La seguridad en servidores y plataformas web es un aspecto muy importante, pero que no todos los administradores tienen en cuenta, o incluso no se toman el tiempo suficiente para configurar. Por eso, desde el Laboratorio de Investigación de ESET Latinoamérica, queremos compartir con ustedes una serie de consejos y buenas prácticas para reforzar las configuraciones de seguridad y, en última instancia, blindar su sitio en WordPress.
Manteniendo nuestro servidor actualizado y realizando las configuraciones correspondientes de seguridad podremos proteger la privacidad, integridad y disponibilidad de los recursos que están bajo el control del administrador del servidor.
Algunas características a tener en cuenta a la hora de contratar un hosting son:
- Proveedor que se preocupe por la seguridad en sus procesos y productos
- Que proporcione las últimas versiones más estables de todo el software del servidor.
- Métodos confiables de copias de seguridad y restauración de las mismas.
Entre las preguntas frecuentes que surgen a la hora de asegurar nuestra información podemos destacar dos: qué datos hace falta que asegure y a través de qué metodologías. Uno de los aspectos fundamentales son las vulnerabilidades, por lo que, en primer lugar, debemos asegurarnos de que el sistema operativo que brindará el servicio esté libre de malware, ya que una infección podría comprometer el rendimiento y el servicio. Este punto se encadena con la disponibilidad de una solución antivirus actualizado. Y por último, es necesario contar con todas las actualizaciones del sistema operativo, ya que un sistema desactualizado puede exponer fallas o agujeros de seguridad que se convierten en posibles vías de explotación para un atacante.
Algunas buenas prácticas a la hora de configurar WordPress son:
- Mover el directorio wp-content: esta acción ayuda a proteger al sitio contra ataques automatizados Zero Day.
- Cambiar el nombre de usuario admin: este usuario es el que viene por defecto, por lo que es uno de los primeros objetivos de un cibercriminal a la hora de realizar un ataque de fuerza bruta. En las versiones más recientes de WordPress, es posible seleccionar el nombre de usuario durante la instalación.
- Mínima instalación de plugins: muchos de estos son susceptibles a Cross-Site Scripting (XSS) e inyección de SQL; si se instalan pocos plugins se reducirán vectores de ataques.
- Mover wp-config.php fuera del directorio raíz web: si movemos este archivo una carpeta más arriba del directorio web raíz, lograremos que no se vea la configuración de nuestro WordPress.
- Quitar el listado de directorios en el servidor: WordPress sufre Full Path Disclosure lo que ayuda a realizar ataques como Path Transversal.
- Administración a través de SSL: a veces, el panel de administración se usa por protocolo sin cifrar HTTP, pero si ingresamos mediante HTTPS estamos enviando los datos cifrados, lo que dificulta la intercepción de información y evita ataques de tipo MITM.
- Usar la base de datos sin privilegios de administrador cuando no se requiere: por defecto WordPress solo usa una base de datos de usuarios para todos ellos. Pero con algunos ajustes de código se puede usar un usuario de una base con menos privilegios para usuarios anónimos, lo que reduce considerablemente los riesgos.
- Mantener usuarios con privilegios mínimos: existe la posibilidad de que un usuario con privilegios de administrador tenga una contraseña débil. Concediendo a los usuarios los privilegios indispensables se reducen las posibilidades de que se vean comprometidas sus cuentas.
- Sacar el “Powered by WordPress” del pie de página: los ciberdelincuentes usan este pie de página en buscadores para encontrar potenciales víctimas vulnerables.
- Lista blanca de IP para acceder al wp-login.php: generalmente los administradores acceden a su blog desde la misma dirección IP, por lo que se configuran estas direcciones como “de confianza” para poder acceder.
Una última consideración sería contar con un sistema de detección de intrusos, lo que nos va a permitir reaccionar mucho más rápido ante un incidente y por supuesto no almacenar las copias de seguridad en directorios públicos, para evitar que los atacantes descarguen esta información, pudiendo así aplicar informática forense para obtener información sensible. Desde el Laboratorio de Investigación de ESET Latinoamérica creemos que la seguridad es muy importante para sus plataformas y equipos, por eso estamos en constante investigación para brindarles los mejores consejos sobre cómo prevenir perdida de información e, inclusive, el control de sus servidores.