Seguridad | WordPress.org España

WordPress 6.0.3 – Actualización de seguridad

Publicado el 18 de octubre de 2022 por Fernando Tellado.Actualizaciones, Seguridad6.0, 6.0.31 comentario

¡WordPress 6.0.3 está disponible!

Esta versión inlcuye varias correcciones de seguridad. Al ser una actualización de seguridad se recomienda que actualices inmediatamente tus sitios. También se han actualizado todas las versiones desde WordPress 3.7.

WordPress 6.0.3 es una versión de ciclo corto. La siguiente versión mayor será la 6.1 planificada para el 1 de noviembre de 2022.

Si tienes sitios con las actualizaciones automáticas en segundo plano activas el proceso de actualización comenzará automáticamente.

Puedes descargar WordPress 6.0.3 desde WordPress.org, o visitar tu escritorio de WordPress, hacer clic en «Actualizaciones» y luego hacer clic en «Actualizar ahora».

Para más información sobre esta versión, por favor, visita el sitio del centro de ayuda.

Actualizaciones de seguridad incluidas en esta versión

Al equipo de seguridad le gustaría agradecer a las siguientes personas por informar de manera responsable de las vulnerabilidades, y por permitirles corregirlas en esta versión.

XSS almacenado mediante wp-mail.php (publicar por correo electrónico) – Toshitsugu Yoneyama de Mitsui Bussan Secure Directions, Inc. a través de JPCERT
Redirección abierta en `wp_nonce_ays` – devrayn
Dirección de correo electrónico del remitente expuesto en wp-mail.php – Toshitsugu Yoneyama de Mitsui Bussan Secure Directions, Inc. a través de JPCERT
Biblioteca de medios – XSS reflejo a través de SQLi – Ben Bidner del equipo de seguridad de WordPress y Marc Montpas de Automattic descubrieron de manera independiente este problema
CSRF en wp-trackback.php – Simon Scannell
XSS almacenado a través del personalizador – Alex Concha del equipo de seguridad de WordPress
Instancias compartidas inversas introducidas en 50790 – Alex Concha y Ben Bidner del equipo de seguridad de WordPress
XSS almacenado en el núcleo de WordPress a través de la edición de contenidos – Una auditoría de seguridad externa y Alex Concha del equipo de seguridad de WordPress
Exposición de datos a través de la variable términos/etiquetas REST – Than Taintor
Filtración de contenido de correos electrónicos multiparte – Thomas Kräftner
Inyección SQL debida a un saneado inadecuado en `WP_Date_Query` – Michael Mazzolini
Widget de RSS: Problema de XSS almacenado – Auditoría de seguridad externa
XSS almacenado en el bloque de búsqueda – Alex Concha del equip de seguridad de WP
Bloque de imagen destacada: problema de XSS – Auditoría de seguridad externa
Bloque de RSS: problema de XSS almacenado – Auditoría de seguridad externa
Corregir XSS en bloque de widget – Auditoría de seguridad externa

Gracais a estos contribuidores a WordPress

Esta versión la lideraron Alex Concha, Peter Wilson, Jb Audras y Sergey Biryukov en el control de la misión. Gracias a Jonathan Desrosiers, Jorge Costa, Bernie Reiter y Carlos Bravo por su ayuda con las actualizaciones del paquete.

WordPress 6.0.3 no habría sido posible sin las contribuciones de las siguientes personas. Su coordinación asíncrona a la hora de introducir varias correcciones en una versión estable es una declaración del potencial y capacidad de la comunidad WordPress.

Alex Concha, Colin Stewart, Daniel Richards, David Baumwald, Dion Hulse, ehtis, Garth Mortensen, Jb Audras, John Blackbourn, John James Jacoby, Jonathan Desrosiers, Jorge Costa, Juliette Reinders Folmer, Linkon Miyan, martin.krcho, Matias Ventura, Mukesh Panchal, Paul Kevan, Peter Wilson, Robert Anderson Robin, Sergey Biryukov, Sumit Bagthariya, Teddy Patriarca, Timothy Jacobs, vortfu y Česlav Przywara.

