Este documento proporciona 10 claves para mejorar la seguridad de WordPress. Estas incluyen renombra y proteger la cuenta de administrador, usar contraseñas fuertes y autenticación de dos factores, instalar plugins de seguridad como Limit Login Attempts y Wordfence, hacer copias de seguridad automatizadas regularmente, mantener actualizado WordPress y el servidor, limitar el acceso a la zona de administración, y estar al día con las vulnerabilidades de seguridad. También recomienda externalizar la seguridad si no se pueden
1. 10 Claves para mejorar la
seguridad de tu WP
Iñaki Arenaza
Mondragon Unibertsitatea
iarenaza@mondragon.edu
@iarenaza
2. ¿Cómo de seguro es WP?
Fuente: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress
3. ¿Cómo de seguro es WP?
Fuente: http://www.cvedetails.com/product/4096/Wordpress-Wordpress.html?vendor_id=2337
4. 10. Renombra la cuenta de
administrador y las tablas de WP
• No uses: admin, Admin, administrator,
Administrator, administrador, Administrador.
• No uses el prefijo wp_ para las tablas:
Fuente: http://aulacm.com/seguridad-y-proteger-wordpress/
5. 9. Utiliza contraseñas fuertes
• No sólo en WP: también en la base de datos, el
acceso al servidor, etc.
• Los gestores de contraseñas son tus amigos.
• Utiliza autenticación de dos pasos o de doble
factor (2FA)
• ¡Cámbialas regularmente!
6. 8. Plugins de seguridad para WP
• Limit Login Attempts
• Better WordPress Security
• Two-Factor Authentication (Google
Authenticator), Duo Two-Factor Authentication
• Wordfence Security, Sucuri Security,
NinjaFirewall WAF
• Y montones más...
7. 7. Copias de seguridad
• Copias de todo lo necesario: código WP, base
de datos, ficheros de WP, servidor web, sistema
operativo, etc.
• ¡Automatiza!
• Hacerlas es sólo la mitad del camino.
• Una copia de seguridad que no se puede (o no
se sabe) restaurar, no sirve para nada.
• ¡Restaura tus copias periódicamente!
8. 6. Securiza tu servidor web
• Configuración adecuada (usuario, permisos, etc.)
• Aprovecha las opciones de seguridad de los
ficheros .htacces (o equivalentes en tu servidor
web)
• ¡Protege tus ficheros .htaccess!
• ModSecurity: www.modsecurity.org
• Firewall que trabaje con ModSecurity.
• Plugins como NginxCp sobre Apache:
www.nginxcp.com
9. 5. Securiza tu servidor
• Sistema operativo actualizado.
• Configuración adecuada.
• Sistemas Linux: AppArmor, SELinux
• Sistemas Windows: Aplica las plantillas de
seguridad.
10. 4. Mantente actualizado
• Mantén WP actualizado: core, themes, plugins.
• Instala siempre desde las fuentes originales: no
aceptes regalos envenenados.
• Pero también tu servidor web, la base de datos,
el sistema operativo, etc.
11. 3. Protege el acceso a la zona
de administración
• Limita el acceso al directorio /wp-admin
• Se puede hacer por:
– direcciones IP de origen
– solicitando usuario y contraseña
– ¡o ambas cosas!
• Se suele hacer en la configuración del servidor
web (cPanel, fichero .htacces, etc.)
12. 2. Estate al día
• https://wordpress.org/news/category/security/
• https://wpvulndb.com/
• Plugin Vulnerabilities https://wordpress.org/
plugins/plugin-vulnerabilities/
• No Longer in Directory https://wordpress.org/
plugins/no-longer-in-directory/
• http://www.cvedetails.com/vendor/2337/Word
press.html
13. 1. Externaliza tu seguridad
• Si no puedes o no quieres hacer todo lo
anterior: externalízalo :-)
• Además de lo anterior puedes queres:
– Curación de temas y plugins a usar
– Monitorización de intentos de intrusión
– Informes de estado
– etc.