Debo decir que no suelen invitarme a muchos Meetups, quizás porque he estado mucho tiempo en el extranjero y eso dificulta bastante la movilidad para participar en determinados eventos, por lo que la participación en este Meetup Seguridad WordPress ha sido todo un detalle.
Llevo ya un tiempo centrado en difundir la importancia de asegurar las instalaciones de WordPress, ya sea con post en Blogs, emisiones en vivo desde plataformas como Periscope o Facebook Live y también Podcast, con un formato titulado Seguridad en WordPress para Principiantes.
Aprovecho toda ocasión para llevar a los menos conocedores de la seguridad, su importancia, las sencillas técnicas con las que se puede mejorar y sobre todo la concienciación de que cada usuario es el eslabón más débil de todo el proceso y que evitarlo solo esta en las manos de cada uno.
A este primer meetup en calidad de orador «llegué tarde» ¡sí! todo hay que decirlo, y no voy a echar la culpa al aparcamiento pero no está de más decirlo ¡aparcar en el centro de Granollers es casi misión imposible!
Índice de Contenidos
Introducción
El evento, organizado por WordPress Granollers y coordinado por Javier Quilez y Raúl Martínez, me permitió hablar sobre seguridad básica, para principiantes principalmente, aunque te asustaría saber la cantidad de gurús del CMS y marketers que no hacen los deberes en este sentido ô.Ô
Fue un formato ameno, distendido, en el que pude esbozar algunos de los aspectos que llevan a que determinadas instalaciones gestionadas con WordPress acaben siendo vulnerables, sean infectadas o atacadas.
Posteriormente presenté un checklist básico para hardenizar mejor WordPress.
Cerré el meetup dando algunos consejos «extra» sobre seguridad en WordPress y sortee un ejemplar del libro «Máxima Seguridad en WordPress» de mi amigo Daniel Maldonado.
Se apuntaron 19 personas (solo había 20 plazas al meetup por razones de aforo). SI bien que luego la afluencia en este tipo de eventos fluctúa por diversas razones, lo cierto es que conseguir participación del 50% de los apuntados es en sí ya un éxito, sobre todo si consideramos que son eventos gratuitos y en ocasiones, si no es alguien relevante (el orador) provoca ausencias de público que tiene otras tareas en las que ocupar el tiempo.
…a continuación te expongo la temática tratada en el Meetup.
¿Crees que WordPress es inseguro?
El núcleo de WordPress, de facto, es muy seguro, pero son las malas políticas de seguridad o la ausencia de ellas, así como ignorar que las copias de seguridad sirven para algo, y abusar del uso de plugins, las que acaban llevando cualquier instalación estable al desastre.
- Si utilizas una versión desactualizada y/o vulnerable.
- Si instalas plugins indiscriminadamente y luego te olvidas de ellos.
- Si te excedes en la protección de tu web (menos plugins y más Hosting).
- Si lo de las copias de seguridad es cosa de tu Hosting y no va contigo.
- Si sumas en lugar de restar (menos es más).
- Si accedes a tu dashboard desde conexiones inseguras (wifis públicas, bares, etc).
Por increíble que te parezca, actualmente solo el 53,3% de instalaciones de WordPress trabajan con la versión estable, el resto se reparten entre el 0,8% que aún trabajan con la versión 3.4 que data de 2012 y el 10,7% que aún siguen anclados en la versión 4.6 que ya quedó atrás y además es muy vulnerable.
¿Sigues pensando que el núcleo de WordPress es inseguro?
Las vulnerabilidades existen, eso es incuestionable, por lo que tener políticas de prevención y contención frente a fallos de seguridad de un sitio web deben formar parte de tu checklist de trabajo con WordPress, sobre todo si tu enfoque es comercial y gestionas tu propia cartera de clientes.
Veamos en unos pocos puntos como puedes contribuir a que tu instalación de WordPress sea más estable, más segura y te permita dormir más tranquilo sabiendo que todo está bajo control.
Checklist de Seguridad para tus instalaciones de WordPress:
- Mantén el núcleo, plugins y temas siempre actualizados.
