La seguridad en tu web es clave. No solo porque tu trabajo puede desaparecer con un simple clic, sino porque tu instalación o tu ordenador pueden convertirse en zombies controlados a miles de kilómetros de distancia para transmitir virus de forma masiva.
Este fin de semana asistí en Valencia al encuentro «Reventando WordPress» organizado por este grupo de Meetup y dirigido por Toni Escamila que nos dio en unas horas una clase magistral sobre seguridad en Las Naves. Gracias Toni. El enfoque era saber cómo te pueden atacar para poder defenderte. Hubo quien se escandalizó, pensando que íbamos a hackear el sistema de misiles de la antigua Unión Soviética, pero en general aprendimos lo vulnerables que somos por no tomar unas pequeñas precauciones.
Así que vamos a ver qué podemos hacer para preservar nuestra seguridad en el caso de que usemos WordPress, que es mi caso, y porque el 25 por ciento de las instalaciones que están en la red, utilizan este CMS.
El nivel de los asistentes era impresionante, así que voy a transmitiros con todo lo que me quedé y que considero fácil y rápido de ejecutar.
Las precauciones
Empieza por quitar el archivo readme.html. El 90 por ciento de las instalaciones lo tienen visible. En cuanto al listado de directorios, si está activo es todo visible, así que ya sabes.
El usuario y la contraseña son dos aspectos fundamentales. No regalemos a los hackers un usuario admin y una contraseña corta, o tipo 123456789… Sí, por increíble que parezca alguien me llegó a comentar que su instalación tenía esa contraseña… Pero bueno, lo mejor es usar un generador de contraseñas y combinar la que te facilita con algo personal. Combinar números, letras, símbolos y longitud de 20 caracteres no te harán inexpugnable, pero por lo menos le complicarás la vida a los hackers.
Ojo con los temas y los plugins. Muchos son un coladero y hay que escanearlos antes para ver si tienen vulnerabilidades antes de instalarlos. Y para protegernos, pues la propuesta fue usar Sucuri, de pago, o Wordfence que tiene opción gratuita o premium. Yo utilizo Wordfence, que tiene más de un millón de instalaciones activas, desde hace tiempo y no es que no me atacasen, pero ahora me paso la vida viendo mails de usuarios bloqueados intentado reventar mi contraseña.
Algo hemos avanzado. Otro de los plugins propuestos fue Latch, no lo he probado pero lo voy a hacer hoy mismo en una instalación nueva, puedes descargarte una APP en tu móvil y configurarlo de tal manera que hasta tú tengas que acceder a través de un mensaje que mande a tu teléfono. Puede ser un poco incordio, pero sin duda pinta seguro. Otro, que me pareció muy interesante y voy a probar también es Site Guard. Este te permite administrar IP, renombrar el login, y hasta meterle un captcha a tu acceso. Mola.
En cuanto al uso de protocolos lo recomendable, nos dijeron, es usar https y no http. Y en cuanto a usar redes wifi, pues mejor no hacerlo, es un auténtico coladero si no hemos cumplido con todo lo explicado anteriormente.
Y si a pesar de todo te revientan tu wordpress, pues recuerda tener las bases de datos actualizadas y a buen recaudo.
Bueno, sin duda seguiré acudiendo a este grupo porque aprendí un montón gracias por vuestros consejos. Hasta pronto.
Comentarios recientes