Desde principios de 2013, se viene advirtiendo un incremento significativo de los ataques de fuerza bruta dirigidos a servidores que hospedan cuentas con wordpress como CMS.
Recientemente, han aparecido vulnerabilidades importantes que pueden subsanarse con una simple actualización del core de wordpress, aunque si lo que pretendemos es asegurar un poco más nuestro blog, es mejor adoptar una serie de recomendaciones de utilidad (algunas de ellas ya salen en el post de los 40 pasos):
- Conéctate a la administración de WordPress desde un sitio seguro: trata de mantener el equipo desde donde te conectas limpio y protegido. Esto significa contar con un buen antivirus, mantener el sistema operativo actualizado, conectarse como usuario y no como administrador al equipo, utilizar un navegador actualizado (por favor, no usar Internet Explorer 6 o navegadores similares), etc. Muchos ataques a la web suelen empezar precisamente por conectarse a la administración de WordPress desde un equipo ya hackeado. En la medida de lo posible evita conectarte a tu WordPress desde equipo externos poco fiables como, por ejemplo, el ordenador de la recepción de un hotel.
- Manten actualizado tu WordPress a la última versión disponible: cuando se saca una nueva versión de WordPress no es solo porque se arreglen algunos errores o se añadan nuevas funcionalidades, sino que también se hace para corregir los agujeros de seguridad que se han ido detectando. Una versión antigua de esta herramienta significa abrir una puerta a los atacantes ya que precisamente se aprovecharán de los fallos de seguridad conocidos para atacarnos. Actualizar WordPress en un trabajo muy sencillo que podremos hacer desde la propia administración y nos llevará solo un minuto.
- Manten actualizados los plugins que estés utilizando: ocurre lo mismo que antes, las actualizaciones también suelen corregir problemas de seguridad, por lo que es conveniente mantenerlos actualizados. También se puede actualizar desde la administración de WordPress de una forma automática.
- Utiliza solo los plugins que vayas a necesitar: no es una buena idea instalar plugins en grandes cantidades ya que con cada uno de ellos estaremos haciendo un poco más inseguro nuestro WordPress. Limítate a utilizar solo los plugins imprescindibles. Si has instalado un plugin que ya no utilizas, desinstálalo. Ten en cuenta que la mayor parte de los ataques que recibe WordPress es precisamente a través de los plugins. También es recomendable que utilices plugins fiables. Fíjate en el número de descargas del plugin (cuantas más mejor) y la última fecha de actualización (si es de hace 2 años sospecha).
- Instala solo plugins obtenidos de sitios fiables: lo correcto es que utilices el propio buscador de plugins que tienes en la administración de WordPress o que lo descargues de la página oficial de plugins. Si se trata de un plugin de pago asegúrate de que lo descargas desde la página de los desarrolladores del mismo. Nunca (repito, NUNCA) instales un plugin que hayas obtenido desde un torrent, un gestor de descargas o una página sospechosa tipo “superpluginsdepagogratis” ya que es muy posible que con el plugin venga un “regalo” en forma de código malicioso. Es preferible pagar por un plugin de pago que quedarnos sin web.
- Realiza backups periódicos de tu web: es una buena idea que hagamos copias periódicas de nuestra web, con más o menos frecuencia en función de la cantidad de información que vayamos añadiendo. Existen plugins para WordPress que nos permitirán hacer esta tarea de forma automática como el XCloner. También es importante que nos descarguemos las copias que realizamos ya que si alguien nos borra todos los datos de la web también perderemos la propia copia de seguridad.
- Suprimir el usuario ADMIN y sustituir los privilegios de administrador con otro nombre de usuario.
- Asignar una contraseña fuerte, entre 15-20 carácteres ya es suficiente, pero que contenga números, símbolos y alternador minúscula y mayúscula.
- Actualizar las últimas versiones de WP Super Cache y W3TC ya que las versiones anteriores poseen una grave vulnerabilidad con mfunc. Si los comentarios en tu blog están desactivados, mejor. Si no, actualiza o utiliza un sistema externo tipo disqus o intensedebate.
- Mínimamente protege tu wordpress con algunos de estos 3 plugins de seguridad: WP BETTER SECURITY, WORDFENCE y BULLETPROOF SECURITY (BPS).
- Si es posible, asigna mínimo CHMOD 600 a wp-config.php y wp-settings.php, sobretodo si estás en una cuenta shared o utilizas un hosting multisitio con varios wordpress.
- Refuerza el blindaje de fuerza bruta con uno de estos 2 plugins: Limit Login Attemps o Login Lockdown.
- Como alternativa, puedes darte de alta en Cloudflare. Cambiar las DNS de tu dominio, apuntar a los nombres de servidores que te indica el sistema y luego instalar el plugin Cloudflare para wordpress. El nivel de seguridad lo puedes dejar en LOW ya que sino puedes tener algún problema con el tráfico entrante.
Con estos pasos puedes asegurarte un wordpress a prueba de rastreos aunque el 100% no es posible conseguirlo.
Nosotros por nuestra parte tenemos intalado Security & Firewall – csf, mod-sgurity, Clamav antivirus, Maldet cpHulk en el sistema.