WordPress 5.9.2 – Actualización de seguridad y mantenimiento

Publicado el 11 de marzo de 202211 de marzo de 2022 por Fernando Tellado.Actualizaciones, Mantenimiento, Seguridad5.9, 5.9.2Deja un comentario

¡Ya está disponible WordPress 5.9.2 !

Esta actualización de seguridad y mantenimiento incluye la corrección de 1 fallo, además de 3 correcciones de seguridad. Como es una actualización de seguridad, se recomienda que actualices tus sitios inmediatamente. También se han actualizado todas las versiones desde WordPress 3.7.

WordPress 5.9.2 es una actualización de seguridad y mantenimiento. La próxima versión mayor será la 6.0.

Puedes descargar WordPress 5.9.2 desde WordPress.org o visitar «Escritorio → Actualizaciones» y hacer clic en «Actualizar ahora».

Si tienes sitios compatibles con las actualizaciones automáticas en segundo plano ya ha empezado el proceso de actualización.

Para más información, revisa la lista completa de cambios en el Trac o echa un vistazo a la página de documentación de la versión 5.9.2 en HelpHub.

¡Agradecimientos y reconocimientos!

La versión 5.9.2 la lideró Jb Audras, con la ayuda de Jorge Costa en las actualizaciones del paquete, Sergey Biryukov en el control de la misión y David Baumwald en los cambios de respaldo.

Además de los miembros del equipo de la versión mencionados arriba, gracias a todos los que han ayudado a hacer que WordPress 5.9.2 esté disponible:

Alan Jacob Mathew, Alex Concha, André, Anton Vlasenko, David Baumwald, ehtis, Jb Audras, Jorge Costa, Peter Wilson, Sergey Biryukov, Tonya Mork y ironprogrammer.

WordPress 5.8.3 – Actualización de seguridad

Publicado el 7 de enero de 20227 de enero de 2022 por Fernando Tellado.Actualizaciones, Seguridad5.8, 5.8.3Deja un comentario

Esta actualización de seguridad incluye cuatro correcciones de seguridad. Debido a que es una actualización de seguridad se recomienda que actualices inmediatamente tus sitios. También se han actualizado todas las versiones desde WordPress 3.7.

WordPress 5.8.3 es una versión de seguridad de ciclo corto. La siguiente versión mayor será la 5.9, que ya está en la etapa de candidata a definitiva.

Puedes actualizar a WordPress 5.8.3 descargándola de WordPress.org o visitando tu Escritorio → Actualizaciones y haciendo clic en «Actualizar ahora».

Si tienes sitios compatibles con las actualizaciones automáticas en segundo plano ya ha empezado el proceso de actualización.

Actualizaciones de seguridad

Cuatro problemas de seguridad afectan a todas las versiones de WordPress entre la 3.7 y la 5.8. Si aún no has actualizado a la versión 5.8, todas las versiones de WordPress desde la 3.7 también se han actualizado para corregir el siguiente problema de seguridad (excepto donde se apunta en sentido contrario):

Gracias a Karim El Ouerghemmi y Simon Scannell de SonarSource por difundir un problema con XSS almacenado a través de los slugs de las entradas.
Gracias a Simon Scannell de SonarSource por informar de un problema con la inyección de objetos en algunas instalaciones multisitio.
Gracias a ngocnb y khuyenn de GiaoHangTietKiem JSC por trabajar con Trend Micro Zero Day Initiative en informar de una vulnerabilidad de inyección SQL en WP_Query.
Gracias a Ben Bidner del equipo de seguridad de WordPress por informar de una vulnerabilidad de inyección SQL en WP_Meta_Query (solo relevante a las versiones 4.1-5.8).

Gracias a todos los que han informando mediante la divulgación privada. Esto ofrece al equipo de seguridad el tiempo suficiente para corregir las vulnerabilidades antes de que puedan atacarse los sitios WordPress. Gracias a los miembros del equipo de seguridad de WordPress por implementar estas correcciones en WordPress.

