Después de estrenar nuestra serie de webinar gratuitos sobre WordPress con Álvaro Gómez Velasco, quien nos detalló las claves fundamentales para tener una instalación de WordPress personalizada, en esta segunda entrega hablaremos sobre errores de seguridad en WordPress, el CMS más usado y también más atacado con Néstor Angulo de Ugarte, analista de seguridad en Sucuri (GoDaddy Security) y miembro de la Comunidad de WordPress de Gran Canaria.
Acompañando a Mauricio Gelves, desarrollador freelance de WordPress y GoDaddy Pro Brand Evangelist, Néstor nos hará un recorrido sobre las incidencias y errores de seguridad más comunes que ha visto en WordPress, además de dar algunas pautas para poder evitar y reducir las posibles amenazas a tu web, disminuyendo al mismo el riesgo de infecciones de malware y todos los problemas que estos ocasionan.
De esta forma seguimos añadiendo al programa gratuito de GoDaddy Pro nuevos contenidos que complementan a las herramientas exclusivas y gratuitas como Pro Sites o Clientes Pro, dirigidas a aquellos profesionales web que buscan administrar una gran cantidad de proyectos de una forma sencilla y segura.
Qué pudimos ver en el webinar “Primeros pasos y mejoras al instalar WordPress”
En este webinar Néstor nos introdujo inicialmente en sus experiencias personales como analista de seguridad, desde haber visto y corregido cosas muy básicas que cometen muchos usuarios, hasta problemas de seguridad que requirieron centrar todos los esfuerzos de su equipo de trabajo para poder resolverlos satisfactoriamente.
A continuación, os mostramos con más detalle todo lo que Néstor nos contó para GoDaddy Pro.
Eligiendo (mal) una password
Tener una buena contraseña en todas las cuentas que gestionamos es vital hoy en día, como parte de una buena estrategia para protegerse ante el ataque de los hackers. Sin embargo, esto no es tan frecuente, sino todo lo contrario, según Néstor se dan muchísimos casos de clientes que utilizan claves comunes (por ejemplo admin123 o 123456). En estos casos los ataques son muy directos, los hackers prueban inicialmente este tipo de contraseñas porque saben que en un alto porcentaje van a tener éxito y acceder a las cuentas que les interesa robar.
En este sentido, a pesar de haber mucha información al respecto, los usuarios siguen pecando de falta de seguridad dado que no consideran sus cuentas relevantes, cuando el problema real surge desde el momento en que un hacker empieza a ejecutar millones de pruebas simultáneamente, sin importar de quien sea la cuenta.
Para evitar este problema, se puede establecer un archivo htaccess en la carpeta wp-admin, añadir un firewall que proteja los archivos de una web, o limitar el número de intentos de acceso.
Poniendo trabas al acceso de una web
Aparte de establecer contraseñas fuertes, con muchos caracteres y que incluyan caracteres especiales, un buen método de aumentar la seguridad se centra en evitar que puedan acceder al formulario de login de una web.
Los CMS más usados en el mercado (WordPress, Magento, Joomla...) son el destino favorito de aquellos que quieren hacerse con el control de una web, dado que como comentó Néstor, estos poseen estructuras similares en lo referido a la URL de login.
Para solucionar este punto, se pueden cambiar las URLs usando plugins que camuflen internamente la dirección de forma que no sea tan fácil localizar el acceso, o bien utilizar enlaces personalizados que se puedan modificar dentro de cada CMS. De esta forma es más seguro y se evitar riesgos innecesarios, como que algún usuario pueda cambiar el nombre de la carpeta donde se encuentran los archivos, pudiendo dar errores de carga.
¿Qué hacer con las copias de seguridad?
Ante todo, tenemos que recordar la importancia de tener siempre copias de seguridad lo más actualizadas posible, de cara a poder encarar una caída de servidor y/o pérdida de datos que nos haga trabajar en recuperar la web más de lo necesario.
”Normalmente se suelen guardar las copias de seguridad en la misma web, puede arrastrar vulnerabilidades y no darnos cuenta de ello, de forma que seguimos trabajando en nuestro proyecto y dejamos esa copia guardada sin revisar. Estas copias a su vez, si no están actualizadas, pueden generar brechas de seguridad que faciliten la tarea a los delincuentes".
Este fenómeno lo define Néstor como contaminación cruzada, es decir, entrar a una web a través de una backup vulnerable.
Lo mejor en este punto sería hacer la copia, crear un archivo comprimido y tenerlo en local, o bien subirlo a un servidor externo de almacenamiento. La idea es siempre tener este tipo de archivos fuera de la web principal.
Actualizaciones de WordPress, ¿sí o no?
La respuesta es sí, hay que actualizar WordPress siempre. Aunque en casos muy aislados pueda suceder que tras realizar una actualización una web pierda funcionalidades o directamente no se vea correctamente, o casos en los que se produce una supuesta mejora en WordPress que finalmente resulta vulnerable porque no se testeó correctamente, lo mejor es actualizar todas nuestras webs por cuestiones de seguridad.
La seguridad de WordPress como CMS
Derivado del tema anterior tratado, establecimos la pregunta sobre si WordPress como CMS es seguro, aunque puntualmente surjan problemas que se acaban resolviendo.
Son tantos los desarrolladores y colaboradores trabajando en WordPress que la rapidez a la hora de subsanar posibles agujeros de seguridad es tan grande que podemos afirmar que WordPress es seguro, algo a tener en cuenta ahora que supone el soporte para el 30% de las webs activas en todo el mundo.
Conclusión
Hemos visto algunos trucos para mejorar el nivel de seguridad de cualquier web: actualizar archivos, cambiar periódicamente las contraseñas que utilices, tener buenas copias de seguridad, etc. Pero no debemos perder el ojo a quién permitimos que tenga acceso a nuestros proyectos y sobre todo, no dejar cabos sueltos en forma de archivos innecesarios que deben ser eliminados ya que pueden ser el objetivo para los delincuentes.
De esta forma, ¡podrás garantizar que tu trabajo no se va a ir por la borda en cualquier momento!
GoDaddy Pro no se detiene. En próximas fechas anunciaremos nuestro siguiente webinar, por lo que os recomendamos no perder de vista nuestra página de Facebook y los contenidos publicados en nuestro blog.