Consejos básicos de seguridad en WordPress
WordPress ha abarcado buena parte del mercado de los CMS porque goza de una gran flexibilidad que permite una personalización exacta de cara al usuario final. Gracias a esto, combinado con su sencillez de instalación y configuración, se ha logrado que cualquier persona pueda montar en pocos minutos su propia web, ya sea blog o no, y sin contar con conocimientos técnicos. Esto puede dar lugar a que descuidemos nuesta instalación de WordPress, así que vamos a notar varios consejos básicos para empezar a cumplir con el primer requisito que debe tener un sistema informático: la seguridad. No pretendo este ser la panacea contra los ataques ni la solución a todas las vulnerabilidades, pero esta lista seguro que ayuda mejorar la seguridad en WordPress de buena parte de los usuarios que lo administran.
1. No utilices wp_ como prefijo de las tablas de la base de datos de WordPress, puedes cambiarlo realizar tu instalación de WordPress.
2. El fichero wp-config.php no debe tener permisos de escritura (644)
3. Elimina todos los ficheros de instalación, configuración, y exportación.
4. Que el superusuario no se llame ‘admin’, de esta forma impediremos el uso de la fuerza bruta para avierguar la contraseña de ‘admin’. Este problema se soluciona en WordPress 3, ya que el usuario escoje el nombre del administrador del sistema, pero si aún trabajas con una versión anterior quizás quieras probar Admin Renamer Extended.
5. Echa un vistazo a lo que WP Security Scan tenga que decirte. Se trata de un plugin que comprueba la configuración del sistema para detectar vulnerabilidades.
6. Escanea tu sitio con el plugin WP Exploit Scanner, te ayudará a localizar posibles exploits de tus themes y plugins.
7. Oculta tu versión de WordPress utilizando el plugin Replace WP Version.
8. Desactiva y desinstala todos los plugins que no estés utilizando.
Si crees que se te quedan cortos estos consejos de seguridad, quizás quieras echar un vistazo a los consejos de seguridad de WordPress de SigT, muy interesantes aunque quizás requieran de conocmientos algo más avanzados.
Además de estos diez consejos, si sabes utilizar ficheros de configuración .htaccess, quizás quieras restringir el acceso a wp-content y wp-includes con un fichero que contenga unas líneas como estas, tal y como nos recomienda anieto2k:
Order Allow,Deny
Deny from all
<Files ~ ".(css|jpe?g|png|gif|js)$">
Allow from all
</Files>
Y por supuesto, si administras WordPress desde VPN o LAN, no dejes de seguir el consejo de SBD: restringir el acceso a nivel de servidor:
<Location /wordpress/wp-admin/>
Order deny,allow
Allow from 192.168.1.27
Deny from All
</Location>
Seguridad en PHP y MySQL
Aunque poco se ha hablado en estas páginas de programación web del lado del servidor, hace unos meses descubrimos algunas funciones de PHP que, aunque poco frecuentes, nos pueden ser muy útiles a la hora de programar ciertos procedimientos.
Esta semana, en Security By Default, nos recordaban varias recomendaciones para securizar nuestras aplicaciones web a nivel de programación en PHP, evitando inyecciones SQL, XSS, CSRF, RFI, y problemas de seguridad en sesiones. Ya nos habían hablado anteriormente de una vulnerabilidad RFI en el sitio web de AT&T que dejaba el /etc/password del server vendido.
Hoy además han incidido con un artículo muy interesante en las inyecciones de código SQL mediante caracteres de escape.
Para empezar con la seguridad en PHP, es recomendable empezar a practicar comprobaciones de sesión como las que nos enseñan en DesarrolloWeb.com, válidas para programaciones procedurales pero que en POO pueden resultar en exposición de datos ya que el motor de PHP pre-interperta ciertos objetos (ojo con FPDF).
Un buen paso es seguir una checklist de seguridad en PHP muy completa como que la que publica skq89q.com
Cambios en las opciones de privacidad de FaceBook
Privacidad en Facebook
Hoy hemos amanecido con un cambio importante en la privacidad de FaceBook. Un mensaje nos notificaba una mejora del servicio a nivel de privacidad y además nos avisaba de que nuestra configuración de privacidad había cambiado: se han suavizado todos nuestros parámetros de seguridad, quedando abiertos, salvo que se vuelva a especificar que queremos restringir el acceso a cierta información al nivel anterior.
Este tipo de acciones pueden tener ciertas consecuencias si no tenemos claros conceptos como el de identidad en Internet o configuración de privacidad. Así que me permito dar una serie de consejos para preservar la privacidad a “nivel de barrio”:
1. Las redes sociales son sistemas de intercambio de información: si no quieres que se sepa, no lo publiques. Si quieres que las fotos de la fiesta del pasado sábado se queden entre los participantes, pásaselas a tus amigos en un pen drive o por correo electrónico, pero no las cuelgues en una red social (mucho menos si no sabes cómo configurar la privacidad).
2. Si tu presencia en redes como FaceBook se debe a motivos personales y no laborales, publicitarios, etc… quizás quieras echar un vistazo en Configuración -> Configuración de Privacidad y restringir el acceso a todo el mundo menos a tus amigos. Recuerda que los amigos de tus amigos no sólo no son tus amigos, sino que son mucha gente y seguramente engloben a quienes.
3. Ten siempre presente que las redes sociales tienen unas condiciones de uso (quizás quieras leer las de Facebook) que debes conocer antes de utilizarlas. Aunque todo se resume en la primera línea de uno de sus epígrafes: ”INTENTAMOS MANTENER FACEBOOK EN FUNCIONAMIENTO, SIN ERRORES Y SEGURO, PERO LO UTILIZAS BAJO TU PROPIA RESPONSABILIDAD”. Desde estas condiciones de uso puedes acceder a la política de privacidad que, en el momento de redactar este artículo, no está disponible.
En el caso concreto de lo sucedido hoy en FaceBook, el cambio en las condiciones se ha realizado de forma poco elegante cuando no desagradable. Personalmente tiendo a blindar al máximo la configuración de privacidad de cualquier red social para conocer en la medida de lo posible quién puede acceder a mi información. Así la sensación que hemos tenido unos cuantos ha sido la de vernos con el culo al aire (personalmente tenía bloqueado hasta el pseudónimo de FaceBook para que fuera visible sólo para mis amigos). Por otro lado era predecible un enfoque así, teniendo en cuenta que las mejoras en la aplicación parecen estar enfocadas a animar al usuario a la par que eliminar ruido.
No obstante las posibilidades de restricción del perfil, aparentemente, se han visto reducidas, ya que ahora quedan al descubierto diferentes elementos como fotos del perfil o fotos del muro, y esto es un claro atraso con respecto a la funcionalidad que permite configurar la privacidad para cada elemento. Esperemos que pronto se tomen medidas que faciliten la usabilidad y eficacia de las medidas de protección de la privacidad.
