Hace poco hablamos acerca de cómo hacer de tu blog una verdadera comunidad, en donde te compartíamos consejos acerca de cómo liderar la conversación web con quienes leen tu página. Ahora bien, lograr lectores y personas que comenten sobre aquello que escribes, también llama la atención de gente que se divierte saboteando tu trabajo, lo cual indirectamente puede causar un problema de confianza en la comunidad. Para reducir la vulnerabilidad ante cualquier forma de ataque, es que te compartimos este post.
WordPress es sin duda, el CMS OpenSource más seguro o menos inseguro de su clase. Así lo demuestra un estudio realizado por el investigador de seguridad Patrick Thomas para la compañía Qualys, cuyos resultados catalogan a WordPress como el CMS con menos vulnerabilidades críticas.
Sin embargo, dada su gran popularidad, WordPress resulta ser una plataforma bastante atractiva para muchos usuarios malintencionados (“hackers”) quienes no pierden oportunidad para hacer de las suyas cuando se topan con una instalación de WordPress descuidada en términos de seguridad.
Los resultados del estudio de Qualys son muy positivos para el CMS en cuestión. No obstante, estos no hacen de WordPress una plataforma inmune a algún ataque informático.
Aunque hay muchos métodos (algunos básicos otros más avanzados) que los usuarios deben de considerar para aumentar la seguridad de su WordPress, también hay ciertos hábitos que NO deberían ser practicados si de verdad queremos evitar la desafortunada experiencia de ver nuestro sitio hackeado.
Entre las prácticas que debemos evitar en WordPress se destacan:
Tener la plataforma desactualizada: La razón más común de por qué un sitio en WordPress fue comprometido, casi siempre se debe a que su propietario no actualizó su CMS a la última versión disponible.
El 29 de diciembre de 2010, fue lanzada la versión 3.0.4 de WordPress para reparar un fallo crítico de seguridad. Esto significa que si no tenemos la versión más recientes; somos vulnerables a que alguien aproveche ese agujero de seguridad en nuestro sitio y haga de las suyas.
El temor de sufrir algún percance tras la actualización ya sea en el theme o en algún plugin que afecte la funcionalidad del sitio o temerle a algún un error que luego no se pueda reparar, son las excusas más comunes que plantean los usuarios que se abstienen a actualizar WordPress. Una de las ventajas de este CMS es el respaldo por parte de su gran comunidad de usuarios, que siempre están dispuestos a ayudar. En internet hay muchos sitios con recomendaciones para que la tarea de actualizar el CMS cualquier versión sea fácil, segura, confiable y sin contratiempos. Ahora si la paranoia aun no te deja, puedes optar por mantener un sitio de pruebas (en un subdirectorio por ejemplo) donde puedas probar primero las actualizaciones antes de poner al día tu web principal. ¡Si no quieres ver tirado tu sitio o blog, por favor ¡actualiza ya!
Usar contraseñas débiles: Las contraseñas son elementos imprescindibles cuando de acceder a un recurso informático se trata. Así como utilizar un password muy simple para ingresar al sitio de nuestro banco podría comprometer nuestro dinero, del mismo modo usar una contraseña demasiado obvia en WP, le hace la vida más fácil a quienes quieren vulnerar nuestro CMS.
El uso de contraseñas débiles es un habito recurrente de muchos usuarios de internet para acceder a sus cuentas online. Usar contraseñas fuertes y fáciles de recordar, es una tarea obligada para acceder a nuestro WordPress. Además es importante considerar la instalación de plugins como Semisecure Login Reimagined, que incrementa la seguridad del acceso al admin (login) utilizando una combinación de claves públicas y privadas de encriptación para esconder los passwords de vistas ajenas. Por su parte, Limit Login Attempts limita el número de intentos posibles para entrar en al panel de administración, muy útil cuando alguien intenta ingresar a tu Dashboard, utilizando fuerza bruta como medio de ataque.
Utilizar “admin” como usuario administrador: Para versiones anteriores a WordPress 3.0 tras el proceso de instalación del CMS, el usuario con nombre “admin” se generaba por defecto. Aun en la actualidad hay muchos sitios que siguen utilizando este username para ingresar a la cuenta de administrador al tiempo que muchos usuarios malintencionados están detrás de quienes tienen este hábito. Si un usuario avanzado descubre que usted utiliza “admin” para loguearse en WP, pues lo único que le resta es descubrir su contraseña para tomarse su sitio. Y si a esto le sumamos que está utilizando una contraseña muy débil para acceder, pues es muy fácil predecir las consecuencias.
Crea un usuario nuevo con privilegios administrativos y a la cuenta que tienes como user: “admin”, elimínala o bien asígnale un perfil más bajo, como por ejemplo suscriptor.
Dejar a la vista de todos, la versión de WordPress que tenemos instalada: Si dejamos a la vista de nuestros visitantes la versión de WordPress que tenemos montada y si además no estamos usando la versión más reciente del CMS (como mencionamos en el primer punto) pues será muy sencillo para un “hacker” conocer las vulnerabilidades que padece tu sitio.
Recientemente en dariobf.com se publicó una entrada acerca de cómo quitar la versión de WP que tenemos instalada de forma definitiva y así no dar a conocer esta información de cara al front-end.
Lo más barato sale caro: Muchos usuarios se afanan por tener un sitio en WP y por ahorrarse «unos pesitos» acuden a servicios de alojamiento web gratuitos o al proveedor más barato que encuentren para hacer realidad su proyecto, sin fijarse
Hay que tener claro de antemano, que por más esfuerzos que invirtamos tratando de blindar nuestra instalación con métodos, configuraciones y plugins de seguridad, una vulnerabilidad en tu hosting puede enviar a la basura todo tu trabajo y la idea de ahorrarse un dinero a la final resultará mucho más costoso que si acudimos a servicios especializados a si cuesten un poco más.
No basta con tener contraseñas fuertes y con actualizar wordpress a la versión más reciente, ya que un agujero en tu servidor web, ayudará a un “hacker” para que logre su objetivo. Considere las opciones económicas (Calidad a precio razonable) en vez de las baratas. Elije un proveedor de hosting especializado que garantice un buen soporte y sobre todo eviten que tu sitio sea comprometido a través de esa via.
Si consideras que hay alguna otra práctica que atenta contra la seguridad de un sitio en wordpress y que no haya mencionado, siéntase libre de compartirla dejando un comentario en esta entrada.
Estos no son errores exclusivos de WordPress, en cualquier CMS sucede lo mismo, me parece más grave (en el tema de SEO) tener un theme en inglés sabiendo que el contenido está en español…
@Angelfire gracias por compartirnos tu opinión. Es cierto, estos errores también aplican a otros CMS. Sin embargo en este post nos concentramos en WordPress plataforma que expertos califican como el más seguro de su categoría. Lo que no quiere decir que este sea inmune a amenazas por lo que partiendo de esa base, compartimos algunos errores que pueden comprometer a wordpress ( independientemente si es el cms menos inseguro de todos ) y con ello algunos consejos aplicables a WP.
Gracias por participar, saludos cordiales!!!
La mayoría de los problemas de seguridad que he experimentado con WordPress se debieron a exploits de los formularios y por dejar abierto el registro a cualquier tipo de usuarios. Algo que yo recomiendo es utilizar https para el tablero de WordPress. Se puede logran con 2 cambios muy sencillos y ahorra muchos dolores de cabeza.