Medidas de seguridad avanzadas en WordPress I

Fecha de publicación 25/02/2020
Autor
INCIBE (INCIBE)
Imagen de acompañamiento

WordPress es el gestor de contenidos o CMS más utilizado, tanto para sitios web personales como profesionales, y como tal, es también uno de los CMS más atacados por los ciberdelincuentes. Según el último informe publicado por el portal web Sucuri, proveedor de seguridad en Internet, el número de incidentes de seguridad relacionados con este CMS es ampliamente superior al resto de gestores de contenidos, e incluso en 2019 aumentó el número de incidentes respecto al año anterior.

Comparación de infecciones en los principales CMS. 90% en 2018 y 94% en 2019 para WordPress.

Porcentaje de incidentes de seguridad en los principales CMS - Fuente Sucuri

De esta gráfica se evidencia que WordPress es con diferencia el CMS más atacado por ciberdelincuentes, por lo que es necesario aplicar varias medidas de seguridad y configuraciones para minimizar el riesgo de sufrir un incidente. En nuestras historias reales tienes algunos ejemplos de incidentes que afectan a páginas web.

Las medidas de seguridad que se describen a continuación, y que continuarán en posteriores artículos, complementan estos 9 consejos de seguridad para tu WordPress.

Actualizaciones automáticas del núcleo

Desde la versión 3.7, WordPress permite habilitar las actualizaciones automáticas. Gracias a estas actualizaciones automáticas se simplifica el proceso de mantener al día el gestor de contenidos, tanto en lo referente a vulnerabilidades corregidas como a nuevas funcionalidades añadidas.

Actualizar de manera automática WordPress puede hacer que algunas funcionalidades se comporten de manera inesperada. Por ello, se recomienda contar siempre con una política de copias de seguridad en la que se incluya al CMS. Ante una actualización automática que provoque comportamientos inesperados se podrá restaurar una versión anterior y comprobar manualmente el componente que provoca el error.

Para actualizar WordPress de manera automática hay que editar el fichero wp-config.php. Para ello, es necesario acceder al editor de archivos con el que cuentan muchos hostings o cualquier otro método que permita la modificación de ficheros como SFTP. Una vez abierto el archivo hay que añadir la siguiente línea al final del mismo:

  • define( 'WP_AUTO_UPDATE_CORE', true );

SFTP

FTP es un protocolo de transferencia de archivos muy utilizado para la administración de portales web, pero se desaconseja su utilización debido a que no cifra la información en tránsito ni las credenciales de acceso «usuario y contraseña».

Para que esto no suceda, es recomendable utilizar el protocolo SFTP, ya que proporciona toda la funcionalidad que ofrece FTP pero de manera más segura y fiable, minimizando el riesgo de que se produzca robo de contraseñas o de la información en tránsito. La gran mayoría de servicios de hosting permite este tipo de conexiones, por lo que es recomendable que la utilices siempre que sea necesario descargar o subir ficheros de manera remota.

Gestión de permisos en ficheros y directorios

Los ficheros y directorios por los que está compuesto WordPress deben contar con unos permisos específicos, tanto para los ficheros como los directorios que los componen.

Ejemplo de los permisos correctos en ficheros y directorios para WordPress.

En servidores basados en Linux, los  permisos se asignan en función de tres grupos distintos de usuarios:

  • Propietario: usuario que crea los archivos o carpetas que se encuentran dentro de su espacio de trabajo o en algún directorio donde tenga los permisos necesarios.
  • Grupo: conjunto de usuarios. Los permisos de grupo indican las capacidades que tendrán los usuarios de los grupos con acceso sobre el archivo o carpeta en concreto.
  • Otros: cualquier otro usuario que no pertenezca a un grupo con permisos sobre el archivo o carpeta o su propietario.

Los permisos que deben tener los ficheros y directorios son:

  • Directorios 755 o drwxr-xr-x. La «d» sirve para identificar a los directorios.
    • Propietario – 7 – Lectura «r» 4, escritura «w» 2 y ejecución «x» 1.
    • Grupo – 5 – Lectura «r» 4 y ejecución «x» 1.
    • Otros – 5 – Lectura «r» 4 y ejecución «x» 1.
  • Ficheros 644 o -rw-r--r--.
    • Propietario – 6 – Lectura «r» 4 y escritura «w» 2.
    • Grupo – 4 – Lectura «r» 4.
    • Otros – 4 – Lectura «r» 4.

Deshabilitar editor de ficheros

Desde la herramienta «Editor de temas» del panel de administración de WordPress es posible editar diferentes ficheros. Esta funcionalidad es recomendable mantenerla deshabilitada porque, en caso de que un ciberdelincuente consiga acceso al panel de administración, el editor de temas supone un riesgo, ya que abre una vía para continuar con el ciberataque.

Editor de ficheros de WordPress.

Para deshabilitar el editor de temas se debe añadir la siguiente línea al final del fichero wp-config.php:

  • define('DISALLOW_FILE_EDIT', true);

Servicios especializados en seguridad

Contratar los servicios de un proveedor especializado en seguridad siempre es una opción que se debe tener en cuenta cuando la seguridad del sitio web sea vital para el correcto funcionamiento del negocio. Una de las soluciones en seguridad que ofrece este tipo de proveedores es un Web Application Firewall o WAF, una herramienta que previene ciberataques contra aplicaciones web, y en caso de sufrirlos minimiza los riesgos.

En próximos artículos continuaremos con más medidas de seguridad para proteger tu WordPress de los ciberdelincuentes.

Etiquetas