Estar al día en seguridad WordPress
Como siempre digo y me repito hasta la saciedad, la seguridad empieza por uno mismo, equipos actualizados, antivirus, recomendable utilizar dos, gestores de contraseñas, navegadores actualizados, prudencia al abrir emails y sus adjuntos, en realidad son medidas de sentido común.
Igualmente debemos actuar con nuestros WordPress, las actualizaciones lo mas importante, el core de WordPress siempre actualizado, los plugins y también los themes, sin miedo a actualizar si previamente hemos realizado los deberes y tenemos copias de seguridad.
Partiendo de estas bases comunes y si nos gusta el tema podemos internarnos un poco mas en materias de seguridad en WordPress, por ejemplo visitando webs de referencia, repositorios o incluso utilizando plugins que nos ayudan y alertan por ejemplo de plugins vulnerables u obsoletos, estos últimos tan peligrosos como los vulnerables.
Como webs de referencia puedo recomendar sitios como Sucuri.Net, en su blog tienen la sana costumbre de escribir artículos de seguridad en WordPress, informándonos de las vulnerabilidades del propio WordPress y de los plugins mas populares, suscribirse a su blog y recibir cómodamente sus novedades en seguridad en nuestro email. Estos además ofrecen herramientas de scanneo de webs online, que aunque no siendo scanners muy profundos si que nos ofrecen buena información como desactualizaciones del core o avisos de algún plugin desactualizado potencialmente vulnerable, como el caso de RevSlider que ha causado y sigue causando al día de hoy miles de infecciones por estar desactualizado.
Recomendación, si usas este plugin Revslider que viene integrado en un theme de pago, lo mejor que puedes hacer es comprar una licencia individual del mismo, ya que nunca vas a recibir notificaciones de actualización del plugin, normalmente el plugin se actualiza cuando el desarrollador del theme actualiza el theme en si, por lo que hasta que este no actúa, tú te quedas expuesto, por eso lo mejor es comprar la licencia individual del propio plugin y recibir notificaciones y actualizarlo, independientemente del theme, como mandan los cánones.
Otra web de referencia y perteneciente al grupo de Sucuri es Unmask Parasites, un chequeador online para desenmascarar enlaces ocultos en tu web si esta ha sido comprometida, también podemos hacerlo manualmente en el propio google, poniendo el buscador site:eldominio nos mostrará los enlaces de nuestra web, si vemos algo sospechoso ya sabemos que tenemos que ponernos manos a la obra.
El blog de Wordfence, aunque publica poco, es bueno suscribirnos a su noticias ya que cuando publica siempre es buen material y si utilizamos su plugin es recomendable suscribirse a sus boletines ya que periódicamente nos envía información de vulnerabilidades de plugins y como solucionarlo.
Una de las webs que mas se interesan sobre la seguridad en WordPress es WPvulnDB de WPScan, en su web tenemos información muy valiosa sobre vulnerabilidades de WordPress, themes y plugins, suscribirnos a su boletín casi es obligatorio si queremos estar al día de todos los plugins, themes y versiones de WordPress vulnerables, hacen un gran trabajo y obtenemos mucha información, en su web podemos hacer una búsqueda de plugins, themes o versiones de WordPress para confirmar si son vulnerables o lo han sido y que versiones de actualización hay disponible.
A la hora de los plugins tenemos un par de ellos que son buenas herramientas para informarnos sobre plugins vulnerables y plugins obsoletos o abandonados.
Plugin Vulnerability nos alerta de las vulnerabilidades de los plugins que tenemos instalados, fundamental para estar al día de como está el estado de los plugins que utilizamos, esto nos permite tomar medidas.
El plugin No longer in Directory nos alerta de los plugins obsoletos que tenemos instalados, se conecta a WordPress.Org y chequea nuestros plugins en su repositorio, si el plugin está marcado en el repositorio como obsoleto, es decir que lleva mas de dos años sin actualizarse, nos alertará de esta incidencia, lo recomendable en estos casos es no usar ese plugin, buscar otro similar para que realice las tareas que necesitamos, pero no es recomendable continuar con un plugin que ha sido abandonado por su desarrollador durante tanto tiempo, lo mas normal es que nos cree problemas de seguridad.
En este post no está la panacea de la seguridad en WordPress, pero si lo que se puede entender como básico si nos preocupa la seguridad de nuestras instalaciones o la de nuestros clientes.
Nosotros como empresa de hosting especializada en WordPress enviamos boletines de seguridad a todos nuestros clientes, plugins populares vulnerables, igualmente sobre themes y actualizaciones de WordPress para informar a nuestros clientes de las novedades y medidas a tomar.
Adicionalmente realizamos scanners de seguridad diarios en todos nuestros servidores, si detectamos alguna incidencia actuamos y notificamos al cliente con la incidencia, la solución tomada y las recomendaciones a seguir.
Normalmente las incidencias siempre vienen de un sistema desactualizado, ya sea core, theme o plugins.
Como medidas de seguridad adicionales disponemos de doble firewall, uno de ellos WAF, Web Application Firewall con reglas personalizadas para WordPress, Joomla, Prestashop para proteger las instalaciones de nuestros clientes incluso si son vulnerables.
Recientemente hemos puesto gratuitamente a disposición de todos nuestros clientes y con activación en un clic Cloudflare como CDN, este además de proporcionar mas velocidad y menos consumo de recursos de las webs, proporciona el WAF propio de Cloudflare que ofrece otra capa de seguridad adicional a las webs que pasan por el CDN.
Si te está preguntando por plugins de seguridad, mi recomendación son Ninjafirewall un WAF para WordPress, Wordfence es un plugin antivirus con muchas herramientas, scanners, notificadores y bloqueo de ataques de fuerza en bruto y Sucuri Security, este plugin scannea, realiza hardenings en un clic, notifica y nos da valiosa información de que es lo que ocurre en nuestra web.
Ninjafirewall, Wordfence y Sucuri Security son totalmente compatible y no se pelean entre ellos por lo que puedes tener los tres instalados si te apetece y si lo enganchas a un CDN como Cloudflare tampoco vas a tener ninguna incidencia de compatiblidad.
A continuación te doy todos los links de las webs y plugins mencionados:
– Sucuri Blog.
– WPScan.