Para más información revisa la página de documentación de la versión 5.8.3 en HelpHub.

¡Agradecimientos y reconocimientos!

La versión 5.8.3 la lideraron @desrosj y @circlecube.

Además de los investigadores de seguridad y miembros del equipo mencionados arriba, gracias a todos los que ayudaron a que WordPress 5.8.3 esté disponible:

Alex Concha, Dion Hulse, Dominik Schilling, ehtis, Evan Mullins, Jake Spurlock, Jb Audras, Jonathan Desrosiers, Ian Dunn, Peter Wilson, Sergey Biryukov, vortfu y zieladam.

WordPress 5.8.2 – Actualización de seguridad y mantenimiento

Publicado el 11 de noviembre de 202111 de noviembre de 2021 por Fernando Tellado.Actualizaciones, Mantenimiento, Seguridad5.8, 5.8.2Deja un comentario

¡Ya está disponible WordPress 5.8.2!

Esta versión de seguridad y mantenimiento contiene 2 correcciones a fallos, además de 1 corrección de seguridad. Como es una actualización de seguridad, se recomienda que actualices tus sitios inmediatamente. También se han actualizado todas las versiones desde WordPress 5.2.

WordPress 5.8.2 es una versión de seguridad y mantenimiento de ciclo corto. La siguiente versión mayor será la 5.9.

Puedes descargar WordPress 5.8.2 desde es.WordPress.org o visitar tu Escritorio → Actualizaciones y hacer clic en Actualizar ahora.

Si tienes sitios compatibles con actualizaciones automáticas en segundo plano, ya está empezando el proceso de actualización.

Para más información, revisa la lista completa de cambios en el Trac o echa un vistazo a la página de documentación de la versión 5.8.2 en HelpHub.

¡Agradecimientos y reconocimientos!

La versión 5.8.2 la lideraron Jonathan Desrosiers y Evan Mullins.

Además de los miembros del equipo de la versión mencionados arriba, gracias a todos los que han ayudado a que WordPress 5.8.2 exista: Ari Stathopoulos, Bradley Taylor, davidwebca, Evan Mullins, Greg Ziółkowski, Jonathan Desrosiers, Juliette Reinders Folmer, Mukesh Panchal, Sergey Biryukov, shimon246 y Yui.

WordPress 5.8.1 – Actualización de seguridad y mantenimiento

Publicado el 9 de septiembre de 20219 de septiembre de 2021 por Fernando Tellado.Actualizaciones, Seguridad5.8, 5.8.1Deja un comentario

¡Ya está disponible WordPress 5.8.1!

Esta versión de seguridad y mantenimiento contiene 60 correcciones a fallos, además de 3 correcciones de seguridad. Dado que es una actualización de seguridad, se recomienda que actualices tus sitios inmediatamente. Todas las versiones desde WordPress 5.4 se han actualizado también.

WordPress 5.8.1 es una versión de seguridad y mantenimiento de ciclo corto. La siguiente versión mayor será la 5.9.

Puedes descargar WordPress 5.8.1 desde es.WordPress.org o visitar tu Escritorio → Actualizaciones y hacer clic en Actualizar ahora.

Si tienes sitios compatibles con actualizaciones automáticas en segundo plano, ya se está empezando el proceso de actualización.

Actualizaciones de seguridad

3 problemas de seguridad afectan a las versiones entre la 5.4 y la 5.8 de WordPress. Si aún no has actualizado a la 5.8, todas las versiones de WordPress desde la 5.4 también se han actualizado para corregir los siguientes problemas de seguridad:

Gracias a @mdawaffe, miembro del equipo de seguridad de WordPress, por su trabajo corrigiendo una vulnerabilidad de exposición de datos dentro de la API REST.
Gracias a Michał Bentkowski, de Securitum, por informar de una vulnerabilidad XSS en el editor de bloques.
La biblioteca Lodash se ha actualizado a la versión 4.17.21 en todas las ramas para incorporar correcciones de seguridad.

