Seguridad WordPress

Es muy probable que alguna vez hayamos ingresado a un sitio web, donde en el pie de página hemos podido visualizar logotipos de seguridad de diferentes marcas de antivirus. Este tipo de insignias hacen que incremente la confianza al momento de suscribirse e ingresar a un sitio web para realizar una compra.

No hay nada mejor que ingresar a una web protegida y ver por ejemplo la imagen de un antivirus como McAfee que nos dice entre otras cosas que nos certifica que la navegación que estas realizando es segura.

Es evidente que hay que protegerse contra el spam, una lacra que a fecha de hoy, si bien en los últimos años ha disminuido de forma global, sigue estando lejos de acabar, y la protección de formularios de comentarios, registro, acceso hace necesario el uso de CAPTCHA en WordPress mediante plugins que añadan medidas de seguridad.

Si Akismet es el cortafuegos del spam que intermedia entre los comentarios de tu web, los 'bots' y malos del spam, que deberías tener como primera línea de defensa, el CAPTCHA es la barrera que impide alcanzar el objetivo a los spammers.

Pero Akismet se queda ahí, en supervisar que no entre spam en tus comentarios, nada más, para el resto de controles a tener en cuenta existen otras soluciones que pasan por habilitar CAPTCHA para evitar que los bots spammers se cuelen en tu blog.

En primer lugar, sólo porque alguien pueda adivinar tu nombre de usuario de acceso al dashboard de WordPress, no significa que tu sitio web sea inseguro, no entres en "modo paranoico" al leer esto. Lo cierto es que no hay como evitar que alguien pueda analizar tu sitio de cualquier manera externamente.

Claro que las medidas de seguridad que implemente el Hosting donde te alojes son una barrera en primera línea de fuego para contrarrestar posibles efectos perniciosos sobre tu web, pero en esta ecuación tu, como usuario, tienes mucha responsabilidad en mantener ese perímetro de seguridad.

Las enumeraciones de sitios web para obtener datos relevantes que permitan trazar una acción orientada a lanzar un ataque contra un formulario de acceso, son algo muy habitual. Ponerle fin a este tipo de exposición innecesaria de datos contribuirán a que tu sitio sea un poco más seguro.

No es la primera vez, ni será la última, en la que te hablamos de la importancia de mantener los plugins de WordPress siempre actualizados, ya sea como medio para disfrutar de las mejoras que vayan incorporando o como protección frente a vulnerabilidades y así evitar ataques contra nuestra instalación.

Una de las razones que te puede llevar a vigilar más los plugins que tienes instalados es que hagas uso de versiones comerciales, fuera del circuito habitual del Directorio de Plugins de WordPress porque no cumplen con la licencia GPL o que hayan sido obtenidos de sitios de poca confianza y que puedan ser la puerta de entrada a tu sitio web.

Y otra razón importante son las vulnerabilidades a las que se ven sometidos casi de forma constante los plugins. En lo que va de mes de abril vamos ya por 32 vulnerabilidades descubiertas y publicadas, sin contar los 0days que pueda haber, razón suficiente para tener un control sobre los plugins que tenemos instalados y ¡tomar medidas correctoras! en caso de ser vulnerables.

Seguramente leyendo este artículo te venga a la cabeza que ya hemos hablado de este tema en el Blog, y es cierto, lo hicimos cuando presentábamos hace nueve meses esta estupenda herramienta de seguridad desarrollada por el equipo de Eleven Paths capitaneado por Chema Alonso, y explicábamos las ventajas de integrar este pestillo digital en WordPress.

Son muchos los usuarios que todavía no tienen claro lo importante que es proteger determinados formularios, principalmente los de acceso, y en el caso de WordPress, foco de constantes ataques de fuerza bruta y otras técnicas, se hace más necesario implementar medidas de control de acceso al margen de otras medidas que implemente tu servicio de Hosting.

Latch es 100% compatible con WordPress 4.1 y por ende versiones posteriores que vayan surgiendo, algo que vamos a mostrarte de forma más detallada en este artículo ¿quieres saber como? ...sigue leyendo!!

De seguridad en WordPress hemos hablado bastante en este blog, de protección del dashboard, de limpieza de malware, de control de virus, como activar SSL y un largo etcétera que podrás encontrar documentado en la categoría dedicada a la seguridad.

Un punto que siempre hemos pasado por alto, apenas lo hemos mencionada en algún artículo por encima es la gestión de claves secretas en WordPress, funcionalidad que se incorporó a partir de la versión 2.6 incluyendo características como la mejora de la gestión de contraseñas, "hash" de contraseñas y seguridad de las cookies.

Si deseas mejorar, más si cabe, la seguridad de tu sitio deberías establecer claves secretas nuevas únicas para tu instalación de WordPress.