seguridad en wordpress · 2017. 11. 17. · uso wordpress wordpress es, de lejos, el cms más usado...
TRANSCRIPT
SEGURIDAD WORDPRESS
SEGURIDAD WORDPRESS
SAMUEL E. CEREZO // MEETUP WORDPRESS MURCIA
INTRODUCCIÓINTRODUCCIÓNU S O W O R D P R E S S
WordPress es, de lejos, el CMS más usado a
nivel mundial. El 53%* de las webs mundiales
están programadas sobre WordPress. A nivel
nacional, esta estadística aumenta hasta el
65%* de las webs españolas.
Unas estadísticas de uso tan altas lo convier-
ten en un blanco perfecto de ataques, ya que
a
encontrada una vulnerabilidad, existe un alto
número de webs sobre las que explo-tarla.
* Estadísticas obtenidas del portal builtwith.com
SE
GU
RID
AD
WO
RD
PR
ES
S ¿ Q U É V A M O S A V E R ?
Casi 20 millones de sitios web utilizanWordPress como gestor de contenido. No se tienen en cuenta las webs de wordpress.com
N I V E L M U N D I A L
53%
El 41% de las webs españolas estándesarrolladas con la última versión de WordPress.
N I V E L N A C I O N A L
65%
USO GLOBAL
W O R D P R E S S
INTRODUCCIÓINTRODUCCIÓNE N T O R N O S E G U R O
Partimos de la premisa de que, como afirma
Panda Security, “No existe la seguridad plena
en ningún ambito de la vida, y tampoco en
internet”,
¿Quiere decir esto que cualquier protección
que tomemos será ineficiente? No, quiere de-
cir que cualquier medida de seguridad tarde
d
o temprano quedará obsoleta y deberemos
actualizar la política de seguridad para hacer
frente a las nuevas amenazas.
Teniendo presente esta premisa, debemos
ser conscientes de la importancia de tener
cualquier software o sistema informático ac-
tualizado.
SE
GU
RID
AD
WO
RD
PR
ES
S ¿ Q U É V A M O S A V E R ?
ALERTAO B J E T I V O # 2
Capacidad de reacción frente cualquier
ataque, detectarlo y subsanarlo en el menor
tiempo posible.
DEFENSAO B J E T I V O # 1
Crear un entorno seguro y con las menos
fisuras posibles. Estar preparadas/os para
cualquier ataque.
PROVEEDORPROVEEDORS E R V I C I O C O N G A R A N T Í A S
El primer paso en conseguir un entorno se-
guro es la elección del servidor donde aloja-
remos nuestro WordPress.
Debemos escoger un proveedor de confian-
za, que nos garantice fiabilidad y estabilidad
en el sistema.
Desconfiar de proveedores económicos y que
desconocemos.
S E R V I D O R
SE
GU
RID
AD
WO
RD
PR
ES
S
SERVIDOR WEBSERVIDOR WEBS S L
Tener un certificado SSL instalado en nuestro
servidor web cifrará las conexiones y creará
un entorno seguro que aportará confianza al
visitante.
Además, si nuestra web no cuenta con un
certificado SSL, Google la penalizará.
A día de hoy, muchos proveedores ofrecen
certificados SSL gratuitos como Let’s Encrypt.
. H T A C C E S S
Podemos aumentar la seguridad protegiendo
los ficheros más sensibles e importantes de
nuestra instalación WordPress.
<files .htaccess>
order allow,deny
deny from all
</files>
SE
GU
RID
AD
WO
RD
PR
ES
S S E R V I D O R
<files wp-config.php>
order allow,deny
deny from all
</files>
INSTALACIÓNINSTALACIÓNN O M B R E S D E U S U A R I O Y C O N T R A S E Ñ A S
A la hora de elegir un nombre de usuario y
una contraseña (tanto para WordPress como
para la base de datos) debemos elegir una
cadena de texto segura. Es decir:
Larga y compleja (minúsculas, mayúsculas,
dígitos y símbolos).
Esto nos permite tener una instalación más
segura frente a ataques de fuerza bruta.
B A S E D E D A T O S
El prefijo de la base de datos es recomenda-
ble que sea distinto al que viene por defecto.
Una medida de seguridad extra es cambiar el
“nicename” de los usuarios en la base de
datos.
SE
GU
RID
AD
WO
RD
PR
ES
S W O R D P R E S S
INSTALACIÓNINSTALACIÓNE L I M I N A R A R C H I V O S I N N E C E S A R I O S
Realizada la instalación de WordPress, se generan varios archivos
que es recomendable eliminar:
• readme.html Este archivo, al que se puede acceder públicamen-
te, contiene información sobre la versión de WordPress utilizada,
con lo que estamos dando información sobre vulnerabilidades
existentes.
• wp-config-sample.php A pesar de que en principio no entraña
ningún peligro, este archivo no tiene ninguna función más alla
de la instalación de WordPress.
W O R D P R E S S
SE
GU
RID
AD
WO
RD
PR
ES
S
PLUGINSPLUGINSC O N C E P T O S G E N E R A L E S
A la hora de instalar un plugin, debemos re-
alizar la instalación desde el respositorio de
WordPress para asegurarnos que:
• Es de un desarrollador de confianza.
• El plugin no se ha modificado.
Si instalamos plugins de terceros fuera del re-
positorio, debemos estar seguros de que son
seguros y no afectarán a nuestra instalación.
