¿Qué es WordPress? Se trata de un sistema de gestión de contenidos (CMS en inglés) utilizado para la creación de sitios web.
Multitud de páginas web en todo el mundo han sido desarrolladas utilizando este gestor. Es por ello que esta entrada se centra en explicar las principales acciones para securizar su página web y evitar así ser víctimas de ciberataques.
Además, si su empresa dispone de un sitio WordPress, le invitamos a realizar nuestro curso sobre “Bastionado de WordPress”, enfocado a cómo proteger el sitio web de su organización. Más información en este enlace.
Decálogo de seguridad en WordPress:
1. Seguridad en el servidor.
Cuando se trata de la seguridad de WordPress, no es suficiente con bloquear el sitio web, también es necesario contar con una capa de seguridad a nivel de servidor. Tanto los firewalls como los sistemas de detección de intrusiones deben estar activados y correctamente configurados.
Por otra parte, el sistema operativo y las aplicaciones deben estar siempre actualizadas con la última versión disponible, y no olvide utilizar protocolos de red y transferencia de archivos seguros para que la información circule cifrada. Recomendamos forzar la conexión por HTTPS.
2. Actualiza el propio WordPress y los plugins utilizados.
Es importante aplicar las nuevas versiones que van surgiendo del propio CMS y complementos instalados. No solamente para obtener nuevas funcionalidades, sino también para mejorar la seguridad del sitio a través de los parches que incluyen.
Además, es aconsejable no mostrar públicamente información acerca de la configuración del sitio, como por ejemplo la versión de WordPress utilizada.
3. Revisa el PHP.
WordPress está desarrollado con este lenguaje de programación. Cada versión de PHP se mantiene y actualiza durante 2 años desde su publicación. Si su versión de PHP es antigua, probablemente su sitio web estará expuesto a fallos de seguridad.
La versión más reciente de PHP durante la creación de este post es la 7.3, cuya fecha fin de soporte es el próximo 6 de diciembre de 2021.
4. Usuarios/contraseñas.
Evite los usuarios por defecto. No se recomienda el uso del usuario “admin” como usuario administrador, puesto que suele ser el nombre aprovechado en ataques de fuerza bruta. En cuanto a las contraseñas, estas deberían ser lo suficientemente robustas para acceder al sitio. También es recomendable la autenticación en dos pasos.
Esta recomendación es aplicable a cualquier otra aplicación; hoy en día se continúan utilizando contraseñas demasiado fáciles del tipo “1234”, “password”, “qwerty”, etc.
5. Panel de administración.
Existen dos buenas estrategias para dificultar los ataques de los piratas informáticos; limitar el número de intentos de acceso y modificar la ruta de inicio de sesión.
6. Fichero wp-config.php.
La seguridad de este fichero es muy importante puesto que contiene la información de acceso a la base de datos y claves utilizadas para encriptar las contraseñas almacenadas en las cookies. Se recomienda mover este archivo a su directorio padre.
7. XML-RPC.
Esta API permite controlar gran parte de nuestro sitio WordPress (post, archivos, opciones, usuarios…). Por defecto, se encuentra habilitado; por ello, debe bloquearse el acceso y prohibir las peticiones HTTP a xmlrpc.php.
8. Cabeceras HTTP.
Las cabeceras de seguridad HTTP le “dicen” al navegador cómo comportarse cuando maneje contenido del sitio. Haga uso de ellas y configúrelas en el servidor. Algunas de las cabeceras más importantes son “X-XSS-Protection”, “X-Frame-Options” y “X-Content-Type”, entre otras.
9. Base de datos.
Elija un nombre poco intuitivo para la base de datos de tu sitio web y modifique el prefijo de las tablas. Por defecto el prefijo es “wp_”. De esta forma se lo pondrá más difícil a los atacantes.
10. Permisos en archivos y carpetas.
Revise los permisos de lectura, escritura y ejecución que tienen los ficheros de su instalación WordPress y configúrelos de forma que exista cierta restricción de acceso.
@concienciaT