WordPress es un CMS (Content Management System), es decir, un sistema de gestión de contenidos que desde el 2004 nos ha hecho la vida un poquito más fácil. Aunque su objetivo era facilitar la creación de blogs, hoy en día podemos ver páginas corporativaso tiendas online que utilizan este programa y ni siquiera nos daríamos cuenta gracias a la variedad de temas (y su posterior tuning), plugins, widgets…
En este caso hablo de la seguridad de WordPress.org, es decir, aquel del cual somos responsables de su alojamiento, instalación de plugins… Y ya sabemos que cuantas más opciones tengamos en nuestra mano, más fácil será tocar lo que no debemos. De ello hablan de manera más profesional y tienen mayor conocimiento muchos expertos en seguridad informática (los ninja), y por ello en este primer post hablaré de aquello que concierne a los cinturones blancos (yo estaré en amarillo siendo optimista ;-)) y os dejaré abajo algunas publicaciones de seguridad en WordPress por si os pudiera interesar e iré añadiendo con el tiempo aquellos que me vayan pareciendo relevantes.
“Un gran poder conlleva una gran responsabilidad“. Esta frase se puede aplicar a muchos campos y no sólo a Spiderman. Si está en tu mano crear tu propia web, con la intención de compartir contenidos con aquellos/as a los/as que les pueda interesar, consigues cierto posicionamiento gracias a tu dedicación…¿no sería una pena dejar las puertas y ventanas abiertas a aquellas personas que no sean demasiado buenas y te quedaras sin nada? Como en la vida real, puede ocurrir algún tipo de catástrofe que no puedas prever y que no esté de tu mano evitar, pero debes cuidar tu web como cuidarías cualquier otro bien al que le tengas “cierto cariño”.
2. Eliminar readme.html, upgrade.php e install.php:
Éstos son archivos de instalación. Cuando ponemos en marcha por primera vez nuestro WordPress, vemos que el proceso es muy sencillo. Estos archivos mantienen unas ubicaciones demasiado accesible para l@s chic@s mal@s y lo mejor será eliminarlos, para no dar pistas.
- Readme.html (en la raíz de WordPress): Con este archivo podemos conocer la versión de WordPress, con el riesgo de que si no actualizamos debidamente las versiones, puede resultar excesivamente vulnerable. Por ejemplo: a día de hoy la versión de WordPress es la 3.5 y he encontrado una web que aún tiene la 3.2.1.
¿Qué problema hay?Evidentemente, las versiones actualizadas de WordPress (o de temas, plugins…) mejoran características y solucionan vulnerabilidades. Para l@s chic@s mal@s (que tendrán un mayor grado de conocimiento que los cinturones blancos), tan sólo deben buscar el exploit correspondiente a la versión de WordPress. - Upgrade.php e Install.php (en la carpeta wp-admin): en este caso la base de datos de WordPress ya está actualizada. Se recomienda eliminar estos archivos para ocultar información.
3. Instalar plugins de seguridad:
Existen varias publicaciones sobre plugins de seguridad para WordPress (abajo os dejaré links). Si tuviera que elegir 5 para un principio elegiría…
- Akismet: por defecto nos aparece y tan solo debemos añadir nuestra API Key ¿5 minutos para evitar Spam en nuestra web? No está mal…
- Login LockDown: como he comentado, es importante elegir un usuario y un password poco intuitivos. Este plugin limita el número de intentos fallidos de login. Es decir, pruebo 3 veces( o las que hayamos elegido) usuario y contraseña inválidos, y Login LockDown bloqueará mi IP para que no siga intentándolo durante un tiempo. Es un plugin básico, sencillo y eficaz.
- Secure WordPress: este plugin realiza varias tareas de seguridad que podéis ver en la web de WebsiteDefender.
- Block Bad Queries (BBQ)
- WordPress Backup: Plugin para hacer un backup de tu WordPress. Existen varios plugins de este tipo, y ahora también se puede guardar la copia en la nube, por ejemplo. No obstante podéis probar los plugins para backup que recomiendan “los ninja” y utilizar el que más os guste o el que más seguro os parezca.
4. Mantener actualizada la versión de WordPress y de los plugins
Como he comentado en el punto 2, las versiones antiguas son menos seguras. Además WordPress facilita estas tareas, y quizás las actualizacines duren menos de 1 minuto. Creo que la espera merece la pena;-).
¡Ojo! Al actualizar la versión de WordPress, debéis eliminar de nuevo readme.html, upgrade.php e install.php (recordad que son archivos de instalación ;-))
5. Ten tu ordenador protegido
De nada sirven estas medidas si tú mismo infectas tu WordPress con algún archivo.