La seguridad de tu web también depende de tí. Cuida tu WordPress

“Nunca pensé que me fuera a pasar a mí”. Esta es, seguramente, la frase favorita de quienes, faltos de previsión, nunca o casi nunca se preocupan por nada. Es, seguramente, lo que te responderá tras haber sufrido un ataque de un ciberdelincuente.

Porque si hay algo que, habitualmente, se descuida es la seguridad de nuestra web. Tenemos, o deberíamos tener, ciertas pautas de comportamiento seguro en nuestro día a día: utilizamos contraseñas seguras y distintas para cada una de nuestras cuentas, no utilizamos wifi públicas para consultar nuestros movimientos bancarios, protegemos nuestros documentos con claves, realizamos copias de seguridad… Hasta ahí, ese es, o debería ser, nuestro comportamiento habitual.

Sin embargo, en lo que respecta a nuestra web (peor aun cuando se trata de una web corporativa) no solemos tomar las mismas precauciones. No solemos ser conscientes de la vulnerabilidad que puede suponer tener una web insuficientemente protegida y/o no tener implementadas unas pautas de comportamiento que securicen la información que allí almacenamos.

Si bien es cierto que la información de las webs es pública, un acceso a la misma por parte de un ciberdelincuente puede tener consecuencias nefastas para nuestro establecimiento, nuestra marca y nuestra imagen personal.

La consecuencia directa de un ataque será, en la mayoría de los casos, que no tengamos acceso a nuestra web, que se haya sustituido la home por una imagen del atacante o un aviso de que ha sido hackeada y que la web, por tanto, no pueda cumplir su función de información y visualización para las que fuñe creada.

Pero es que, además, si un atacante ha tenido acceso al backoffice de nuestra web, tendrá al alcance de su mano, con seguridad, acceso al correo corporativo y, con él, a nuestro correo y red de contactos, con las nefastas consecuencias que esto podría tener. De hecho, el principal objetivo de un ciberdelincuente al atacar una web es, precisamente, el servidor de correo para enviar spam masivamente.

Como último mal menor, habremos perdido todo el trabajo desarrollado en la actualización y publicación de contenidos que hayamos venido realizando.

Además del coste que deberemos soportar para eliminar el malware que ha generado el desastre y/o el coste del rescate si se trata de ransomware, modalidad de “éxito” creciente últimamente.

Todas estas desgracias, si bien no son absolutamente inevitables, sí que podemos tratar de minorarlas con una serie de medidas preventivas encaminadas a reforzar la seguridad de nuestra web. Medidas que, por otra parte, tendríamos implementadas si tuviéramos contratado un servicio completo de mantenimiento web con una empresa seria y profesional.

Nos centraremos, en este post, en las webs creadas con WordPress por ser la plataforma en la que se basa la amplia mayoría de las webs corporativas hoy en día a pesar de ser realmente vulnerable, especialmente si no se toman las medidas necesarias.

De acuerdo con los informes de WP White Security, más del 70% de las instalaciones de WordPress son vulnerables a ataques de ciberdelincuentes con más de 170.000 ataques el pasado año.

Los posibles atacantes no pretenden perder tiempo con ataques infructuosos. Se centran exclusivamente en aquellas webs que saben de antemano que son vulnerables debido a las brechas de seguridad existentes. No debemos asustarnos por ello: podemos bloquear con eficacia casi el 100% de los ataques a nuestro sitio web con sólo hacer frente a estos problemas de seguridad siguiente las siguientes buenas prácticas:

Elegir un buen servicio de hosting

Casi la mitad de los intentos de hacking están causados por una vulnerabilidad en los servicios de hosting. Merece la pena utilizar una empresa que nos garantice la seguridad del alojamiento que vamos a contratar.

Mantener WordPress actualizado

WordPress se actualiza, con nuevas versiones, dos veces al año. Cada nueva versión corrige las vulnerabilidades descubiertas en versiones anteriores. Estar actualizado a la última versión es, por tanto, premisa.

Además de estas actualizaciones mayores, WordPress lanza casi constantemente actualizaciones menores, que no incorporan nuevas funcionalidades, pero que sí corrigen errores, bugs y brechas de seguridad descubiertas. Tenerlas instaladas es nuestra mejor vacuna ante posibles ataques.

Mantener actualizados los plugins y temas

Las brechas de seguridad en temas y plugins representan más de la mitad de todos los ataques con éxito a instalaciones de WordPress. No es necesario, creemos, decir nada más acerca de la importancia de mantenerlos actualizados.

Obviamente, tanto temas como plugins, deben ser descargados de las fuentes oficiales.

Control de los permisos de archivo

Configurar un directorio con permisos de 777 podría permitir a un usuario malintencionado  cargar un archivo malicioso o modificar un archivo existente. Deberíamos mantener los permisos de los directorios en 755.

Desactivar el Informe de errores de PHP

Si un plugin o tema provoca un error, el mensaje de error puede visualizar su ruta del servidor, información que es muy útil para un ciberdelincuente. Por lo tanto, lo mejor es tener el informe de errores desactivado.

Cambio de las contraseñas con frecuencia

Crear contraseñas seguras y cambiarlas con relativa frecuencia debe ser, sin duda, parte de nuestra rutina.

Además, cambiar el usuario por defecto (admin) de toda instalación por un usuario personalizado dará una pista de que estamos tomándonos en serio la seguridad del sitio web y dificultará la labor del atacante.

Limitar los intentos de conexión

Los ciberdelincuentes utilizan ataques por fuerza bruta para tratar de obtener acceso a un área de administración de WordPress, con métodos recurrentes de prueba y error. Hay multitud de plugins que limitan el número de intentos de acceso posible superado el cual, bloquean durante un tiempo definido la posibilidad de acceder.

Autenticación en dos pasos

Un proceso de autenticación de inicio de sesión de dos pasos hará que sea aún más difícil para un atacante acceder a nuestro sitio web al obligar a utilizar un segundo código de autorización.

Nuevamente recurriendo a los plugins podremos implementar esta medida de seguridad.

Cambiar la página de entrada

Todo usuario de la web sabe, y esto incluye a los ciberdelincuentes, que la entrada que da acceso a cualquier instalación en WordPress está en www.misitio.com/wp-admin/ o en www.misitio.com/wp-login.php. Cambiar la ubicación de los archivos de inicio de sesión hará que sea mucho más difícil llevar a cabo un ataque por fuerza bruta.

Ocultar el número de versión de WordPress

Por defecto, WordPress coloca una etiqueta meta en el código de cada web que indica la versión que se está utilizando. Desafortunadamente, esta información es útil para los piratas informáticos, especialmente si estamos utilizando una versión no actualizada de WordPress que tiene un agujero de seguridad.

#fun4DJ #fun4Break #fun4Security

protege tu web

Por |2016-10-12T20:25:03+00:00marzo 23rd, 2015|#fun4Break, Blog|No hay comentarios

About the autor:

#fun4DJ & CEO en fun4Shoppers || Digital Marketing - Social Media - Web Design - Events&Music - fun4CiberSecurity - Geek & Knowmad || En constante aprendizaje en un mundo en el que lo que hoy vale, mañana está obsoleto - Huyo de los jetas, de los vendedores de humo y de quienes pretenden aparentar - Si necesitas algo de mí, tan solo pídemelo - Creo en las personas - Always searching #PureLife - Si me dices ven, lo dejo todo

Deje su comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.