Además de estos problemas, el equipo de seguridad quiere agradecer a las siguientes personas por informar de vulnerabilidades durante el periodo de pruebas beta de WordPress 5.8, permitiéndoles corregirlas antes del lanzamiento:

Gracias a Evan Ricafort por informar de una vulnerabilidad XSS en el editor de bloques descubierta durante el periodo beta de la versión 5.8.
Gracias a Steve Henty por informar de un problema de escalado de privilegios en el editor de bloques.

Gracias a todos los que informan mediante la divulgación privada de vulnerabilidades. Esto ofrece al equipo de seguridad tiempo para corregir las vulnerabilidades antes de que puedan ser atacados los sitios WordPress.

Para más información, revisa la lista completa de cambios en el Trac o echa un vistazo a la página de documentación de la versión 5.8.1 en el centro de ayuda

¡Agradecimientos y reconocimientos!

La versión 5.8.1 la han liderado Jonathan Desrosiers y Evan Mullins.

Además de los investigadores de seguridad y miembros del equipo de la versión mencionados arriba, gracias a todos los que habéis ayudado a conseguir que WordPress 5.8.1 salga adelante: 2linctools, Adam Zielinski, Alain Schlesser, Alex Lende, alexstine, AlGala, André, Andrei Draganescu, Andrew Ozz, Ankit Panchal, Anthony Burchell, Anton Vlasenko, Ari Stathopoulos, Bruno Ribaric, Carolina Nymark, Daisy Olsen, Daniel Richards, Daria, David Anderson, David Biňovec, David Herrera, Dominik Schilling, Ella van Durpe, Enchiridion, Evan Mullins, Gary Jones, George Mamadashvili, Greg Ziółkowski, Héctor Prieto, ianmjones, Jb Audras, Jeff Bowen, Joe Dolson, Joen A., John Blackbourn, Jonathan Desrosiers, JuanMa Garrido, Juliette Reinders Folmer, Kai Hao, Kapil Paul, Kerry Liu, Kevin Fodness, Marcus Kazmierczak, Mark-k, Matt, Michael Adams (mdawaffe), Mike Schroder, moch11, Mukesh Panchal, Nik Tsekouras, Paal Joachim Romdahl, Pascal Birchler, Paul Bearne, Paul Biron, Peter Wilson, Petter Walbø Johnsgård, Radixweb, Rahul Mehta, ramonopoly, ravipatel, Riad Benguella, Robert Anderson, Rodrigo Arias, Sanket Chodavadiya, Sergey Biryukov, Stephen Bernhardt, Stephen Edgar, Steve Henty, terraling, Timothy Jacobs, tmatsuur, TobiasBg, Tonya Mork, Toro_Unit (Hiroshi Urabe), Vlad T, wb1234 y WFMattR.

WordPress 5.7.2 – Actualización de seguridad

Publicado el 13 de mayo de 202129 de mayo de 2021 por Fernando Tellado.Actualizaciones, Seguridad5.7, 5.7.2Deja un comentario

Ya está disponible WordPress 5.7.2.

Esta actualización de seguridad incluye una corrección de seguridad. Como es una actualización de seguridad se recomienda que actualices tus sitios de inmediato. También se han actualizado todas las versiones desde WordPress 3.7.

WordPress 5.7.2 es una actualización de seguridad de ciclo corto. La siguiente actualización mayor será la versión 5.8.

Puedes actualizar a WordPress 5.7.2 descargándola desde WordPress.org, o visitando tu Escritorio → Actualizaciones, y hacer clic en «Actualizar ahora».

Si tienes sitios compatibles con las actualizaciones automáticas en segundo plano ya han empezado el proceso de actualización.

Actualizaciones de seguridad

Un problema de seguridad que afecta a las versiones de WordPress entre la 3.7 y la 5.7. Si aún no has actualizado a la 5.7, todas las versiones de WordPress desde la 3.7 también se han actualizado para corregir el siguiente problema de seguridad:

Inyección de objetos en PHPMailer, CVE-2020-36326 y CVE-2018-19296.

