Ayer 28 de Octubre tuve el placer de asistir como invitado al primer desayuno técnico que organizó SiteGround sobre seguridad en WordPress impartido por Fernando Tellado.
Lo primero es dar la enhorabuena y agradecer la organización del evento a José Ramón Padrón de SiteGround, María Gamero de influenZia y al propio Fernando Tellado.
A continuación un breve resumen sobre los puntos tratados en la charla:
Cambiar el Usuario Admin
Aunque de primeras parece que es un error que nadie debería cometer, no se sabe muy bien si por desconocimiento, pereza, o por el mero hecho de recordarlo fácilmente, aún hay mucha gente que usa nombres de usuarios muy comunes, y que facilitan el trabajo a un atacante.
Contraseñas seguras
Un poco en línea con el punto anterior, mucha gente opta por usar contraseñas fáciles de recordar, pero no caen en que también son fáciles de averiguar por atacantes malintencionados. Año tras año empresas de seguridad publican listas sobre las contraseñas más utilizadas y siempre encontramos: 1234, qwerty, abcd1234, access, password, etc…
Afortunadamente desde hace poco disponemos de un generador de contraseñas seguras en WordPress.
Cambiar el prefijo wp_ de la base de datos
Siguiendo la máxima de no dar facilidades a un posible atacante, una recomendación antes de instalar un WordPress es cambiar el prefijo de la base de datos.
Permisos de archivos y carpetas
La regla general nos dice que los permisos deben ser 755 para las carpetas y 644 para los archivos. Además recomendable poner el wp-config.php y el .htaccess a 444.
Proteger wp-config.php
Podemos proteger este archivo mediante reglas en el .htaccess o “esconderlo” cambiándolo de sitio por ejemplo a una carpeta de nivel superior.
Proteger acceso a wp-admin
También mediante una regla en el .htaccess podemos limitar el acceso a wp-admin a una IP o IPs concretas.
Instalando el plugin Limit login attemps podremos configurar el límite de accesos denegados al back-end de nuestro sitio.
También nos puede ser útil protegerlo con una contraseña adicional mediante .htpasswd
Usa un Captcha para login
Otro “filtro” que podemos usar para proteger nuestro panel de administración. Instalando un plugin como WP Login reCAPTCHA, podremos insertar el reCaptcha de Google en el formulario de login.
Actualiza, actualiza, actualiza
Una buena práctica es mantener actualizado tus temas y plugins. Constantemente se detectan vulnerabilidades, se corrigen errores, y huelga decir lo importante que es estar siempre con la última versión actualizada. Además, si tienes temas o plugins que no utilizas, bórralos.
Backups
Esta es más una medida de protección por si llega a pasar algo. Nos sirve como respaldo en el caso de que suframos un ataque. Podemos usar plugins para crear estos respaldos como BackWPup, aunque se pueden programar a nivel de servidor.
Un buen hosting
Desde SiteGround inciden en reseñar la importancia de un buen hosting. No sólo en temas de seguridad como las versiones de PHP, software de servidor actualizado, protección contra malware, reglas de seguridad en mod_security, protección contra XSS, aislamiento de cuentas y procesos, monitorización 24/7 y una rápida respuesta ante cualquier problema.
Si no que también es importante una optimización en los recursos del mismo que nos hacen ganar en tiempos de carga y velocidad de navegación, mejorando la experiencia de usuario, por ejemplo a través de caché, etc…
Llevo muchos años trabajando en el mundo web y he tenido la oportunidad de trabajar con muchas empresas de hosting: acens, arsys, dinahosting, 1&1, hostytec, godaddy, cdmon…Muchas experiencias buenas y malas, y en algunos casos pésimas…pero hoy me he llevado una muy buena impresión de SiteGround.
He podido ver de primera mano la pasión que transmiten por las cosas bien hechas, el compromiso que tienen con WordPress a nivel de desarrollo (contribuyen con el core), a nivel de seguridad (la máxima expresión de que es mejor prevenir que curar) y a nivel de optimización de rendimiento (velocidad de carga, caché…)
Además, participan en más de 75 eventos anuales, por lo que transmiten esa sensación de cercanía y empatía que no he visto en otros hostings.