Radio WordPress #14: Seguridad básica para WordPress

La seguridad de WordPress es mucho más que WordPress, a veces es necesario tocar cosas que no se pueden tocar desde nuestro panel del WordPress.

En el capítulo de hoy vamos a ver cómo securizar nuestro WordPress impidiendo se puedan ejecutar ficheros que no se debe desde fuera y evitando que se puedan editar ficheros desde el propio panel de WordPress.

CÓDIGO PARA EL .HTACCESS DESCRITO EN EL AUDIO

# Securizar ficheros
<IfModule mod_alias.c>
RedirectMatch 403 (?i)(^#.*#|~)$
RedirectMatch 403 (?i)/readme\.(html|txt)
RedirectMatch 403 (?i)\.(ds_store|well-known)
RedirectMatch 403 (?i)/wp-config-sample\.php
RedirectMatch 403 (?i)\.(7z|bak|bz2|com|conf|dist|fla|git|inc|ini|log|old|psd|rar|tar|tgz|save|sh|sql|svn|swo|swp)$
</IfModule>

CÓDIGO PARA DESHABILIITAR EL EDITOR DE FICHEROS EN WORDPRESS

/** Deshabilitar editar ficheros desde el panel */
define (‘DISALLOW_FILE_EDIT’, true);

[showhide type=»transcripcion» more_text=»Ver transcripción(%s más palabras)» less_text=»Esconder transcripción (%s menos palabras)»]

Transcripción

Hola a todos, esto es Radio WordPress.com, un podcast dedicado a todos aquellos que de una manera u otra convivimos con WordPress.

Mi nombre es Eduardo Collado, este es el capítulo 14 y juntos vamos a ver técnicas básicas de seguridad de nuestro WordPress, vamos a seguir con lo que llevamos unos días y es profundizando sobre la seguridad en WordPress y las mejores formas de trabajar con este fantástico CMS.

—MÚSICA—

Es muy curiososo, hay muchísima literatura sobre WordPress, muchísimos tutoriales, muchísimo de todo, pero a la hora de profundizar un poco ya no hay tanto, y hablo de profundizar un poco, un poco, no una barbaridad.

Al WordPress le pasa lo mismo que al Windows, todo el mundo sabe hacer lo mínimo, pero si pides un poquito más ya hay muy poquita gente que sepa hacerlo y que se mueva con soltura, o ¿tódo el mundo sabe configurar un directorio activo o un exchange en condiciones?, pues eso le pasa a WordPress.

Instalar un WordPress es algo sencillo, pero securizarlo aunque también sea sencillo hay poca gente que sabe hacerlo, así que si tu eres de los que no saben securizarlo, al menos la parte básica, no te precoupes, en tan sólo 10 minutos habrás cambiado de bando y ya sabrás securizarlo, vamos allá.

—MÚSICA—

Si os dedicáis a vender mantenimiento de Wordpress de vuestros clientes estoy seguro que preferís usar vuestro tiempo en vender más mantenimientos que en estar todo el día arreglando fallos de seguridad, de verdad, estoy convencido.

Cuando instalamos un Worpdress, un tema o un plugin podemos estar instalando sin saberlo cosas que no queremos, ficheros que pueden hacer que nuestro WordPress sea vulnerable, y eso es algo que queremos evitar a toda costa.

Cada uno puede hacer lo que quiera, faltaría más, pero cuando toméis un nuevo WordPress para instalar o para mantener además de seguir pasos ya vistos en el podcast como todo el trabajo previo con las contraseñas, los backups y demás, podéis securizarlo impidiendo el acceso a ficheros que no deberían de estar en vuestro WordPress, obviamente borrarlos, pero a veces puede quedar alguno por ahí perdido y si además de borrarlos bloqueáis el acceso a esos ficheros a través del .htaccess pues mejor que mejor.

Lo ideal es bloquear el acceso a todos los ficheros que empiecen o terminen con una almohadilla, con una tilde, la de la eñe, los readme.html y readme.txt, aquellos ficheros llamados .ds_store y similar, el wp-config-sample.php y ficheros con extensiones como .sql, .bak, .conf, etc..

Si bloqueamos todo eso estaremos bloqueando una buena cantidad de posibles problemas.

Para hacer eso en las notas del programa, en radiowordpress.com, en el podcast #14, os dejo el código a insertar en vuestro .htaccess, esto simplemente lo copiáis ahí y viviréis muchísimo más tranquilos.

—MÚSICA—

Pero ese .htaccess no hace milagros si nosotros tenemos un montón de temas y plugins que no utilizamos instalados. Todos esos temas y plugins no instalados hay que borrarlos, porque aunque no estén activos el código sigue en nuestro servidor con el riesgo que ello conlleva.

Recordar que un fichero que no existe no tiene vulnerabilidades, así que todo lo que no uséis fuera, no lo tengáis instalado, dejad sólo los plugins que uséis y sólo el tema que estéis usando, ni uno más.

—MÚSICA—

Pero todo esto está muy bien si hemos seguido las reocomendaciones que os hice en el capítulo el que hablábamos sobre el mantenimiento de contraseñas, pero si alguien ha conseguido acceso a vuestro panel de WordPress esto no nos va a salvar la vida.

Algo que tampoco nos va a salvar, pero va a hacer más difícil hacernos daño es impedir la modificación de ficheros desde el panel de WordPress.

Si vais a los temas o a los plugins veréis que hay un enlace en el que poner Editar. Ahí tenéis un editor de los ficheros que están en vuestro WordPress.

A mi esto me parece peligrosísimo la verdad, puede ser cómodo, pero me parece peligroso pues se pierde cualquier cambio que se haya hecho, etc…

Es posible deshabilitar el editor online de WordPress con una miserable línea en el wp-config.php.

Os dejo en las notas del programa la línea en cuestión para que podáis incluirla en vuestro fichero wp-config.php.

/** Deshabilitar editar ficheros desde el panel */
define (‘DISALLOW_FILE_EDIT’, true);

Al incluir esa línea desaparecerán los enlaces de editar tanto en la sección de temas como en la de plugins. Obviamente si necesitáis volver a editar ficheros desde ese lugar lo que tenéis que hacer es quitar o comentar esa línea del fichero wp-config.php.

Recordad que para comentar simplemente ponemos una almohadilla delante y ya está, es así de fácil hacerlo.

—MUSICA—

Espero que el capítulo de hoy os haya sido de utilidad y podáis securizar un poco más vuestro WordPress y el de vuestros clientes.

Cualquier cosa que pueda hacer por vosotros ya sabéis donde localizarme, en radiowordpress.com donde tenéis un formulario fantástico de contacto.

[/showhide]