Gracias a los miembros del equipo de seguridad de WordPress por implementar estos cambios en WordPress.

Para más información revisa la página de la documentación de la version 5.7.2 en HelpHub.

¡Agradecimientos y reconocimientos!

La versión 5.7.2 la lideraron @peterwilsoncc y @audrasjb.

Gracias a todos los que han ayudado a hacer que WordPress 5.7.2 esté disponible: @audrasjb, @ayeshrajans, @desrosj, @dd32, @peterwilsoncc, @SergeyBiryukov y @xknown.

La privacidad con WordPress

Publicado el 22 de abril de 202112 de abril de 2021 por Javier Casares.SeguridadDeja un comentario

Si te lees los términos y condiciones de muchos de los proveedores de Internet, sobre todo las redes sociales, verás que en la mayoría de los casos todo lo que publicas deja de ser tuyo y forma a sr parte de la propiedad de la empresa a la que cedes esa información.

Esto, que en un principio no tiene por qué parecer un problema, puede llegar a serlo en el momento en el que has de eliminar un contenido o quieres hacer un cambio y la plataforma no te lo permite.

Y aquí es donde entran las alternativas y el control de la información, además del tráfico y tus usuarios. El hecho de que las redes sociales puedan eliminar o bloquear una cuenta en cualquier momento hace que el tráfico, los usuarios, tus seguidores no sean tuyos.

Y aquí entra tu sitio web. Cualquier plataforma de código abierto permite el control de la información de la base de datos, una información a la que sólo tú tienes acceso. Y más, teniendo en cuenta que la legislación actual te obliga a tener el control y a disponer de una serie de herramientas que permitan que, en cualquier momento, puedas eliminar o gestionar los contenidos de tus seguidores.

Tener el control de tu información es importante, y WordPress te permite un control absoluto. Para empezar, tú decides qué es lo que se publica y qué no, qué es lo que los robots de búsqueda (y, por tanto, los buscadores) pueden publicar o no. Tú decides qué es público y qué no.

Pero no es sólo esto. Muchas veces pensamos que la privacidad es la parte de tus datos, y no es del todo así, también son los datos de los demás. Cuando alguien hace una compra en una plataforma de terceros suele incluir sistemas de seguimiento para que otras plataformas puedan saber quién eres, qué compras, o qué productos te interesan. Esto, si lo controlas tú en tu plataforma no tiene porqué ser así, y puedes dar a tus usuarios una mayor seguridad y control de sus datos.

¿Dejarías que las mayores empresas de Internet conozcan con detalle qué hacen tus hijos, con quién se comunican, de qué hablan? Pues esto es lo que ocurre hoy en día, y algunos centros educativos lo promueven, aunque tiene mucha facilidad y solución: una red social, privada, con WordPress. Algunos colegios crean redes con BuddyPress en los que todos los alumnos están presentes y pueden comunicarse con profesores, con otros alumnos, publicar contenidos y siempre con la seguridad y control del centro.

Además, WordPress te ofrece plugins y herramientas propias para cumplir la legislación vigente. Para empezar no se guardan contenidos que no se tienen que almacenar, por defecto y, además, te ofrece herramientas como el generador de la página de política de privacidad o las herramientas de exportar datos personales de sus usuarios, con la posibilidad de eliminar esos datos. Y, por supuesto, tienes un montón de plugins que te ayudan a controlar los reglamentos de privacidad que hay alrededor del mundo, y concretamente el RGPD y la LOPD y la obligación de hacer seguimiento de actividad.

Si te preocupan tus usuarios, si te preocupa tu información, si te preocupa el control de la grandes corporaciones de información que a veces ni sabes que están recogiendo, WordPress siempre va a ser una muy buena opción.

WordPress 5.7.1 – Actualización de seguridad y mantenimiento

Publicado el 15 de abril de 2021 por Fernando Tellado.Actualizaciones, Seguridad5.7, 5.7.1Deja un comentario

¡Ya está disponible WordPress 5.7.1!

