Estimado amigo

Recomendaciones de Seguridad para Instalaciones de WordpressIntroduccin

Wordpress es uno de los sistemas de gestin de contenidos (Content Management System, CMS) ms populares en la actualidad. Como tal, existen muchas instalaciones de este sistema en nuestro servicio de webs institucional. Uno de los aspectos a claves a tener en cuenta con Wordpress es la seguridad. Junto a las medidas de seguridad que despliegan los Servicios Informticos, es necesario que los administradores de los sitios tambin se conciencien y adopten medidas para proteger de forma ms adecuada sus sitios web.

El presente documento tiene por objeto recomendar un conjunto de verificaciones de seguridad que deberan realizarse en una instalacin de Wordpress con objeto de reducir el riesgo y el impacto de posibles ataques que puedan realizarse contra la plataforma.

Las recomendaciones de este documento se basan en los siguientes principios:

1. Reducir la superficie de exposicin: limitacin de los puntos desde los que nuestra plataforma est accesible desde el exterior tanto en trminos de usuarios como de funcionalidades.

2. Principio del mnimo privilegio: los derechos de acceso y los permisos de los usuarios debern ser los mnimos necesarios que permitan que la funcionalidad se pueda desarrollar.

3. Mantenimiento y monitorizacin: se debe realizar un seguimiento del estado de la plataforma, mantener copias de seguridad y plan de actuacin ante posibles incidentes.

4. Fuentes confiables: no incorporar a la plataforma software que provenga de fuentes cuya reputacin e integridad desconocemos. Se recomienda limitarse a los repositorios oficiales.Listado de Recomendaciones

1. Mantn copias de seguridad de tu sitio web

La primera recomendacin es una recomendacin bsica y fundamental: realiza copias de seguridad peridicas del contenido de tu sitio web y de la base de datos. De esta manera, ante un incidente de seguridad o un problema de tu sitio web, siempre podrs volver al ltimo estado bueno conocido.

Es extremadamente importante que realices estas copias de seguridad. Sin ellas, tras un problema es posible que no puedas recuperarte de un incidente. En el caso que todo falle, si tienes copias de seguridad, podrs al menos recuperar el sitio total o parcialmente.2. Comprueba que tienes la ltima versin de Wordpress instaladaUn aspecto clave que debemos tener en cuenta es el disponer de la ltima versin de Wordpress instalada. Cada nueva versin de Wordpress soluciona problemas de estabilidad o seguridad de versiones anteriores as que es recomendable actualizar. Es muy importante antes de actualizar realices una copia de seguridad y compruebes que puedes restaurar la misma por si aparecen fallos de funcionamiento, prdidas de configuracin, o fallos en tus plugins tras la actualizacin. Antes de una actualizacin hay que comprobar que no hay problemas de compatibilidad con nuestras pginas o los plugins que tengamos instalados. Con respecto a los plugins, recuerda que tambin hay que mantenerlos actualizados.

Puedes comprobar si hay actualizaciones para tu Wordpress, directamente desde tu dashboard.

Tras cada instalacin o actualizacin, elimina los archivos relacionados como readme.html. Estos archivos permiten a un atacante determinar la versin de Wordpress que estamos ejecutando, lo que facilita su propsito.

3. Activa las Actualizaciones Automticas

Desde la versin 3.7, Wordpress aplica automticas las actualizaciones de seguridad que se publican. Es recomendable que se active esta funcionalidad.Para comprobar que no habr problemas con esta funcionalidad, recomendamos instalar el plugin Background Update Tester.

4. S cuidadoso con los plugins que instalas y mantnlos actualizadosEs muy importante comprobar la reputacin de los plugins que instalamos. Recomendamos consultar los comentarios sobre los plugins que se instalen para evitar terminar instalando plugins con intenciones maliciosas. Procura instalar slo plugins de los canales oficiales.Tan importante como mantener actualizada la plataforma base es mantener una versin actualizada de los plugins. Si no actualizamos tambin los plugins, un posible atacante podra intentar aprovecharse de problemas de seguridad conocidos para alguno de los plugins y comprometer la seguridad de nuestro sitio.

Por ltimo, si hay un plugin que ya no ests usando, elimnalo del sistema.

