Si tu empresa gasta más en café que en seguridad TI, serás hackeado. Es más, merecerás ser hackeado.
– Eric S. Raymond
Buenos como ya sabemos en este mundo nada es seguro y lo mas seguro es que tarde que temprano nos hagan trizas nuestros sistemas. Solo es cuestión de que alguien con un poco de tiempo extra se centre en hacernos daños. Pero bueno hagamos que esto no se le sea fácil añadiendo un poco de seguridad a nuestros sistemas.
En este caso vamos centrarnos en WordPress un CMS que usamos mucho por estos rumbos “junglaCODE”. Y como bien lo sabemos; todo comienza con una buena contraseña y una actitud de renovarla cada x periodo de tiempo. Ahora si nos queremos ver guapos podemos agregar un captcha en el login para evitar ataques de fuerza bruta , además de agregar protocolos seguros “https” y una pequeño easter egg de cambiar la url administrativa (wp-admin). Cosas como esas pueden complicarle un poco la jugada a un maleante. Pero acaso esto es suficiente?.
Lamentablemente 🙁 sabemos que no es suficiente. WordPress es un sistema de gestor de contenidos que esta en constate evolución, actualmente se tiene la versión 5.7 que aproximadamente han tenido 4 actualizaciones en un periodo de 6 meses. Les comparto por a qui su calendario Lanzamientos | WordPress.org Español (México) Por los cual nos daremos cuentas que un periodo de 3-4 meses podemos tener ya un sistema vulnerable.
Pero no solo el tener actualizados WordPress nos liberara de todo mal. Recordemos que este CMS, integra software de terceros por lo cual es importante también el actualizar los plugin y o los temas correspondientes. Deben de tener en cuenta que cada versión nueva puede que tenga requerimientos nuevos como actualizar PHP o mysql o mariaDB. Por lo que son otros puntos a considerar. En cada update.
A simple vista esto parecer ser algo trágico pero con un poco de experiencia y uno que otro espanto uno termina cogiendo el truco. Pero algo que si deben tener antes de hacer esto es hacer un backup , por si las dudas. Ahora bien desde la versión 5.2 se incorporo el modulo de salud de sitio que herramienta que nos permite analizar nuestro sitio web y diagnosticar los problemas de rendimiento y seguridad.
En el menu herramientas/Salud del sitio y tras unos segundos de recopilación de datos, te mostrará en la parte superior un círculo con el porcentaje de salud del sitio, basado en las pruebas que realiza la herramienta.
Justo debajo verás 2 secciones:
- Mejoras recomendadas.
- Pruebas completadas.
En la primera parte te muestra una lista de posibles mejoras de rendimiento y seguridad, y desplegando el texto de cada una, detalles del motivo de la recomendación y qué puedes hacer para mejorar esa prueba. y te darás cuenta que existen enlaces hacia la zona de administración donde puedas realizar la acción recomendada o a páginas externas con información sobre el asunto. Esto si que mola.
la otra sección que es información una lista muy completa con información de tu instalación de WordPress y el servidor, con detalles sobre temas, plugins, constantes, permisos, versiones de PHP y mucho más. Que le permitirá hacer los ajustes necesarios para que su WordPress este al 100
Ahora bien varios de los problemas se resuelven desde el CPanel pero quizá existen por ahí dos errores que les sonaran algo raro que son :
y es que estos errores o advertencias, como usted la quiera llamar se resuelven agregando una serie de instrucciones al htaccess. para evitar por ahi vulnerabilidades. Por aqui os dejo las instrucciones para que las puedan agregar. Además incluyo el enlace para que puedan saber mas al respecto Manually adding recommended security headers – Really Simple SSL (really-simple-ssl.com)
<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTPS} !=on [NC]
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
</IfModule>
Agregando estas líneas en su .htaccess, solventaran esas advertencias. 🙂
Bueno queridos lectores y únicos amigos me despido deseándoles la mejor de la semana y reafirmando mi compromiso de sacar un post cada semana.
Referencias
EL COMPROMISO DE TENER UN WEBSITE SEGURO | La trinchera divergente (junglacode.org)
Seguridad en WordPress Guía 2021 – Coldd Security
WPSCAN – Encuentre vulnerabilidades en sitios de WordPress (noticiasseguridad.com)
Soy Juan Luis García Corrales, mi nombre de guerra es monolinux. Vivo en Villagrán ,Guanajuato. Cofundador de jungla
ISC orgullosamente LINCE. Apasionado del arte , Crítico de las Películas , Musica y Libros , Escribo en tiempo libres y ♥ Regina
Mi estilo de vida es la programación así que trato de sincronizarlo con mi vida diaria, predicó la filosofía Gnu/Linux para brindar opciones menos capitalistas.
– Viviendo en la armonía del caos