P L U G I N S D E S E G U R I D A D
En el repositorio de WordPress contamos con
distintas soluciones de seguridad, muchas
gratuitas, que nos permitirán monitorizar la
actividad y nos alertarán de amenazas:
• Wordfence
• All in One WP Security & Firewall
• iThemes Security
• Centrora Security
SE
GU
RID
AD
WO
RD
PR
ES
S W O R D P R E S S
WORDFENCEWORDFENCES E G U R I D A D Y C O R T A F U E G O S
Uno de los mejores plugins de seguridad es
Wordfence. Dispone de opciones como
bloquear el acceso a países enteros, bloquear
a determinados nombres de usuarios o aler-
tar de fallos de seguridad.
Instalar y activar es suficiente para que co-
mience a monitorizar en tiempo real la activi-
dad que tiene lugar en nuestro sitio web.
W O R D P R E S S
SE
GU
RID
AD
WO
RD
PR
ES
S
PLUGINSPLUGINSA U M E N T A R L A S E G U R I D A D
Aparte de los plugins mencionados que pro-
tegen frente a ataques y permiten llevar un
seguimiento de la actividad en la web, en el
repositorio de WordPress contamos con una
serie de plugins que aumentan la seguridad.
S E G U R I D A D E N E L I N I C I O D E S E S I Ó N
Estos plugins presentan distintas soluciones
que crean una capa de seguridad extra a la
hora de iniciar sesión:
• Captcha
• Verificación en dos pasos
SE
GU
RID
AD
WO
RD
PR
ES
S W O R D P R E S S
PLUGINSPLUGINSV E R I F I C A C I Ó N E N D O S P A S O S
Una de las medidas de seguridad más poten-
tes a día de hoy es la verificación en dos
pasos. Consiste en la solicitud a la/el usuaria/o
un código temporal de vida muy corta que
se genera normalmente en una aplicación
instalada en un dispositivo de confianza pre-
viamente configurado.
Es el caso de Google Authenticator.
W O R D P R E S S
SE
GU
RID
AD
WO
RD
PR
ES
S
COMENTARIOSCOMENTARIOSP U E R T A D E E N T R A D A
El formulario de comentarios de WordPress
es una puerta de entrada de código malicio-
so y de SPAM. Debemos tener una correcta
configuración de los mismos y desconfiar de
códigos o enlaces sospechosos que entren
por esta vía para evitar ataques indeseados.
Una buena configuración podría ser que los
comentarios se deben aprobar previamente
a menos que el autor tenga ya algún comen-
tario aprobado anteriormente.
Por supuesto, no pulsar sobre ningún enlace
sospechoso.
SE
GU
RID
AD
WO
RD
PR
ES
S W O R D P R E S S
USUARIOSUSUARIOSR E G I S T R O
Si nuestro sitio web tiene habilitado el regis-
tro de usuarios, debemos asegurarnos que el
rol por defecto a la hora de registrarse no le
permite acceder al panel de WordPress y que
sus habilidades están acotadas.
? A U T H O R = 0
Una de las variables que maneja WordPress
es la variable author en la url. Si añadimos
“?author=0” a la url, nos llevará a la página del
usuario que ejecutó la instalación, y por tan-
to, administrador. Debemos limitar la infor-
mación que se da en esta página, cambiar el
nicename o eliminar el usuario inicial.
SE
GU
RID
AD
WO
RD
PR
ES
S W O R D P R E S S
BACKUPSBACKUPSC O P I A S D E S E G U R I D A D P E R I Ó D I C A S
Una medida de seguridad pasiva consiste en
realizar copias de seguridad de manera periódica.
Si sufrimos un ataque o perdemos información y
contamos con una copia de seguridad reciente
con la que realizar una restauración, el daño será
menor.
W O R D P R E S S
SE
GU
RID
AD
WO
RD
PR
ES
S
WEB ATACADAWEB ATACADAQ U É H A C E R
Si llegamos a la indeseable situación de que
nuestra web ha sido atacada, debemos man-
tener la calma y seguir una serie de pasos
para revertir la situación
SE
GU
RID
AD
WO
RD
PR
ES
S Y S I . . .
C A M B I A R C O N T R A S E Ñ A S
El primer paso es cambiar las contrasñeas de
WordPress, base de datos y del servidor, así
como verificar que la información de los usu-
arios es la correcta.
SE
GU
RID
AD
WO
RD
PR
ES
S
E V A L U A R L O S D A Ñ O S
A continuación debemos evaluar los daños e
intentar averiguar qué sucede. Muchas veces
se inyecta un código javascript que crea una
redirección y con eliminar la línea de código
que genera la redirección es suficiente.
R E S T A U R A R C O P I A D E S E G U R I D A D
Si la web se ha visto comprometida seria-
mente, se ha perdido contenido o no pode-
mos determinar el alcance del ataque y dis-
ponemos de una copia de seguridad re-
ciente, debemos proceder a restaurarla.
En caso de que no tengamos copia de se-
guridad, debemos contactar con el provee-
dor donde se aloja la web y preguntar si dis-
ponen de una copia de seguridad para reali-
zar una restauración.
R E V I S A R L A P O L Í T I C AD E S E G U R I D A D
Una vez restaurada la web, debemos revisar y
actualizar la política de seguridad. Esto impli-
ca actualizar el motor de WordPress, temas y
plugin, revisar los archivos principales para
comprobar que no tienen código malicioso
(.htaccess y wp-config.php) y adoptar medi-
das de seguridad extra que impidan que la
situación se pueda volver a repetir.
SE
GU
RID
AD
WO
RD
PR
ES
S
GRACIASGRACIASS A M U E L E . C E R E Z O
@samuelcerezo
/samuelcerezo
M U C H A S
SE
GU
RID
AD
WO
RD
PR
ES
S