SEGURIDAD WORDPRESS

SEGURIDAD WORDPRESS

SAMUEL E. CEREZO // MEETUP WORDPRESS MURCIA

INTRODUCCIÓINTRODUCCIÓNU S O W O R D P R E S S

WordPress es, de lejos, el CMS más usado a

nivel mundial. El 53%* de las webs mundiales

están programadas sobre WordPress. A nivel

nacional, esta estadística aumenta hasta el

65%* de las webs españolas.

Unas estadísticas de uso tan altas lo convier-

ten en un blanco perfecto de ataques, ya que

a

encontrada una vulnerabilidad, existe un alto

número de webs sobre las que explo-tarla.

* Estadísticas obtenidas del portal builtwith.com

SE

GU

RID

AD

WO

RD

PR

ES

S ¿ Q U É V A M O S A V E R ?

Casi 20 millones de sitios web utilizanWordPress como gestor de contenido. No se tienen en cuenta las webs de wordpress.com

N I V E L M U N D I A L

53%

El 41% de las webs españolas estándesarrolladas con la última versión de WordPress.

N I V E L N A C I O N A L

65%

USO GLOBAL

W O R D P R E S S

INTRODUCCIÓINTRODUCCIÓNE N T O R N O S E G U R O

Partimos de la premisa de que, como afirma

Panda Security, “No existe la seguridad plena

en ningún ambito de la vida, y tampoco en

internet”,

¿Quiere decir esto que cualquier protección

que tomemos será ineficiente? No, quiere de-

cir que cualquier medida de seguridad tarde

d

o temprano quedará obsoleta y deberemos

actualizar la política de seguridad para hacer

frente a las nuevas amenazas.

Teniendo presente esta premisa, debemos

ser conscientes de la importancia de tener

cualquier software o sistema informático ac-

tualizado.

SE

GU

RID

AD

WO

RD

PR

ES

S ¿ Q U É V A M O S A V E R ?

ALERTAO B J E T I V O # 2

Capacidad de reacción frente cualquier

ataque, detectarlo y subsanarlo en el menor

tiempo posible.

DEFENSAO B J E T I V O # 1

Crear un entorno seguro y con las menos

fisuras posibles. Estar preparadas/os para

cualquier ataque.

PROVEEDORPROVEEDORS E R V I C I O C O N G A R A N T Í A S

El primer paso en conseguir un entorno se-

guro es la elección del servidor donde aloja-

remos nuestro WordPress.

Debemos escoger un proveedor de confian-

za, que nos garantice fiabilidad y estabilidad

en el sistema.

Desconfiar de proveedores económicos y que

desconocemos.

S E R V I D O R

SE

GU

RID

AD

WO

RD

PR

ES

S

SERVIDOR WEBSERVIDOR WEBS S L

Tener un certificado SSL instalado en nuestro

servidor web cifrará las conexiones y creará

un entorno seguro que aportará confianza al

visitante.

Además, si nuestra web no cuenta con un

certificado SSL, Google la penalizará.

A día de hoy, muchos proveedores ofrecen

certificados SSL gratuitos como Let’s Encrypt.

. H T A C C E S S

Podemos aumentar la seguridad protegiendo

los ficheros más sensibles e importantes de

nuestra instalación WordPress.

<files .htaccess>

order allow,deny

deny from all

</files>

SE

GU

RID

AD

WO

RD

PR

ES

S S E R V I D O R

<files wp-config.php>

order allow,deny

deny from all

</files>

INSTALACIÓNINSTALACIÓNN O M B R E S D E U S U A R I O Y C O N T R A S E Ñ A S

A la hora de elegir un nombre de usuario y

una contraseña (tanto para WordPress como

para la base de datos) debemos elegir una

cadena de texto segura. Es decir:

Larga y compleja (minúsculas, mayúsculas,

dígitos y símbolos).

Esto nos permite tener una instalación más

segura frente a ataques de fuerza bruta.

B A S E D E D A T O S

El prefijo de la base de datos es recomenda-

ble que sea distinto al que viene por defecto.

Una medida de seguridad extra es cambiar el

“nicename” de los usuarios en la base de

datos.

SE

GU

RID

AD

WO

RD

PR

ES

S W O R D P R E S S

INSTALACIÓNINSTALACIÓNE L I M I N A R A R C H I V O S I N N E C E S A R I O S

Realizada la instalación de WordPress, se generan varios archivos

que es recomendable eliminar:

• readme.html Este archivo, al que se puede acceder públicamen-

te, contiene información sobre la versión de WordPress utilizada,

con lo que estamos dando información sobre vulnerabilidades

existentes.

• wp-config-sample.php A pesar de que en principio no entraña

ningún peligro, este archivo no tiene ninguna función más alla

de la instalación de WordPress.

W O R D P R E S S

SE

GU

RID

AD

WO

RD

PR

ES

S

PLUGINSPLUGINSC O N C E P T O S G E N E R A L E S

A la hora de instalar un plugin, debemos re-

alizar la instalación desde el respositorio de

WordPress para asegurarnos que:

• Es de un desarrollador de confianza.

• El plugin no se ha modificado.

Si instalamos plugins de terceros fuera del re-

positorio, debemos estar seguros de que son

seguros y no afectarán a nuestra instalación.

