El hecho de que haya unas 74 millones de webs corriendo WordPress, permite que haya miles de plugins para hacer casi cualquier cosa imaginable, miles de foros donde cualquier problema al que puedas enfrentarte lo haya sufrido tenido cualquier otra persona y encuentres la respuesta a tu pregunta.
Esto que puede ser una bendición, hace que WordPress sea una de las aplicaciones web que más ataques recibe.
En seguridad siempre hay un principio que todo es cuestión de tiempo, si alguien quiere conseguir entrar en tu web, terminará encontrando una via de entrada. En nuestra mano está intentar conseguir que el tiempo que tenga que invertir sea tanto que no le merezca la pena y busque “victimas” más fáciles.
En esta serie de artículos, vamos a analizar las principales vías de entradas que puede tener alguien para hacerse con nuestra web en WordPress y que podemos hacer para intentar evitarlo.
A veces el objetivo del atacante puede ser variopinto. Desde cambiar el aspecto de nuestra web, lo que se llama en el argot, un defacement a intentar introducir código malicioso en nuestra web para que nuestros usuarios se descarguen algún programa, como simplemente hacerse con el control de nuestro servidor, envien spam, etc. La lista es interminable.
Como este artículo pretende ser útil para la mayoría de la gente que tiene una web en un hosting compartido, omitiremos la parte que atañe a la securización del servidor que contenga nuestra web y nos centraremos en las principales vias de entrada de un atacante:
- Acceso al escritorio o dashboard de nuestro WordPress. Como cualquier aplicación a la que haya que introducir un usuario y clave, corremos el riesgo de que alguien averigüe o intercepte nuestro usuario y contraseña y entre en el corazón de nuestro WordPress.
- Acceso via plugin o plantilla con fallos de seguridad. Esta es una de las principales vías de entrada, cuando se descubre un fallo de seguridad en alguna plantilla, plugin o elemento de WordPress como el famoso ataque via Revolution Slider podemos tener expuesta nuestra web a que alguien introduzca código malicioso, se haga con el control de la web o envie spam.
- Acceso via formularios de contacto. Generalmente los formularios de contacto los ponemos en nuestras webs para que un potencial cliente o lector se ponga en contacto con nosotros. Lamentablemente también puede servir para enviarnos spam o lo que es peor, enviar correo no deseado desde nuestra web, corriendo el riesgo de que nos añadan en una lista antispam sin saberlo o que utilicen todo nuestro tráfico asignado a nuestra web, lo cuál puede producirnos perjuicios como sobrecoste de nuestro hosting, penalizaciones, etc.
En este primer artículo de esta serie vamos a hablar de como minimizar los riesgos de que puedan entrar en el escritorio de WordPress.
Como evitar accesos indeseados al escritorio de WordPress
Lo primero que queremos evitar es que alguien pueda ni siquiera ver nuestra pagina de login de nuestra web tipo www.nuestraweb.com/wp-admin/ o www.nuestraweb.com/wp-login.php.
O que Google indexe dicha pagina. Google es una buena fuente de informacion no solo para los buenos, sino tambien para los malos. Como evitarlo? Añadiendo esta línea a tu fichero robots.txt
Aparte se podría restringir el acceso por IP, con .htaccess dentro de la carpeta wp-admin.
Las IPs utilizadas son falsas, tendrías que añadir la IP que quieres permitir. Si quieres averiguar la IP de tu trabajo o de tu casa, puedes averiguarla con webs como esta.Ten en cuenta que la IP de tu casa puede cambiar pasados unos días y tendrías que actualizarla.
Y por último, lo más reseñable y lo que recomiendan todos los expertos de seguridad, es tener un segundo nivel de seguridad que no sea sólo la clave. Una de las herramientas que recomiendo y que es de las más seguras, creada por el grupo del televisivo Chema Alonso, que fue fichado por Telefónica para crear una empresa como Eleven Paths y cuyo producto estrella es Latch (candado o pestillo en inglés).
Instalación de Latch en WordPress
La herramienta Latch se puede instalar en infinidad de dispositivos, sistemas operativos y herramientas. La principal característica es que una vez instalado en tu móvil o tablet, con un sólo gesto, puedes bloquear el acceso a tu(s) web(s) con WordPress. Incluso aunque alguien averigüe tu clave, si tienes bloqueado el acceso con Latch, no podría entrar.
Para instalar Latch, tienes que instalar el plugin de WordPress
Tenemos que crearnos una cuenta y registrarte como desarrollador de la aplicación aquí. Luego una vez creada la cuenta tenemos que añadir nuestra web o blog a My Applications. Una vez creada la cuenta tenemos que copiar el Application ID y el secret key. Luego tenemos que ir a Ajustes -> Ajustes Latch y allí introduciremos el Application ID y el secret key y la API URL que es https://latch.elevenpaths.com.
Guardamos los cambios y una vez hecho esto, tenemos que añadir un token para cada usuario. Esto permite que cada usuario de la web pueda configurar individualmente su candado y permitir el acceso o no independientemente que otros usuarios tengan o no permitido el acceso. En la parte izquierda del menú de WordPress tienes la sección de Usuarios y elegírias “Tu Perfil”. Allí te saldrá ahora la opción de poner un token latch. Ahí tendrás que poner un código de pareado que tienes que generar en el dispositivo que utilices para realizar el bloqueo. P.ej. ese dispositivo puede ser tu tablet o tu móvil p.ej. vía android.
Una vez instalada la aplicación en tu dispositivo, tendrás que poner tu email y contraseña que usaste en la cuenta de desarrollador de Latch y te apareceran las aplicaciones que has configurado. Como es la primera vez que entramos, lo tendremos vacío y tenemos que añadir un nuevo servicio. Nos dirá si queremos parear un nuevo dispositivo y nos generará un código de pareado que tenemos que introducir en nuestro perfil de WordPress. Tendremos que ser rápido porque el código de pareado es válido por un tiempo corto.
Una vez introducido el token nos aparecerá ya la aplicación con el interruptor. Lo bueno es que podríamos tener varias aplicaciones o dispositivos y bloquearlos todos a la vez, uno a uno individualmente.
