Hace aproximadamente unas semanas se ha publicado un nuevo parche para WordPress, esta plataforma es uno de los gestores de contenidos(CMS) más usados en internet para el diseño Web, o para la gestión de blog´s, este gestor dispone de módulos también para ejercer de Ecommerce, como el Plugin WooCommerce, pero lo habitual es encontrarlo en Web sencillas ó blog.
Hablamos de un CMS muy potente, con grandes plugin para SEO, posicionamiento, textos enriquecidos entre otros muchos, es una de las plataformas Web más extendidas gracias a su facilidad de uso.
La versión publicada es WordPress 3.6.1 que consta de una actualización de mantenimiento, con tres parches críticos de seguridad:
Sin dudas son actualizaciones de un alto riesgo y se recomienda la actualización de versiones anteriores de WordPress, desde digitalDot os planteamos unos consejos fundamentales para tener nuestra web o blog a salvo bajo WordPress.
Actualizar:
Es una parte fundamental para todas las paginas Web, podréis ver unas estadisticas de vulnerabilidades y plataformas Web en:
https://www.cvedetails.com/top-50-vendor-cvssscore-distribution.php
Backup, copias de seguridad
Realizar copias de seguridad de la base de datos y del código de nuestra plataforma, de esta forma siempre podremos recuperar un punto anterior de nuestra web.
Cambiar el usuario admin
Es el usuario por defecto de la plataforma, si lo cambiamos seremos menos vulnerables a ataques por fuerza bruta
Mantener los permisos de las carpetas correctamente.
Permisos - 0644 (Significa el propietario puede escribir y los demás solo leer)
.htaccess
wp-config.php
wp-admin/index.php
wp-content/index.php
wp-content/plugins/index.php
wp-content/uploads/index.php
Permisos 0755 (Propietario Leer, Escribir y Ejecutar y los demás puede leer y ejecutar)
/ el raíz de nuestro sitio Web debe contener estos permisos
wp-admin - Directorio de administración de WordPress
wp-content - Directorio de información de contenido de WordPress
wp-includes - Directorio de librerías de WordPress
Restrición por IP
Esta limitación puede ocasionarnos problemas de accesibilidad, si no disponemos de una única ip de administración, es por ello que podemos hacer uso de proteger con captcha o con carpetas de seguridad de apache el directorio de administración.
Ofuscación
Es una técnica fundamental si no saben nuestra versión o plataforma, dificultaremos el escáner de vulnerabilidades y retrasamos el ataque.
SSL Encriptación
Sin duda proteger nuestro acceso al panel de administración mediante certificados digitales, de forma que la contraseña no viaje a través de internet sin encriptar.
Desactivar plugin innecesarios
La instalación de plugin siempre son fuentes de ataques, más del 22% de las páginas Web vulneradas en WordPress son por el uso de plugin de baja calidad o desactualizados.
Contraseñas seguras
Establece una seguridad alta mediante el uso de números y letras, mayúsculas y símbolos, de forma que un ataque por fuerza bruta tendrá menos posibilidades.
Uso de plugin de seguridad como
Ambos plugin son muy respetables y aportan un grado más de seguridad a nuestra web o blog, añadiendo firewall y control de permisos entre otros.