Esta actualización de seguridad incluye 26 correcciones a fallos además de dos correcciones a fallos de seguridad. Al ser una actualización de seguridad se recomienda que actualices tu sitios de inmediato. Todas las versiones desde WordPress 4.7 también se han actualizado.

WordPress 5.7.1 es una actualización de seguridad y mantenimiento de ciclo corto. La siguiente actualización mayor será la de la versión 5.8.

Puedes desargar WordPress 5.7.1 descargándolo de WordPress.org, o visitar tu Escritorio → Actualizaciones y hacer clic en «Actualizar ahora».

Si tienes sitios compatibles con actualizaciones automáticas en segundo plano ya ha empezado el proceso de actualización.

Actualizaciones de seguridad

Dos problemas de seguridad afectan a las versiones de WordPress entre la 4.7 y la 5.7. Si todavía no has actualizado a la versión 5.7, todas las versiones de WordPress desde la 4.7 también se han actualizado para corregir los siguientes problemas de seguridad:

Gracias a SonarSource por informar de una vulnerabilidad XXE en la biblioteca de medios que afecta a PHP 8.
Gracias a Mikael Korpela por informar de una vulnerabilidad de exposición de datos en la API REST.

Gracias a todos los que informan por la divulgación privada de vulnerabilidades. Esto ofrece al equipo de seguridad tiempo para corregir las vulnerabilidades antes de que puedan ser atacados los sitios WordPress.

Gracias a Adam Zielinski, Pascal Birchler, Peter Wilson, Juliette Reinders Folmer, Alex Concha, Ehtisham Siddiqui, Timothy Jacobs y el equipo de seguridad de WordPress por su trabajo en estos problemas.

Para más información revisa la lista completa de cambios en el Trac, o echa un vistazo a la página de documentación de la versión 5.7.1 en HelpHub.

¡Agradecimientos y reconocimientos!

La versión 5.7.1 la lideraron @peterwilsoncc y @audrasjb.

Además de los investigadores de seguridad y miembros del equipo de la versión mencionados arriba, gracias a todos los que habéis ayudado a conseguir que WordPress 5.7.1 salga adelante:

99w, Adam Silverstein, Andrew Ozz, annalamprou, anotherdave, Ari Stathopoulos, Ayesh Karunaratne, bobbingwide, Brecht, Daniel Richards, David Baumwald, dkoo, Dominik Schilling, dragongate, eatsleepcode, Ella van Durpe, Erik, Fabian Pimminger, Felix Arntz, Florian TIAR, gab81, Gal Baras, Geoffrey, George Mamadashvili, Glen Davies, Greg Ziółkowski, grzim, Ipstenu (Mika Epstein), Jake Spurlock, Jayman Pandya, Jb Audras, Joen A., Johan Jonk Stenström, Johannes Kinast, John Blackbourn, John James Jacoby, Jonathan Desrosiers, Josee Wouters, Joy, k3nsai, Kelly Choyce-Dwan, Kerry Liu, Marius L. J., Mel Choyce-Dwan, Mikhail Kobzarev, mmuyskens, Mukesh Panchal, nicegamer7, Otshelnik-Fm, Paal Joachim Romdahl, palmiak, Pascal Birchler, Peter Wilson, pwallner, Rachel Baker, Riad Benguella, Rinat Khaziev, Robert Anderson, Roger Theriault, Sergey Biryukov, Sergey Yakimov, SirStuey, stefanjoebstl, Stephen Bernhardt, Sumit Singh, Sybre Waaijer, Synchro, Terri Ann, tigertech, Timothy Jacobs, tmatsuur, TobiasBg, Tonya Mork, Toru Miki, Ulrich y Vlad T.

Pasar de HTTP a HTTPS (nuevo en WordPress 5.7)

Publicado el 11 de marzo de 20214 de febrero de 2021 por Javier Casares.Seguridad2 comentarios

Con el lanzamiento de WordPress 5.7 se incluye una nueva funcionalidad que va a permitir pasar el sitio de HTTP a HTTPS pudiendo migrar todas las direcciones URL de forma automática.

