Actualización WordPress 3.6.1 y medidas de seguridad

Hace aproximadamente unas semanas se ha publicado un nuevo parche para WordPress, esta plataforma es uno de los gestores de contenidos(CMS) más usados en internet para el diseño Web, o para la gestión de blog´s, este gestor dispone de módulos también para ejercer de Ecommerce, como  el Plugin WooCommerce, pero lo habitual es encontrarlo en Web sencillas ó blog.

Hablamos de un CMS muy potente, con grandes plugin para SEO, posicionamiento, textos enriquecidos entre otros muchos, es una de las plataformas Web más extendidas gracias a su facilidad de uso.

La versión publicada es WordPress 3.6.1 que consta de una actualización de mantenimiento, con tres parches críticos de seguridad:

1. Se ha detectado la posibilidad de enviar peticiones inseguras a través de PHP, permitiendo la ejecución remota de código en nuestro servidor.
2. Publicación de contenido de un usuario con el rol de Author por otro que este dado de alta en el sistema.
3. Se ha solucionado problemas de validación en datos de entrada que podría permitir la redirección a otro sitio.

Sin dudas son actualizaciones de un alto riesgo y se recomienda la actualización de versiones anteriores de WordPress, desde digitalDot os planteamos unos consejos fundamentales para tener nuestra web o blog a salvo bajo WordPress.

Actualizar:

Es una parte fundamental para todas las paginas Web, podréis ver unas estadisticas de vulnerabilidades y plataformas Web en:
https://www.cvedetails.com/top-50-vendor-cvssscore-distribution.php

Backup, copias de seguridad

Realizar copias de seguridad de la base de datos y del código de nuestra plataforma, de esta forma siempre podremos recuperar un punto anterior de nuestra web.

Cambiar el usuario admin

Es el usuario por defecto de la plataforma, si lo cambiamos seremos menos vulnerables a ataques por fuerza bruta

Mantener los permisos de las carpetas correctamente.
Permisos - 0644 (Significa el propietario puede escribir y los demás solo leer)

.htaccess
wp-config.php
wp-admin/index.php
wp-content/index.php
wp-content/plugins/index.php
wp-content/uploads/index.php

Permisos 0755 (Propietario Leer, Escribir y Ejecutar y los demás puede leer y ejecutar)

/ el raíz de nuestro sitio Web  debe contener estos permisos
wp-admin - Directorio de administración de WordPress
wp-content - Directorio de información de contenido de WordPress
wp-includes - Directorio de librerías de WordPress

Restrición por IP

Esta limitación puede ocasionarnos problemas de accesibilidad, si no disponemos de una única ip de administración, es por ello que podemos hacer uso de proteger con captcha o con carpetas de seguridad de apache el directorio de administración.

Ofuscación

Es una técnica fundamental si no saben nuestra versión o plataforma, dificultaremos el escáner de vulnerabilidades y retrasamos el ataque.

SSL Encriptación

Sin duda proteger nuestro acceso al panel de administración mediante certificados digitales, de forma que la contraseña no viaje a través de internet sin encriptar.

Desactivar plugin innecesarios

La instalación de plugin siempre son fuentes de ataques, más del 22% de las páginas Web vulneradas en WordPress son por el uso de plugin de baja calidad o desactualizados.

Contraseñas seguras

Establece una seguridad alta mediante el uso de números y letras, mayúsculas y símbolos, de forma que un ataque por fuerza bruta tendrá menos posibilidades.

Uso de plugin de seguridad como

•     Wordfence Security
•     WP Security Scan

Ambos plugin son muy respetables y aportan un grado más de seguridad a nuestra web o blog, añadiendo firewall y  control de permisos entre otros.