martes, 14 de mayo de 2019

WordPress: 10 buenas prácticas en materia de seguridad para sitios web

Buenas Prácticas

1.- Refuerce su seguridad en general

WP seguramente supera hoy en día con facilidad el 30% de la base de los sitios web activos en Internet, lo que lo convierte en un objetivo predilecto para los invasores y/o atacantes (hackers/crackers) con buenas o malas intenciones. Por ende, una vulnerabilidad conocida y ya explotada con éxito en un sitio similar con WP será intentada en otros sitios similares con WP.

2.- Conozca sus vulnerabilidades

WordPress tiene cerca de 4.000 vulnerabilidades de seguridad conocidas, distribuidas de la siguiente manera: WP Core (37%), Complementos (52%) y Temas (11%), según un informe reciente del sitio web WPScans, que ahora se llama WPSec (desde el 01-05-2019). Investigue las vulnerabilidades de seguridad que afronta su sitio web y busque una solución para resolver dichos problemas. Evite ejecutar versiones inseguras del WP Core, o de sus complementos y temas.
Enfóquese en los siguientes temas de seguridad en su WP o sitio web, es decir, en los diferentes tipos de Ataques de:
  • Fuerza bruta: Reforzando la seguridad en su pagina de inicio de sesión.
  • Inclusión de archivos: Reforzando la seguridad de su archivo de configuración wp-config.php.
  • Inyección SQL: Reforzando la seguridad de su base de datos MySQL asociada a WP.
  • Secuencias de comandos de sitios cruzados: Reforzando la seguridad de los complementos de WP usados.
  • Infección por Malware: Reforzando la seguridad general de su sitio web para evitar los accesos no autorizados, la inserción de malware y la posterior recopilación de datos confidenciales por parte de estos códigos maliciosos. Los Malware o ataques más frecuentes suelen ser del tipo: Backdoor, Spam SEO, HackTool, Mailer, Defacement y Phishing. Busque proteger su sitio contra cada uno de estos tipos de malware o ataque.
3.- Conozca la infraestructura de su proveedor de Hosting
Si su sitio web usa un alojamiento externo, es decir, contratado fuera de su infraestructura, no escatime en costos para asegurar la calidad de servicio de su proveedor de hosting. Sobre todo, si el mismo aloja su sitio bajo el esquema de “alojamiento compartido”.
Ya que si el “alojamiento compartido” es de baja calidad puede hacer que su sitio sea más vulnerable al verse comprometido uno de los varios sitios web almacenados en el mismo servidor.

4.- Conozca las especificaciones técnicas web de su proveedor de Hosting

A la hora de evaluar un proveedor de hosting, su infraestructura no lo es todo. Las especificaciones técnicas web usadas por su proveedor de hosting para lograr una mejor seguridad de los sitio web alojados también es importante. Procure que el mismo siga las siguientes pautas de seguridad recomendadas para el alojamiento de su sitio web:
  • Fácil instalación de certificados SSL
  • Gestión activa de versiones de software del servidor web.
  • Protección de cortafuegos
  • Registro de accesos al sitio web
  • Auditorías de seguridad de rutina
  • Detección de actividad maliciosa
  • Soporte para SFTP (no solo FTP), TLS 1.2 y 1.3, y para PHP 5.6, como mínimo aunque se recomienda de 7.0 en adelante.

5.- Cuídese de los Temas y Complementos usados

Los plugins y temas que se instalen importan mucho a nivel de seguridad. Procure el uso de solo los temas y complementos oficiales de WP o certificados por la Comunidad, de repositorios comerciales bien conocidos o directamente de desarrolladores acreditados. Ya que muchos de ellos (no certificados) pueden contener códigos maliciosos.


6.- Procure actualizar frecuentemente su CMS

Las actualizaciones de su plataforma web son muy importantes para su seguridad. Ya sea WP su CMS o no, las versiones obsoletas de su Core, Tema o complementos pueden llevarle a albergar vulnerabilidades conocidas en su sitio web. En el caso de WP que es código abierto hay un equipo específicamente dedicado a ese asunto dentro del Core de la aplicación.


7- Procuré una contraseña adecuada

La calidad o fortaleza de nuestras contraseñas en los sitios web es muy importante. El inicio de sesión de nuestros sitios web es un objetivo predilecto para la explotación de vulnerabilidades, porque proporciona el acceso más fácil a la página de administración de su sitio web.
Los ataques de fuerza bruta son el método más común para explotar su inicio de sesión, descubriendo el nombre de usuario y las combinaciones de contraseña para obtener acceso al sitio web.


8.- Tenga siempre preparado su plan anti-desastres

Sí usa WP recuerde que este no tiene un sistema de copia de seguridad incorporado. Incluya uno como prioridad, para que siempre tenga una copia de seguridad actualizada de su sitio web. Las copias de seguridad son críticas y una estrategia de seguridad general a implementar.


9.- Aumente su seguridad usando 2FA

Fortalezca su inicio de sesión como administrador de WP o su sitio web mediante el mecanismo de autenticación de dos factores (2FA), el cual es una de las mejores maneras de asegurar su sitio web actualmente. La autenticación de dos factores agrega una capa adicional de protección a su inicio de sesión de su sitio web, al exigir que el uso de su contraseña, requiera un código adicional sensible al tiempo de otro dispositivo, como su teléfono inteligente, para iniciar sesión correctamente.


10.- Use cualquier complemento de seguridad necesario

La mayoría de los CMS como WP hacen uso de complementos para aumentar el potencial de seguridad de si mismos. En el caso especifico de WP se recomienda el uso del complemento de seguridad llamado iThemes Security para agregar aún más protección a su sitio web. Este complemento bloquea WP, reparar agujeros conocidos, detiene ataques automatizados y fortalece las credenciales de los usuarios.
Posee una versión gratuita (iThemes Security) y una paga (iThemes Security Pro) que evidentemente provee más más características de seguridad como 2FA, análisis programados de malware, registro de usuarios, entre otras cosas.

Más...

Fuente: blog.desdelinux.net



No hay comentarios: