Web corporativa

Servicio de seguridad web para WordPress
Publicado por

Servicio de seguridad web para WordPress

De la mano de los incuestionables avances de la nueva era digital, nos ha llegado la ciber-delincuencia, que precisamente por silenciosa e insospechada es mucho más peligrosa que la delincuencia tradicional, son los delincuentes del siglo XXI: los HACKERS.

Hoy en día el espionaje entre empresas o estados, el robo de secretos o de dinero, el asalto a  domicilios o a bancos, estafas y fraudes, ya no se realizan por los delincuentes que estamos habituados a ver en el cine, sino que se ejecutan desde terminales de ordenador conectados a Internet, empleando sitios webs asaltados, desde donde despliegan todo su potencial delictivo a miles de kilómetros de distancia.

Sitio web tomado por hackers

Esta imagen ha sido tomada de un sitio real tomado por hackers.

En muchas ocasiones los ciber-delincuentes en realidad son básicamente ciber-gamberros, quienes asaltan sitios web simplemente para colocar su bandera pirata y demostrar de lo que son capaces.

Sean delincuentes o gamberros, los hackers actúan de modo invisible y, al no percibir su presencia, los propietarios de sitios web disfrutan de una peligrosa tranquilidad que, en muchas ocasiones, puede conducir a situaciones comprometidas, como quedar implicados en un acto delictivo o ser víctimas de un ataque que inutilice sus propios espacios web.

 

WordPress y la Seguridad

La utilización de gestores de contenidos tan extendidos como WordPress, presenta muchísimas ventajas, como es que una inmensa comunidad de desarrolladores vayan mejorando día a día la funcionalidad de este CMS. Pero su éxito atrae problemas de seguridad como los que exponemos a continuación:

  • El éxito de WORDPRESS atrae  a muchos hacker como reto, identifican sus vulnerabilidades para luego asaltar los sitios web basados en esa tecnología.
  • La instalación básica de WORDPRESS es estándar y perfectamente conocida, es fácil automatizar un ataque creando asaltos masivos como el que se produjo en abril de 2013, que afectó a más de 90.000 instalaciones de WordPress en todo el mundo.
  • Actualmente robots (botnet) recorren toda la red de Internet buscando sitios WordPress propicios para asaltar y controlar.

 

¿Qué se puede hacer para evitar un ataque hacker en WordPress?

Existen medidas muy sencillas y efectivas para desincentivar un ataque hacker, que cualquier usuario de WordPress, sin grandes conocimientos de administración de sistemas, puede poner en marcha, y consisten en:

 

Actualizar regularmente WordPress Cada nueva versión de WordPress contempla nuevas medidas de seguridad a las que no debemos renunciar.Permanecer en Internet con una versión anticuada de WordPress supone un peligro innecesario, sobre todo si tenemos en cuenta lo sencillo que es actualizar.
Actualizar regularmente los plugins Los mayores ataques proceden de las vulnerabilidades de los plugins que tenemos instalados. Es importante utilizar plugins oficiales y siempre actualizados.
Utilizar contraseñas complejas En ocasiones solemos emplear contraseñas fáciles de recordar, pero que no son nada fiables, lo que supone una grave vulnerabilidad de la seguridad. Usar una contraseña que incluya letras mayúsculas y minúsculas, números y algún carácter, es una medida saludable y barata de seguridad web.
Realizar copias de seguridad con regularidad Uno de los grandes riesgos de un asalto hacker a WordPress es la pérdida de todos los contenidos, tanto de la base de datos como de los archivos. Una copia de seguridad con regularidad razonable es otra medida que nunca debemos olvidar.
Eliminar el usuario ‘admin’ Por defecto, WordPress genera un usuario denominado ‘admin’. Al formar parte de la instalación estándar, es la primera vulnerabilidad que identifica el hacker.Cuando el hacker conoce el nombre del usuario, obtener una contraseña es muy sencillo para él, a través de intentos repetidos.Si aún dispones de un usuario que llama ‘admin’, lo mejor es borrarlo y crear otro con otro nombre.

 

Contemplando estas medidas, habremos elevado nuestro nivel de seguridad considerablemente. Para empresas que dispongan de sitios web con poca actividad, puede ser más que suficiente. Pero para aquellas organizaciones y empresas que dispongan de su SITIO WEB RELEVANTE, es altamente recomendable adoptar medidas adicionales, que se describen a continuación en el SERVICIO DE SEGURIDAD WEB para WORDPRESS de LEMA consultores TIC.

El SERVICIO DE SEGURIDAD WEB PARA WORDPRESS de LEMA consultores TIC, contempla las siguientes actuaciones:

Medidas de seguridad Tareas
Ajustes de la instalación básica de WordPress
  • Modificación del nombre de las carpetas de la instalación de WordPressü  Alteración del prefijo estándar  (_wp) de las tablas de la base de datos de WordPress.
  • Crear la administración oculta de WordPress, modificando la URL de acceso a la zona administrativa, ocultando su ubicación.
  • Cambiar el usuario ‘admin’.
  • Cambiar la ID del usuario administrador (normalmente es ‘1’)
Mejoras del sistema
  • Proteger la modificación de archivos de configuración de WordPress.
  • Deshabilitar la navegación por los directorios del sitio.
  • Filtrar cadenas de consultas sospechosas.
Seguridad pasiva
  • Copia de seguridad PERIÓDICA de la base de datos de WordPress. La periodicidad dependerá de la intensidad en la crecación de contenidos.
  • Copia de seguridad PERÍODICA completa, tanto de archivos como de bases de datos web. La periodicidad dependerá de la intensidad en la crecación de contenidos.
  • Sugerencia de nuevas contraseñas.
  • Actualización de WordPress.
  • Actualización de plugins.
Seguridad activa
  • Detección y bloqueo de usuarios que intenten acceder a la zona administrativa tras repetidos intentos fallidos.
  • Activación de una lista negra actualizada de servidores y usuarios identificados mundialmente como hackers, que se irá ampliando con las IPs de servidores y usuarios reincidentes en ataques sobre nuestro sitio protegido.
  • Creación de una lista blanca con las IPs desde las que se accede legítimamente al sitio protegido, evitando bloqueos del sistema.
  • Detección y bloqueo de usuarios que soliciten reiteradamente archivos de la instalación que no existen. En muchas ocasiones de esa forma, los hackers intentan identificar vulnerabilidades.
Opciones avanzadas de seguridad
(sólo cuando sean precisas)
  • Bloqueo de la administración de WordPress en determinadas franjas horarias (por ejemplo por la noche) o entre fechas.
  • Alerta sobre archivos modificados,  por si se estuviera produciendo alguna actividad inusual (una vez al día)
  • Forzado de contraseñas fuertes.

 

Con este paquete de medidas, conseguirás blindar tu sitio web y podrás dormir un poco más tranquilo. ¿O no?

Foto: Earl

0 2 4581 07 febrero, 2014 01.Soluciones web, Seguridad web, Tienda ONLINE, Web corporativa febrero 7, 2014
Juan Antonio Pedrero

Sobre el autor

Director de LEMA consultores TIC, impulsor de nuevos modelos de negocio online y comprometido en ayudar a las empresas a rentabilizar sus inversiones en Internet.

Ver todos los artículos de Juan Antonio Pedrero

2 comentarios

    1. Juan Antonio Pedrero
      Autor de la entrada
      Juan Antonio Pedrero

      Hola Kino, este post, como el resto de los de este sitio, tienen un propósito divulgativo y no aspira a realizar análisis etimológicos de cada término empleado, sino llamar a las cosas por el nombre por el que se las conoce en la calle para ser entendidas por la mayoría de la audiencia a la que nos dirigimos, con independencia de lo políticamente correctas que sean, y procurando no herir sensibilidades de diferentes minorías que puedan sentirse aludidas, como creo que es el caso.
      Estimado Kino, si analizamos el origen del término, la asociación entre hacker y delincuencia quizás sea injusta, pero parece que será difícil persuadir a la sociedad de otra cosa, mientras estos delincuentes que persiguen fines dañinos, ánimo de lucro y relevancia pública, se autodenominen hackers, y mientras muestren sus carteles de “Site hacked by…” o “Sitio hackeado por …” tras asaltar un sitio web.
      Las palabras pueden tener un origen muy noble pero luego, en la calle, van asumiendo su propio significado. Permíteme Kino que muestre el ejemplo de una palabra muy popular en España para identificar a un delincuente de poca monta, como es el término “Quinqui”. Los quincalleros o “quinquis”, originariamente eran personas que se dedicaban a rebuscar por la ciudad cualquier resto metálico de escaso valor llamado “quincalla” para su posterior venta a intermediarios, pero debido a la proliferación de ciertos individuos que, además de ejercer la noble profesión de vender quincalla, también realizaban actos delictivos, terminó por asimilarse la palabra quinqui a delincuente.
      Aspirar a forzar el significado de las palabras por lo que debería ser en vez de su uso popular, es un acto muy encomiable, pero tan vano como poner puertas al campo.
      Por último, apreciado Kino, tengo que terminar dándote la razón: mi ignorancia es doblemente profunda: En primer lugar trabajo continuamente con fantásticos profesionales de diferentes partes del mundo, magníficamente preparados que me evidencian día tras día todo lo que ignoro; y en segundo lugar, cada vez que creo que podemos estar tranquilos porque parece que un sitio ha superado un ataque cibernético, siempre hay un nuevo asalto que pone en evidencia todos los conceptos de seguridad.
      Muchas gracias por tu comentario y estaré encantado de recibir tus sugerencias sobre este o cualquier otro tema que tratamos en esta web.

      Responder

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *