Bien, para una persona como yo, que procura tomarse con tranquilidad eso de proteger su web, me parece que este titulo es demasiado grandielocuente. Realmente, nos debemos preocupar tanto de la seguridad de nuestro sitio?
Depende, si no queréis ser motivo de burla y escarnio,si. Por lo menos esa será la parte menos grave si alguien consigue entrar en vuestra instalación.
Se habla mucho, y hay mucha documentación en linea acerca de como podemos dificultar los ataques, y documentación muy bien escrita, con muy buenas ideas. Desde la sencilla de cambiar el usuario «admin», a proteger con «.htaccess». Yo mismo he sacado varias veces el tema, invitándoos a que cambies los directorios de trabajo de wordpres aquí y aquí, o proponiéndoos la instalación de plugins para backups o para detectar ataque.
Entonces?, después de hacer todo eso….¿que nos queda?. Nos queda muchas cosas, por un lado, nos queda revisar los informes que día a día nos facilitan nuestros plugins de seguridad, nos queda hacer que nuestras passwords sean difíciles de adivinar con un ataque de diccionario, o de fuerza bruta, y….nos queda que nosotros mismos no causemos nuestra desgracia.
Si, aunque parezca tonto, algo tan sencillo como un tema o un plugin puede ser una perfecta puerta para permitir a cualquiera entrar en nuestro wordpress, y es por eso que hemos insistido tanto en controlar los orígenes de lo que instalábamos.
Aun asi, como el enemigo siempre puede estar dentro, hace unos días me encontré con este plugin, y he pensado que no está de mas compartirlo; se trata de una herramienta que analiza los temas instalados para comprobar si han dejado algun exploit. La web que lo presenta es http://builtbackwards.com/projects/tac/, y podeis descargarlo e instalarlo desde wordpress, en «Plugins»->»Añadir nuevo»
Una vez lo hayais instalado, en el menu «Apariencia, aparece una nueva opcion «TAC» y vereis aparecer una lista con todos los temas que teneis instalados y un precioso (espero) OK al lado, indicando que no se ha encontrado codigo «malware»
Bien, ya podeis estar un poco mas tranquilos, ahora os invito a que vayais a la pagina http://hackertarget.com/wordpress-security-scan/ e introduzcais la direccion de vuestra web y pulseis «Start WordPres Security…..»
Estaba la contento viendo como me informaba que todo estaba bien, hasta que un poco mas abajo, me encontré con esto:
Fijaros que cualquiera puede ver la lista de todos los autores que haya….y para eso nos hemos cansado protegiendo el «admin»…? Sabiendo el id del autor, solo falta encontrar la contraseña,….eso no puede ser bueno.
Sin embargo, como casi todo tiene solucion, si habéis instalado el plugin que os recomendaba para SEO (SEO by Yoast), solo tenéis que ir a su configuración
y activar esa casilla en donde dice que no queréis la pagina de autor; Naturalmente, eso no ofrece problemas en una instalación con un solo autor, en donde esa pagina, ofrece lo mismo que el Index, si no,…vosotros decidís
[htmlBox filename=»cursoWordPress_grupos.html»]
8 comentarios
Muchas gracias!
¡Muy bueno!
Gracias Henry
Muchas gracias!
¡Muy bueno!