P L U G I N S D E S E G U R I D A D

En el repositorio de WordPress contamos con

distintas soluciones de seguridad, muchas

gratuitas, que nos permitirán monitorizar la

actividad y nos alertarán de amenazas:

• Wordfence

• All in One WP Security & Firewall

• iThemes Security

• Centrora Security

SE

GU

RID

AD

WO

RD

PR

ES

S W O R D P R E S S

WORDFENCEWORDFENCES E G U R I D A D Y C O R T A F U E G O S

Uno de los mejores plugins de seguridad es

Wordfence. Dispone de opciones como

bloquear el acceso a países enteros, bloquear

a determinados nombres de usuarios o aler-

tar de fallos de seguridad.

Instalar y activar es suficiente para que co-

mience a monitorizar en tiempo real la activi-

dad que tiene lugar en nuestro sitio web.

W O R D P R E S S

SE

GU

RID

AD

WO

RD

PR

ES

S

PLUGINSPLUGINSA U M E N T A R L A S E G U R I D A D

Aparte de los plugins mencionados que pro-

tegen frente a ataques y permiten llevar un

seguimiento de la actividad en la web, en el

repositorio de WordPress contamos con una

serie de plugins que aumentan la seguridad.

S E G U R I D A D E N E L I N I C I O D E S E S I Ó N

Estos plugins presentan distintas soluciones

que crean una capa de seguridad extra a la

hora de iniciar sesión:

• Captcha

• Verificación en dos pasos

SE

GU

RID

AD

WO

RD

PR

ES

S W O R D P R E S S

PLUGINSPLUGINSV E R I F I C A C I Ó N E N D O S P A S O S

Una de las medidas de seguridad más poten-

tes a día de hoy es la verificación en dos

pasos. Consiste en la solicitud a la/el usuaria/o

un código temporal de vida muy corta que

se genera normalmente en una aplicación

instalada en un dispositivo de confianza pre-

viamente configurado.

Es el caso de Google Authenticator.

W O R D P R E S S

SE

GU

RID

AD

WO

RD

PR

ES

S

COMENTARIOSCOMENTARIOSP U E R T A D E E N T R A D A

El formulario de comentarios de WordPress

es una puerta de entrada de código malicio-

so y de SPAM. Debemos tener una correcta

configuración de los mismos y desconfiar de

códigos o enlaces sospechosos que entren

por esta vía para evitar ataques indeseados.

Una buena configuración podría ser que los

comentarios se deben aprobar previamente

a menos que el autor tenga ya algún comen-

tario aprobado anteriormente.

Por supuesto, no pulsar sobre ningún enlace

sospechoso.

SE

GU

RID

AD

WO

RD

PR

ES

S W O R D P R E S S

USUARIOSUSUARIOSR E G I S T R O

Si nuestro sitio web tiene habilitado el regis-

tro de usuarios, debemos asegurarnos que el

rol por defecto a la hora de registrarse no le

permite acceder al panel de WordPress y que

sus habilidades están acotadas.

? A U T H O R = 0

Una de las variables que maneja WordPress

es la variable author en la url. Si añadimos

“?author=0” a la url, nos llevará a la página del

usuario que ejecutó la instalación, y por tan-

to, administrador. Debemos limitar la infor-

mación que se da en esta página, cambiar el

nicename o eliminar el usuario inicial.

SE

GU

RID

AD

WO

RD

PR

ES

S W O R D P R E S S

BACKUPSBACKUPSC O P I A S D E S E G U R I D A D P E R I Ó D I C A S

Una medida de seguridad pasiva consiste en

realizar copias de seguridad de manera periódica.

Si sufrimos un ataque o perdemos información y

contamos con una copia de seguridad reciente

con la que realizar una restauración, el daño será

menor.

W O R D P R E S S

SE

GU

RID

AD

WO

RD

PR

ES

S

WEB ATACADAWEB ATACADAQ U É H A C E R

Si llegamos a la indeseable situación de que

nuestra web ha sido atacada, debemos man-

tener la calma y seguir una serie de pasos

para revertir la situación

SE

GU

RID

AD

WO

RD

PR

ES

S Y S I . . .

C A M B I A R C O N T R A S E Ñ A S

El primer paso es cambiar las contrasñeas de

WordPress, base de datos y del servidor, así

como verificar que la información de los usu-

arios es la correcta.

SE

GU

RID

AD

WO

RD

PR

ES

S

E V A L U A R L O S D A Ñ O S

A continuación debemos evaluar los daños e

intentar averiguar qué sucede. Muchas veces

se inyecta un código javascript que crea una

redirección y con eliminar la línea de código

que genera la redirección es suficiente.

R E S T A U R A R C O P I A D E S E G U R I D A D

Si la web se ha visto comprometida seria-

mente, se ha perdido contenido o no pode-

mos determinar el alcance del ataque y dis-

ponemos de una copia de seguridad re-

ciente, debemos proceder a restaurarla.

En caso de que no tengamos copia de se-

guridad, debemos contactar con el provee-

dor donde se aloja la web y preguntar si dis-

ponen de una copia de seguridad para reali-

zar una restauración.

R E V I S A R L A P O L Í T I C AD E S E G U R I D A D

Una vez restaurada la web, debemos revisar y

actualizar la política de seguridad. Esto impli-

ca actualizar el motor de WordPress, temas y

plugin, revisar los archivos principales para

comprobar que no tienen código malicioso

(.htaccess y wp-config.php) y adoptar medi-

das de seguridad extra que impidan que la

situación se pueda volver a repetir.

SE

GU

RID

AD

WO

RD

PR

ES

S

GRACIASGRACIASS A M U E L E . C E R E Z O

TWITTER

@samuelcerezo

MAIL

hola@samuelcerezo.com

LINKEDIN

/samuelcerezo

M U C H A S

SE

GU

RID

AD

WO

RD

PR

ES

S