Podcast: Descargar (Duración: 15:37 — 23.3MB)
Hola a todos, mi nombre es Eduardo y esto es RadioWordpress, un podcast dedicado a todos aquellos que de una manera o de otra convivimos con WordPress.
Hoy es Jueves 16 de Febrero y me gustaría recorrer con vosotros un WordPress para hacer una auditoria de seguridad básica, qué tenemos que mirar y donde. Esto no va a hacer que nuestro WordPress sea indestructible, pero sí que lo va a hacer menos vulnerable que el 99% de WordPress que hay por ahí.
La seguridad no es una cosa que hagamos un día y ya está, no, la seguridad es algo que tenemos que seguir todos los días, y en todos estos capítulos que llevamos hemos estado viendo diversas cosas que podemos hacer para mejorar la seguridad de nuestro WordPress, ya sea mediante mejores prácticas, modificaciones del fichero .htaccess, el uso de plugins o el uso del sentido común que es a día de hoy una de nuestras mejores armas.
La auditoría básica está pensada para hacer una evaluación rápida de aquellos WordPress que caen en nuestras manos, o que queremos revisar para poder emitir un juicio rápido, obviamente luego será necesario trabajar en profundidad con ese WordPress para poder emitir un juicio aceptable.
Lo primero que vamos a hacer es logarnos en el admin de WordPress y antes de entrar ya podemos evaluar si el usuario y la contraseña son aceptables, si vamos a entrar en un WordPress y las credenciales que nos facilitan son usuario admin y contraseña password, empezamos mal, realmente es difícil empezar peor, ahí tenemos que ver que el usuario no sea el usuario de WordPress y que la contraseña tenga una complejidad mínima.
Para ver la complejidad de la contraseña realmente no os hace falta ningún software y rápidamente podréis ver si se trata de un teléfono, una fecha, una palabra sencilla o una contraseña en condiciones, al menos veremos su apariencia y como evaluación primera, recordad que estamos haciendo una auditoría rápida, es más que suficiente.
Una vez nos hayamos logado miraremos que no hay actualizaciones y luego en el admin de WordPress iremos a Ajustes y luego a Generales, ahí buscaremos la opción «Cualquiera puede registrarse» y tenemos que ver que está deshabilitada. A veces por alguna razón llegamos a un WordPress y tienen esta opción habilitada lo cual no es una muy buena idea pues cualquiera podría llegar a entrar en nuestro admin después de logarse con algún tipo de permiso.
En cuanto a los comentarios también tendremos que ver que no todo el mundo pueda comentar alegremente. No es necesario tener que validar todos los comentarios, pero sí los comentarios de aquellos usuarios nuevos, así que os recomiendo en Ajustes – Comentarios dejar desmarcado «El comentario debe aprobarse manualmente», pero en cambio sí dejar marcado «El autor del comentario debe tener un comentario previamente aprobado» y justo debajo tener limitado el número de enlaces a otras webs que permitimos en los comentarios. Pensad que mucho spam viene indicado simplemente por el uso excesivo y desmesurado de los enlaces en los comentarios.
Luego obviamente podéis filtrar palabras que no os gusten.
Esto de los comentarios nos puede ayudar a controlar el poco spam que consiga saltarse a los plugins antispam y evitar que alguien pueda hacernos daño, por ejemplo un usuario con comentarios aprobados que diga cosas muy feas de nuestras competencia, eso no es elegante y hay que tener mucho cuidado con ese tipo de cosas.
Luego en Ajustes – Lectura, es muy interesante no tener marcada la opción «Disuade a los motores de búsqueda de indexar este sitio», pensar que a veces hay gente que gestiona WordPress y cuando tienen algún problema con el cliente marcan esta casilla para que el cliente desaparezca de Google, son malas prácticas, pero hay gente que las hacen, así que es un punto importante a mirar, obviamente también el htaccess no vaya a ser que ahí está indicado.
Llegados a este punto iremos a la sección de plugins. Ahí tendremos que comprobar que estén todos activos y actualizados, si no están activos es que no hacen falta y se pueden borrar. Luego iremos plugin por plugin viendo si son plugins que están al día o si llevan mucho sin actualizarse, por supuesto viendo si soportan nuestra versión de WordPress y demás, este punto es bastante laborioso y muchas veces no podremos hacerlo si tenemos muy poco tiempo para una vista rápida.
En los usuarios como hemos dicho antes miraremos que no exista el usuario admin y que los nombres de los usuarios no coincidan con el nombre de usuario de WordPress, esto realmente es más importante de lo que parece, porque si no se sabe nuestro usuario es más difícil que puedan conseguir la contraseña. Por supuesto el número de usuarios que sean adminsitradores del WordPress tienen que ser los mínimos imprescindibles.
En cuanto a los temas también tendremos que revisar las versiones, que estén actualizados, etc..
En este punto ya dejaremos de usar la web y pasaremos a revisar los ficheros de WordPress.
Empezaremos revisando el wp-config.php, comprobaremos que el prefijo no sea wp_, que el usuario y el nombre de la base de datos no sea el mismo y que la contraseña sea compleja, si es posible tendremos el acceso al mysql cerrado a todo aquel que no sea localhost.
Luego deshabilitaremos el error_display y la edición de ficheros desde nuestro admin, esto recordad que lo hemos hecho ya en capítulos anteriores, y es muy interesante protegernos con esto.
Y ahora pasaremos a nuestro amigo el .htaccess, ahí comprobaremos que al menos tengamos protegido el wp-config, que tengamos bloqueados los comentarios de spam no referidos, el hotlinking y comprobaremos que está bien definido el tiempo de cache, esto ya os digo, por no repetirme lo tenéis en capítulos anteriores de este mismo podcast.
Y por último revisad siempre que estén los permisos de los ficheros y directorios correctos, recordad que WordPress recomienda los ficheros en 644 y los directorios en 755.
Con estas sencillas normas podéis mejorar o evaluar un WordPress en cuestión de minutos, por supuesto luego podéis profundizar todo lo que deseeis.