Esto significa que aquellos sitios que tienen problemas con la configuración del sistema mixto, ahora se podrá configurar con un par de clics.

Qué requisitos tiene

Hay tres requisitos básicos:

Tener WordPress 5.7 (o superior) instalado
Tener un certificado TLS 1.2 o 1.3 instalado
Tener el sitio configurado en HTTP

Cómo sé si tengo WordPress 5.7 o superior

La forma más sencilla es entrar en el Escritorio de WordPress, y allí, en el menú, ir a Escritorio → Actualizaciones.

En la parte superior te indicará un mensaje de «Versión actual: 5.7» (o la versión que tengas).

Cómo sé si tengo un certificado TLS válido

Hay varias formas de saberlo. La más rápida es entrar en tu sitio web cambiando el HTTP del inicio por HTTPS. De esta forma puedes probar https://www.example.com/ y comprobar si el navegador te devuelve, o no, un error.

En caso de que no lo devuelva, en la barra de navegación puedes verificar si te indica que el certificado es o no correcto.

Indicador de conexión segura en el navegador Chrome — Conexión segura en el navegador Chrome

En caso de que esto no funcione, lo mejor es que acudas a tu proveedor de hosting y le preguntes cómo poder disponer de un certificado TLS. La mayoría de las empresas de hosting proveen, de forma gratuita, certificados TLS mediante el proveedor Let’s Encrypt.

Cómo sé si tengo mi sitio configurado con HTTP

Para saber la configuración que tiene tu sitio lo más simple es acceder a Ajustes → Generales. Allí encontrarás las direcciones de WordPress y del sitio.

Direcciones de WordPress y del Sitio en los ajustes de WordPress, de forma insegura con HTTP — Ajustes de URL en WordPress

Vale, cumplo los requisitos

Si cumples los requisitos y ya tienes todo listo (que funcione el certificado TLS, principalmente) puedes seguir los siguientes pasos para convertir tu sitio de HTTP a HTTPS y hacerlo más seguro.

Actualizando todos los enlaces

Para hacer el cambio de HTTP a HTTPS de forma automática has de acceder a la zona de Herramientas → Salud del Sitio y encontrarás la opción «Tu sitio no utiliza HTTPS».

Allí tendrás un botón que, con un clic, te permitirá Actualizar tu sitio para usar HTTPS.

Opción en Salud del Sitio en la que se activa el botón de Actualizar el sitio a HTTPS — Análisis de uso de HTTPS en Salud del Sitio

Una vez hayas pulsado el botón, todas tus URL habrán cambiado a HTTPS. Para validarlo puedes volver a Ajustes -> Generales donde los enlaces ya incluirán el HTTPS.

Direcciones de WordPress y del Sitio en los ajustes de WordPress, de forma segura con HTTPS — Ajustes de URL en WordPress

A partir de este momento tendrás configurado tu sitio para que sea siempre HTTPS.

WordPress es seguro (parte 4/4)

Publicado el 4 de marzo de 20219 de marzo de 2021 por Javier Casares.Seguridadwordpress es seguroDeja un comentario

Ya sabemos que WordPress es seguro, cómo mantenerlo actualizado y además como incrementar su seguridad. Ahora lo que nos queda saber es qué hacer en un caso de desastre total…

Prevenir antes que curar

Ya lo dice el refrán: más vale prevenir que curar. Y de esto va la información que vas a encontrar aquí. Como se decía al inicio, anteriormente hemos escrito sobre cómo incrementar la seguridad, pero no siempre es un problema de seguridad el que un sitio WordPress se rompa. Puede haber muchos factores, algo tan sencillo como que la máquina donde está tu web se estropee.

Para evitar llegar a un extremo al que no quiere nadie llegar, lo que vamos a tener que preparar es un sistema de plan de contingencia.