- Realiza de forma regular copias de seguridad. ¡siempre!
- Evitar la exploración de directorios.
- Oculta los posibles errores de PHP.
- Mantén protegido el directorio wp-admin
- Protege el archivo wp-config.php
- En sitios con varios usuarios, fuerza el cambio de contraseñas periódicamente.
- Deshabilita el listado del archivo .htaccess
- Utilizar contraseñas más robustas y menos predecibles. (Llaveros).
- Deshabilita llamadas a procedimiento remotos (XML-RPC)
- Deshabilitar Trackbacks y Pingbacks
- Quitar usuario administrador admin (un clásico).
- Elimina los usuarios inactivos.
- Utiliza el rol de colaborador para autores invitados. (MPE = Mínimo Punto de Exposición)
- Los temas y plugins que no necesites desinstálalos.
- Monitoriza tu sitio web en tiempo real.
- Utiliza SSL en WordPress ¡Let’s Encrypt es gratuito, no hay excusas!
- Audita los cambios realizados por diferentes administradores (multisitios).
- Utiliza métodos de autenticación en dos pasos (2FA) #Latch
- Accede siempre a la web de forma segura (SFTP, SSH, a cPanel desde VPN).
- No uses plugins de seguridad, mejor contrata un buen Hosting.
La lista podría ser más larga, pero para empezar sirve, si quieres ampliar esta información puedes leer un post que publique en el Blog de José Facchin al respecto:
Seguridad en WordPress ¡La mega guía para blindar tu página web o blog!
Tal como indicaba al comienzo, tras finalizar el meetup se sorteo un ejemplar de Máxima Seguridad en WordPress, escrito por Daniel Maldonado @elcodigok y publicado por la editorial 0xWord @0xword que acostumbra a publicar títulos de mucha calidad sobre hardening, pentesting, FOCA naturalmente 🙂 y otros relacionados con la seguridad informática.
El ganador del sorteo fue Ivan Resina, el cual agradecio este detalle y al que aprovecho para felicitar y animo a seguir explorando en este interesante mundo de la seguridad de CMS, especialmente de WordPress; tal como hizo Daniel Maldonado, autor del libro, que envió un vídeo felicitando al ganador (lógicamente sin saber quien seria) 😉
Conclusiones
Tras esta breve exposición de puntos a considerar, se justifica la máxima que siempre sostengo «WordPress es muy seguro» pero son los usuarios y el uso de plugins de terceros, vulnerables, o descargados de sitios de poca confianza, los que convierten WordPress en una instalación vulnerable.
Espero haber conseguido llegar a las personas que asistieron al evento y al menos despertado su interés por la seguridad, aunque sea a nivel básico, sin florituras ni tecnicismos que solo sirven para espantar a los interesados.
Nos vemos por aquí, cerca de tu ciudad o provincia en un próximo Meetup o quizás en la siguiente WordCamp (ツ)
¡Gracias a WordPress Granollers por invitarme a participar!
Gracias Luis por compartir este tipo de contenido con esta forma sencilla y cercana que tienes.
¡Enhorabuena por el post!
Hola Javier,
Gracias a ti por darme la oportunidad de llevar a los amantes de WordPress tanto de Granollers como de Barcelona y el Valles Oriental, estos pequeños tips sobre seguridad en WordPress.
¡Nos vemos en el próximo! 😉
Una pregunta las vulnerabilidades están asociadas a las extensiones o al propio CMS?
Se supone que si vas instalando las actualizaciones todo debe funcionar o no?
Hola Pilar,
Gracias por preguntar 🙂
Las vulnerabilidades pueden estar asociadas a:
– CMS (núcleo de WordPress)
– Plugins
– Temas
Mantener todo actualizado permite solventar estas posibles vulnerabilidades en el núcleo, plugins o temas, siempre que existan versiones posteriores a la afectada.
Tan importante es mantenerlo actualizado como no utilizar plugins o temas que lleven mucho tiempo sin actualizarse, ya que en algunos casos podrían estar afectados por vulnerabilidades no conocidas (0days) y eso comprometería el sitio web.