5. Un aspecto crucial: Protege el acceso a tu Wordpress

Uno de los puntos ms importantes a tener en cuenta a la hora de proteger la seguridad de nuestro Wordpress es el acceso a nuestro sitio. Podemos tener nuestro sitio actualizado, con nuestros plugins al da y verificados y que an as un atacante pueda acceder a nuestra web. Cmo? Obteniendo el usuario y contrasea de algunos de los usuarios de la web. Si el usuario y contrasea que obtiene el atacante es el del administrador, los problemas sern an ms graves.Hay varias medidas que debemos tener en cuenta para proteger nuestras cuentas en Wordpress:

Elige contraseas fuertes e invita a tus usuarios a que hagan lo mismo. Si es posible, fuerza a que esto sea as. Te invitamos a leer las recomendaciones de contraseas de la UAH para saber cmo elegir una contrasea fuerte. A partir de la versin 3.7, Wordpress incluye un medidor de la seguridad de las contraseas para que los usuarios tengan una indicacin de la robustez de las contraseas que eligen. Recomienda a tus usuarios que no reutilicen contraseas: ni la de tu sitio para otros sitios ni la de otros sitios para tu Wordpress. Especialmente importante es que no elijan la misma contrasea que la del correo corporativo.

Comprueba que se usa el protocolo seguro https para el envo de las contraseas. El formulario de login debe estar protegido por https.Para cambiar esto, debes modificar la siguiente variable en el fichero de configuracin de Wordpress:

define( 'FORCE_SSL_ADMIN', true );

Ms informacin: http://codex.wordpress.org/Editing_wp-config.php#Require_SSL_for_Admin_and_Logins Uno de los ataques ms comunes contra la autenticacin en Wordpress es el denominado ataque de fuerza bruta. En este tipo de ataques, el atacante prueba de forma sistemtica con muchas combinaciones de usuarios y contraseas con la esperanza de encontrar alguna combinacin vlida. Desde Servicios Informticos tenemos desplegadas medidas para detectar y neutralizar este tipo de ataques pero es importante complementarlas con medidas adicionales por los administradores de los sitios. As, se recomienda la instalacin de plugins como BruteProtect (https://wordpress.org/plugins/bruteprotect/) Si tu sitio contiene informacin especialmente delicada, considera la utilizacin de un sistema de autenticacin de doble factor, mediante plugins como Clef o Duo Security.6. Protege la cuenta de Administrador del Sitio

En el apartado anterior hablbamos de los ataques de fuerza bruta. La cuenta admin suele ser el blanco preferido de este tipo de ataques. Es recomendable crear una cuenta de administracin distinta de admin y deshabilitar o eliminar la cuenta admin.

Cmo cambiar el nombre de la cuenta admin:

La forma ms fcil de cambiar el nombre de la cuenta admin es mediante phpMyAdmin.

La siguiente secuencia SQL tambin permite cambiar el nombre del usuario admin al nombre nueva_cuenta:

UPDATE wp_users SET user_login = 'nuevo_admin' WHERE user_login = 'admin';

7. Accede a www3.uah.es mediante un protocolo seguroEl acceso al sistema de ficheros de www3.uah.es debe realizarse mediante el protocolo SFTP. Este protocolo cifra las comunicaciones de modo que un atacante no puede capturar ni tu contrasea de acceso ni modificar la informacin que subas al servidor mientras est en trnsito.8. Comprueba los permisos de los distintos directorios de Wordpress

Es muy importante que los permisos asignados a los distintos directorios sean los adecuados. Si somos demasiado permisivos en la asignacin de permisos, un atacante que logre comprometer parte del servidor podra llegar a llevar a cabo actuaciones mucho ms destructivas, al poder acceder (en especial, modificar) reas ms grandes del servidor.

En ocasiones, por desconocimiento, error o comodidad, terminamos fijando unos permisos excesivamente abiertos para algunos directorios del servidor. A continuacin, proporcionamos algunas recomendaciones sobre estos permisos:

Como norma general, fija el permiso 755 para directorios y 644 para ficheros. No permitas el acceso completo (777) a ningn directorio

Considera restringir ms algunos ficheros como wp-config.php, por ejemplo a 600.

9. Deshabilitar la Edicin de Ficheros para el Administrador

Cuando un atacante logra acceder a nuestro sitio wordpress, una de las primeras cosas que va a tratar de hacer es editar los ficheros PHP con objeto de conseguir la ejecucin de cdigo para, por ejemplo, procurarse un acceso remoto. Para evitar esto, recomendamos deshabilitar la posibilidad de que el administrador pueda editar ficheros php desde el dashboard.Para cambiar esto, debes modificar la siguiente variable en el fichero de configuracin de Wordpress:

define(DISALLOW_FILE_EDIT, true)Ms informacin: http://codex.wordpress.org/Editing_wp-config.php#Require_SSL_for_Admin_and_Logins10. Qu hacer cuando todo fallaSi detectas que t sitio ha sido hackeado, mantn la calma y notifica inmediatamente el CAU. En la colaboracin con el CAU, sigue las recomendaciones oficiales de Wordpress:

http://codex.wordpress.org/FAQ_My_site_was_hackedReferencias:

Hardening Wordpress, http://codex.wordpress.org/Hardening_WordPressWordpress Security Checklist, http://blog.getclef.com/wordpress-security-checklist/