En esta entrada queremos hablar de WordPress, una de las plataformas más extendidas en tienda online y web corporativa, así como en blog.
Comenzó extendiéndose por su facilidad de uso y dinamismo y estamos comprobando que con el plugin Woocomerce está ganando terreno en sistemas de tiendas online a plataformas que estaban más tiempo asentadas como Prestashop y Magento.
Debemos mencionar que WordPress está siendo una de las plataformas más atacadas y con más fallos de seguridad detectados en los últimos años. Es por ello que cualquier medida que nos ayude a protegerlo debe tomar un valor importante en nuestra implantación.
Contenido
En digitalDot hemos encontrado varias tiendas, o sistemas de web corporativas hackeadas y alteradas o con defacement que suelen dañar la imagen de la empresa y todas ellas tenían un mismo punto en común: estaban basadas en WordPress.
Algunas recomendaciones de seguridad que proponemos son:
Debemos tener actualizado tanto el núcleo de WordPress como plugin y desarrollos. Esto nos evitará fallos de seguridad a través de bug conocidos o Exploit, pero sólo las actualizaciones no serán suficientes para mantener a salvo nuestro WordPress.
Una recomendación que os proponemos desde digitalDot es cambiar la ruta wp-admin y wp-login. Es una técnica de seguridad por ofuscación, ocultar las rutas por defecto de gestión del CMS para evitar ataques de fuerza bruta.
No está demás que el backend para nuestra web este protegido con algún sistema como CAPTCHA o Latch porque son dos plugin que dificultaran los ataques de fuerza bruta. En nuestros hostings incluimos Fail2Ban un sistema de detección de ataques que bloquea las IP a través de reglas de cortafuegos.
Latch. Un plugin que permite mantener bloqueados los accesos desde el móvil.
WPS Hide Loging. Para ocultar la ruta de administración de nuestro WordPress.
Otro factor importante es proteger nuestras carpetas y la exploración de nuestra instalación en sistemas APACHE o Nginx con Plesk, suele venir desactivado, y no está demás añadir en nuestro htaccess la directiva que proteja la exploración de direcciones.
Para proteger los archivos de WordPress es importante que controlemos la versión de nuestros archivos, el código, fecha de modificación y estructura, de forma que podamos controlar cambios o alteraciones que no han sido programadas por el equipo de desarrollo. Entre la protección de nuestros archivos debemos prestar atención a ficheros como wp-config.php o wp-setting.php
Estos ficheros contienen información importante como la configuración de la base de datos. Si quedara expuesto estaríamos vendidos a robo de información de nuestra web, intranet o tienda online.
Para protegerlo podemos incluir la siguiente línea en nuestro htaccess:
En digitalDot también recomendamos proteger la escritura de forma que si hackearan el WordPress no pudieran modificar estos dos. En uno de los ataques que nos enfrentamos en un WordPress, el atacante incluía una referencia en estos archivos por lo que tomaba el control de todo el WordPress en el momento de la carga.
Para cambiar estos permisos podemos entrar con nuestro cliente Filezilla y asignar sólo permisos de lectura.
Ya es prácticamente un estándar, desde que indirectamente el certificado digital influye en nuestro posicionamiento SEO cada vez más las empresas lo solicitan y en nuestros servicios se ha convertido en un punto más de calidad al entregar web corporativas o tiendas online. Esto permite que todos los accesos a la plataforma sean seguros, viajando contraseñas y usuarios cifrados.
Otra de las medidas recomendadas, también basada en seguridad por ofuscación, es usar el prefijo de base de datos distinto, de esta forma nuestro atacante desconocerá la estructura de la base de datos a la que se enfrenta, esta medida solemos realizarla en todos los CMS, LMS y eCommerce con los que trabajamos.
Debemos proteger nuestro usuario y contraseña, evitar el uso de: usuario admin de WordPress o las contraseñas demasiado sencillas.
Todas estas medidas ayudarán a proteger WordPress de una manera sencilla y efectiva.
En nuestra búsqueda de plugin que puedan sernos útiles nos hemos encontrado con WordFence, un plugin que en cuanto a recursos puede ser un poco costoso pero que con servidores VPS hemos comprobado que apenas ha habido bajada de rendimiento, y sus funcionalidades en la versión gratuita pueden ser muy útiles.
Entre las ventajas destacamos:
Su instalación por defecto deja algunos factores sin activar, os dejamos algunas recomendaciones y modificaciones para cuando instaléis WordFence y tener vuestro WordPress algo más seguro.
Esta medida no previene los fallos de seguridad, pero si nos podrá alertar de inicios de sesión en nuestra plataforma con la IP de procedencia.
También marcamos alertas de cambios de ficheros, recordemos que cuando se hackea una web los ataques van con la idea de crear una puerta falsa y aprovechar para usar recursos o datos de nuestro servidor
Llegado a este punto habéis podido comprobar que el número de parámetros y configuraciones de seguridad de este módulo gratuito es bastante amplio.
Ocultar nuestra versión de WordPress por ofuscación puede evitar algún DDOS o Lammers probando ataques a versiones concretas.
También desactivaremos la ejecución de archivos dentro de la carpeta Upload de forma que si algún plugin tiene un fallo y nos suben un script a esta carpeta no podrá lanzarse.
Sin duda si todo esto fallara debemos tener un plan B y ese plan pasa por tener un plan de copias de seguridad, recordemos que nuestro WordPress precisa de la carpeta de la web y la base de datos, por lo que debemos coordinar con nuestra empresa de hosting o mantenimiento que las copias se estén realizando correctamente.
Si contáis con un VPS de digitalDot contaréis con un panel de copias donde podéis programar las copias completas incluso el historial de versiones que queréis mantener.
Por último queremos dejaros este fantástico video de seguridad para WordPress con algunas modificaciones que recomienda Chema Alonso y que pronto veremos en el núcleo de esta plataforma.
Horario de atención al cliente:
L-V 8.00-14.00
L-J 14.00-18.00
