Què és WordPress? Es tracta d’un sistema de gestió de continguts (CMS en anglés) utilitzat per a la creació de llocs web.
Multitud de pàgines web a tot el món han sigut desenvolupades utilitzant aquest gestor. És per això que aquesta entrada se centra a explicar les principals accions per a fer segura la pàgina web i evitar així ser víctimes de ciberatacs.
A més, si la vostra empresa disposa d’un lloc WordPress, l’invitem a realitzar el nostre curs sobre “Bastionatge de WordPress”, enfocat a com protegir el lloc web des de la vostra organització. Més informació en aquest enllaç.
Decàleg de seguretat en WordPress:
1. Seguretat al servidor.
Quan es tracta de la seguretat de WordPress, no és suficient bloquejar el lloc web, també cal comptar amb una capa de seguretat dins de l’àmbit del servidor. Tant els tallafocs com els sistemes de detecció d’intrusions han d’estar activats i configurats correctament.
D’altra banda, el sistema operatiu i les aplicacions han d’estar sempre actualitzades amb l’última versió disponible, i no oblideu utilitzar protocols de xarxa i transferència d’arxius segurs perquè la informació circule xifrada. Recomanem forçar la connexió a través d’HTTPS.
2. Actualitzeu el propi WordPress y els plugins utilitzats.
És important aplicar les noves versions que van sorgint del CMS i dels complements instal·lats. No solament per a obtindre noves funcionalitats, sinó també per a millorar la seguretat del lloc a través dels pedaços que hi inclouen.
A més, us aconsellem que no mostreu públicament informació sobre la configuració del lloc, com per exemple la versió de WordPress utilitzada.
3. Reviseu el PHP.
WordPress està desenvolupat amb aquest llenguatge de programació. Cada versió de PHP es manté i s’actualitza durant 2 anys des que es publica. Si la vostra versió de PHP és antiga, probablement el vostre lloc web està exposat a fallades de seguretat.
La versió més recent de PHP durant la creació d’aquest comentari és la 7.3, que té la data final del suport el dia 6 de desembre de 2021.
4. Usuaris/contrasenyes.
Eviteu els usuaris per defecte. No us recomanem l’ús de l’usuari “admin” com a usuari administrador, ja que sol ser el nom aprofitat en atacs de força bruta. Pel que fa a les contrasenyes, aquestes han de ser prou robustes per a accedir al lloc. També us recomanem l’autenticació en dos passos.
Aquesta recomanació és aplicable a qualsevol altra aplicació; hui dia es continuen utilitzant contrasenyes massa fàcils del tipus “1234”, “password”, “qwerty”, etc.
5. Panell d’administració.
Existeixen dues bones estratègies per a dificultar els atacs dels pirates informàtics: limitar el nombre d’intents d’accés i modificar la ruta d’inici de sessió.
6. Fitxer wp-config.php.
La seguretat d’aquest fitxer és molt important perquè conté la informació d’accés a la base de dades i les claus utilitzades per a encriptar les contrasenyes emmagatzemades a les galetes. Es recomana moure aquest arxiu al directori pare.
7. XML-RPC.
Aquesta API permet controlar gran part del vostre lloc WordPress (comentaris, arxius, opcions, usuaris…). Per defecte, es troba habilitat; per això, se n’ha de bloquejar l’accés i prohibir les peticions HTTP a xmlrpc.php.
8. Capçaleres HTTP.
Les capçaleres de seguretat HTTP li “diuen” al navegador com s’ha de comportar quan manegeu contingut del lloc. Feu-ne ús i configureu-vos-les al servidor. Algunes de les capçaleres més importants són “X-XSS-Protection”, “X-Frame-Options” i “X-Content-Type”, entre altres.
9. Base de dades.
Elegiu un nom poc intuïtiu per a la base de dades del vostre lloc web i modifiqueu el prefix de les taules. Per defecte, el prefix és “wp_”. D’aquesta manera, li ho posareu més difícil als atacants.
10. Permisos en arxius y carpetes.
Reviseu els permisos de lectura, escriptura i execució que tenen els fitxers de la vostra instal·lació WordPress i configureu-los de manera que hi haja una certa restricció d’accés.
@concienciaT