Breves recomendaciones de seguridad en WordPress

En un artículo anterior se explicó por encima la actualización que dio lugar a la versión 3.0.4 de WordPress. Ésta fue de seguridad, acerca de filtrado de código hacia el cliente XSS.

Si algo nos ha enseñado la historia es que cuando un software tiene un propósito tan amplio como WordPress y un uso masivo a nivel global despierta más interés por parte de personas sin escrúpulos que desean aprovecharse y atacar las páginas y clientes que usan este sistema.

La enorme variedad de plugins que existen y que nos permiten hacer prácticamente cualquier sitio web también es el principal problema de seguridad, Recordemos que los plugins de WordPress se ejecutan directamente y el core del mismo no es responsable por la ejecución de los mismos. Si un plugin está corrupto no hay nada que el CMS pueda hacer al respecto, y por esta razón es importante tener algunas buenas practicas al momento de utilizar plugins y temas en nuestros sitios web. Esto me da pie a dar algunas recomendaciones de seguridad en WordPress.

Actualiza regularmente WordPress y los plugins instalados

Cuando ocurren estos descubrimientos de fallos seguridad son prontamente solucionados. Siempre es recomendable usar la ultima versión.

Buscar plugins

En internet existen miles de plugins disponibles para hacer casi cualquier cosa que uno se imagine, sin embargo mi recomendación es escogerlos del sitio oficial que wordpress.org tiene para tal fin. Está claro que WordPress no se hace responsable de éstos, pero al estar allí podemos ver la calificación del plugin, su autor y más información de manos de terceros.

Borra plugins que no uses

Para hacer nuestros sitios más dinámicos y cambiantes en ocasiones instalamos nuevos plugins y nuevas características. Por eso es importante que primero desactives y luego borres los plugins viejos que no uses, porque si aún existen en el servidor pueden ejecutarse sólo conociendo sus rutas.

No te confíes por tener un sitio pequeño

Cuando comencé en la web, escuché mucho “soy pequeño, a mí qué me van a querer atacar”. ERROR: la gran mayoría de los ataques se hacen a sitios pequeños. Olvidemos la imagen del hacker sentado frente al PC pensando mil y una formas de entrar al banco para robar millones, ahora existen bots sin sentimientos o miramientos escaneando en internet alguna presa y alguna vulnerabilidad en los sitios. En ocasiones los ataques sólo se hacen como parte de un ataque más grande.

Permisos sobre las carpetas y archivos

Los ataques que he sufrido siempre han sido por este motivo. Por descuido o por necesidad del servidor y la aplicación, estas carpetas quedan con posibilidad de ser escritas o modificables por cualquier usuario del servidor, esto permite que los atacantes suban sus propios programas. Es importante que siempre y cuando no sea absolutamente necesario, nuestros archivos y carpetas tengan sólo permisos de lectura.

Copia de respaldo Copia de respaldo Copia de respaldo

Esto se dice mucho pero vale la pena. Si tienen un sitio en producción y éste es importante, es vital que se hagan copias de los uploads de WordPress y de la base de datos. En algunos casos, la única forma de resolver un ataque es hacer borrón y cuenta nueva; obviamente hay que verificar que ni en la base de datos ni en los uploads hayan rastros de ataques previos.

Por último en esta breve lista, usar algunos plugins de verificación como TAC (Theme Authenticity Checker), y algunos de aseguramiento del sitio como es BulletProof Security que, mediante los archivos htaccess, asegura el sitio ante muchos tipos de ataques.

¿Qué hacen ustedes en cuestión de seguridad?

Escrito por Víctor Edier el 15 de abril de 2011