{"id":7469,"date":"2015-07-15T11:13:47","date_gmt":"2015-07-15T09:13:47","guid":{"rendered":"https:\/\/www.host-fusion.com\/blog\/?p=7469"},"modified":"2015-07-15T11:13:47","modified_gmt":"2015-07-15T09:13:47","slug":"estar-al-dia-en-seguridad-wordpress","status":"publish","type":"post","link":"https:\/\/www.host-fusion.com\/blog\/2015\/07\/15\/estar-al-dia-en-seguridad-wordpress\/","title":{"rendered":"Estar al d\u00eda en seguridad WordPress"},"content":{"rendered":"

\"WordPress<\/a><\/p>\n

Como siempre digo y me repito hasta la saciedad, la seguridad empieza por uno mismo<\/strong>, equipos actualizados, antivirus, recomendable utilizar dos, gestores de contrase\u00f1as, navegadores actualizados, prudencia al abrir emails y sus adjuntos, en realidad son medidas de sentido com\u00fan.<\/p>\n

Igualmente debemos actuar con nuestros WordPress<\/strong>, las actualizaciones lo mas importante, el core de WordPress siempre actualizado, los plugins y tambi\u00e9n los themes, sin miedo a actualizar si previamente hemos realizado los deberes y tenemos copias de seguridad.<\/p>\n

Partiendo de estas bases comunes y si nos gusta el tema podemos internarnos un poco mas en materias de seguridad en WordPress, por ejemplo visitando webs de referencia, repositorios o incluso utilizando plugins que nos ayudan y alertan por ejemplo de plugins vulnerables u obsoletos, estos \u00faltimos tan peligrosos como los vulnerables.<\/p>\n

Como webs de referencia puedo recomendar sitios como Sucuri.Net<\/strong>, en su blog tienen la sana\u00a0costumbre de escribir art\u00edculos de seguridad en WordPress, inform\u00e1ndonos de las vulnerabilidades del propio WordPress y de los plugins mas populares, suscribirse a su blog y recibir c\u00f3modamente sus novedades en seguridad en nuestro email. Estos adem\u00e1s ofrecen herramientas de scanneo de webs online, que aunque no siendo scanners muy profundos si que nos ofrecen buena informaci\u00f3n como desactualizaciones del core o avisos de alg\u00fan plugin desactualizado potencialmente vulnerable, como el caso de RevSlider<\/strong> que ha causado y sigue causando al d\u00eda de hoy miles de infecciones por estar desactualizado.<\/p>\n

Recomendaci\u00f3n, si usas este plugin Revslider que viene integrado en un theme de pago, lo mejor que puedes hacer es comprar una licencia individual del mismo, ya que nunca vas a recibir notificaciones de actualizaci\u00f3n del plugin, normalmente el plugin se actualiza cuando el desarrollador del theme actualiza el theme en si, por lo que hasta que este no act\u00faa, t\u00fa te quedas expuesto, por eso lo mejor es comprar la licencia individual del propio plugin y recibir notificaciones y actualizarlo, independientemente del theme,\u00a0como mandan los c\u00e1nones.<\/p>\n

Otra web de referencia y perteneciente al grupo de Sucuri es Unmask Parasites<\/strong>, un chequeador online para desenmascarar enlaces ocultos en tu web si esta ha sido comprometida, tambi\u00e9n podemos hacerlo manualmente en el propio google, poniendo el buscador \u00a0site:eldominio nos mostrar\u00e1 los enlaces de nuestra web, si vemos algo sospechoso ya sabemos que tenemos que ponernos manos a la obra.<\/p>\n

El blog de Wordfence<\/strong>, aunque publica poco, es bueno suscribirnos a su noticias ya que cuando publica siempre es buen material y si utilizamos su plugin es recomendable suscribirse a sus boletines ya que peri\u00f3dicamente nos env\u00eda informaci\u00f3n de vulnerabilidades de plugins y como solucionarlo.<\/p>\n

Una de las webs que mas se interesan sobre la seguridad en WordPress es WPvulnDB<\/strong> de WPScan<\/strong>, en su web tenemos informaci\u00f3n muy valiosa sobre vulnerabilidades de WordPress, themes y plugins, suscribirnos a su bolet\u00edn casi es obligatorio si queremos estar al d\u00eda de todos los plugins, themes y versiones de WordPress vulnerables, hacen un gran trabajo y obtenemos mucha informaci\u00f3n, en su web podemos hacer una b\u00fasqueda de plugins, themes o versiones de WordPress para confirmar si son vulnerables o lo han sido y que versiones de actualizaci\u00f3n hay disponible.<\/p>\n

A la hora de los plugins tenemos un par de ellos que son buenas herramientas para informarnos sobre plugins vulnerables y plugins obsoletos o abandonados.<\/p>\n

Plugin Vulnerability<\/strong> nos alerta\u00a0de las vulnerabilidades de los plugins que tenemos instalados, fundamental para estar al d\u00eda de como est\u00e1 el estado de los plugins que utilizamos, esto nos permite tomar medidas.<\/p>\n