El plan de contingencia

Como en muchas situaciones, hemos de ponernos en lo peor, y en el caso de WordPress, es que nuestro sitio deje de funcionar o se borre, o nos lo consigan manipular y podamos llegar a perder la información.

Para esto debemos tener un plan de contingencia que puede ser de muchos niveles. Y que podríamos dividir en 3 niveles: copias de seguridad, sistemas redundados y alta disponibilidad.

Las copias de seguridad

Este es el sistema mínimo y básico que hemos de tener para nuestro WordPress. Por ahora WordPress no dispone de un sistema propio de copias de seguridad, por lo que necesitamos depender de un sistema tercero para realizar esas copias.

¿Qué hemos de copiar y guardar? Básicamente 4 elementos:

El programa (software). Es el contenido que incluye el núcleo de WordPress, los plugins y temas, además de todos los contenidos media que hayas podido subir.
La información (base de datos). En la base de datos se almacenan los contenidos y configuraciones de tu sitio, tus páginas, entradas y otros contenidos que hayas podido guardar y publicar.
La configuración del servidor web. Dependiendo del sistema que uses (Apache, nginx) pueden ser unos contenidos u otros. El más conocido es el fichero .htaccess. En caso de duda, consulta con tu proveedor de hosting para que te indique qué ficheros deberías guardar.
Los certificados TLS. Aunque los certificados se pueden regenerar, lo mejor es tener disponible y guardados los ficheros de los certificados para poder configurarlos de nuevo en caso extremo.

Para hacer copias de seguridad tenemos varias opciones. La primera de ellas suele estar en el proveedor de hosting, que suele disponer de sistemas propios para hacer copias de todo nuestro sitio y configuración. Es importante saber y preguntar cómo y qué se puede recuperar en caso de un desastre y haya que restaurarla, ya que en algunos casos se podrá recuperar fichero a fichero y en otros se tendrá que sobrescribir toda la información, perdiendo la información nueva que haya habido entre la copia y el momento actual.

En otros casos podemos configurar un plugin de copias de seguridad de los que hay en el repositorio de WordPress y que puedes encontrar entre los plugins etiquetados como backup.

Como última opción, siempre puedes realizar la copia manualmente. Por ejemplo, descargando los ficheros por FTP, la base de datos con algún panel del tipo a phpMyAdmin y el resto de las configuraciones dependerán del sistema o del hosting.

Existe una alternativa que es la de crear copias instantáneas de volumen (snapshots) en los que se hace una copia puntual en el tiempo de cómo se encuentra el sistema. En estos casos, a la hora de realizar la restauración podemos sobrescribir el sistema actual con el de ese momento, o podemos montar un nuevo sistema, acceder y recuperar la información que requiramos.

Sistemas redundados

Un sistema redundado es aquel en el que en realidad tienes dos o más veces tu WordPress funcionando, pero sólo lo hace uno a la vez. Además, estas instalaciones están configuradas mediante un sistema primario-secundario, en el que hay una instalación principal, y cualquier cambio que se haga, se va heredando al resto de versiones.

En caso de que el WordPress principal falle, pasaría a ponerse en marcha de forma manual o automática la segunda edición del sitio.

Normalmente estos sistemas se encuentran distribuidos o federados para no encontrarse físicamente en el mismo lugar. Por ejemplo, si hay un corte de electricidad en un centro de datos, se mandaría a los usuarios a otros centros de datos en otras localizaciones.

En cualquier caso, estos sistemas ya suelen tener sus propios mecanismos para hacer copias de seguridad de forma recurrente.

Alta disponibilidad

Sin duda es el sistema óptimo, pero el más complejo y caro (de precio) ya que requiere de bastante inversión y recursos.

En este caso, tendríamos varias copias de nuestro sitio web funcionando a la vez, en distintas localizaciones, y a los usuarios se les manda de forma independiente a cualquiera de ellas. Por norma general, para que esto funcione al menos ha de haber 3 localizaciones. De la misma manera que el caso anterior, aquí también es imprescindible tener copias de seguridad ya que toda la información se copia y replica a la vez en todos los sistemas.