finalizar:

  • Copias de seguridad
  • Actualizar todo
  • Instalar un plugin de seguridad (WAF, Web Application Firewall)
  • Administrar usuarios y contraseñas
  • Realizar un documento de políticas de seguridad así como tomas de decisiones.
  • SENTIDO COMÚN
  • ¿La parte técnica?, pues tienes una comunidad inmensa de WordPress.

Piensa que este artículo podría ser más extenso de lo normal. El motivo es que es imposible explicar todo y la parte técnica, pues es una verdadera locura. Imagina que yo para realizar tareas de pentesting (penetración y comprobación de un sistema) a empresas siempre utilizo un checklist.

Una respuesta a «Algo de seguridad en WordPress, que a lo mejor no sabías»

  1. […] Algo de seguridad en WordPress, que a lo mejor no sabías Enlace al artículo externo […]

Deja una respuesta