El plugin No longer in Directory<\/strong> nos alerta de los plugins obsoletos que tenemos instalados, se conecta a WordPress.Org y chequea nuestros plugins en su repositorio, si el plugin est\u00e1 marcado en el repositorio como obsoleto, es decir que lleva mas de dos a\u00f1os sin actualizarse, nos alertar\u00e1 de esta incidencia, lo recomendable en estos casos es no usar ese plugin, buscar otro similar para que realice las tareas que necesitamos, pero no es recomendable continuar con un plugin que ha sido abandonado por su desarrollador durante tanto tiempo, lo mas normal es que nos cree problemas de seguridad.<\/p>\n

En este post no est\u00e1 la panacea de la seguridad en WordPress, pero si lo que se puede entender como b\u00e1sico si nos preocupa la seguridad de nuestras instalaciones o la de nuestros clientes.<\/p>\n

Nosotros como empresa de hosting especializada en WordPress enviamos boletines de seguridad<\/strong> a todos nuestros clientes, plugins populares vulnerables, igualmente sobre themes y actualizaciones de WordPress para informar a nuestros clientes de las novedades y medidas a tomar.<\/p>\n

Adicionalmente realizamos scanners de seguridad diarios<\/strong> en todos nuestros servidores, si detectamos alguna incidencia actuamos y notificamos al cliente con la incidencia, la soluci\u00f3n tomada y las recomendaciones a seguir.<\/p>\n

Normalmente las incidencias siempre vienen de un sistema desactualizado, ya sea core, theme o plugins.<\/p>\n

Como medidas de seguridad adicionales disponemos de doble firewall<\/strong>, uno de ellos WAF<\/strong>, Web Application \u00a0Firewall con reglas personalizadas para WordPress, Joomla, Prestashop para proteger las instalaciones de nuestros clientes incluso si son vulnerables.<\/p>\n

Recientemente hemos puesto gratuitamente a disposici\u00f3n de todos nuestros clientes y con activaci\u00f3n en un clic Cloudflare<\/strong> como CDN<\/strong>, este adem\u00e1s de proporcionar mas velocidad y menos consumo de recursos de las webs, proporciona el WAF propio de Cloudflare que ofrece otra capa de seguridad adicional a las webs que pasan por el CDN.<\/p>\n

Si te est\u00e1 preguntando por plugins de seguridad, mi recomendaci\u00f3n son Ninjafirewall<\/strong> un WAF para WordPress, Wordfence<\/strong> es un plugin antivirus con muchas herramientas, scanners, notificadores y bloqueo de ataques de fuerza en bruto y Sucuri Security<\/strong>, este plugin scannea, realiza hardenings en un clic, notifica y nos da valiosa informaci\u00f3n de que es lo que ocurre en nuestra web.<\/p>\n

Ninjafirewall, Wordfence y Sucuri Security son totalmente compatible y no se pelean entre ellos por lo que puedes tener los tres instalados si te apetece y si lo enganchas a un CDN como Cloudflare tampoco vas a tener ninguna incidencia de compatiblidad.<\/p>\n

A continuaci\u00f3n te doy todos los links de las webs y plugins mencionados:<\/p>\n

Sucuri Blog<\/a><\/strong>.<\/p>\n

Sitecheck Sucuri<\/a><\/strong>.<\/p>\n

Unmask Parasites<\/a><\/strong>.<\/p>\n

WPScan<\/a><\/strong>.<\/p>\n

Blog Wordfence<\/a><\/strong>.<\/p>\n

Plugin Wordfence<\/a><\/strong>.<\/p>\n

Plugin Ninjafirewall<\/a><\/strong>.<\/p>\n

Plugin Sucuri Security<\/a><\/strong>.<\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Como siempre digo y me repito hasta la saciedad, la seguridad empieza por uno mismo, equipos actualizados, antivirus, recomendable utilizar dos, gestores de contrase\u00f1as, navegadores actualizados, prudencia al abrir emails y sus adjuntos, en realidad son medidas de sentido com\u00fan.<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[751,621,539,376],"tags":[1060,1079,627,626,1078,647,1077],"class_list":["post-7469","post","type-post","status-publish","format-standard","hentry","category-hosting-wordpress-2","category-plugins-para-wordpress","category-seguridad-informatica-2","category-wordpress","tag-cloudflare-cdn","tag-ninjafirewall","tag-seguridad-wordpress","tag-sucuri","tag-unmask-parasites","tag-wordfence","tag-wpscan"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.host-fusion.com\/blog\/wp-json\/wp\/v2\/posts\/7469","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.host-fusion.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.host-fusion.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.host-fusion.com\/blog\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.host-fusion.com\/blog\/wp-json\/wp\/v2\/comments?post=7469"}],"version-history":[{"count":0,"href":"https:\/\/www.host-fusion.com\/blog\/wp-json\/wp\/v2\/posts\/7469\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.host-fusion.com\/blog\/wp-json\/wp\/v2\/media?parent=7469"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.host-fusion.com\/blog\/wp-json\/wp\/v2\/categories?post=7469"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.host-fusion.com\/blog\/wp-json\/wp\/v2\/tags?post=7469"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}