Blog

Blog sobre desarrollo web, diseño y tecnología. Consejos y trucos.

02

Ago 2014

Seguridad: Protege tu WordPress de múltiples tipos de ataque por medio del plugin WP Security & Firewall

Publicado por / en Blog, Consejos y Trucos, Desarollo web / Link

¿Es WordPress una plataforma segura?

Antes de responder a esta pregunta, definamos qué es la seguridad. Según la RAE, la seguridad es la cualidad de seguro, y seguro queda definido como:

seguro, ra.:

  1. adj. Libre y exento de todo peligro, daño o riego.
  2. adj. Cierto, indubitable y en cierta manera infalible.
  3. adj. Firme, constante y que no está en peligro de faltar o caerse.
  4. adj. No sospechoso.

Aunque hay más definiciones creo que con estas ya nos hacemos una idea. ¿Son estas definiciones aplicables a la seguridad informática? ¿Podemos conseguir un sistema libre y exento de todo peligro, daño o riesgo?

Si nos vamos haciendo esta misma pregunta con cada una de las definiciones dadas por la RAE vamos llegando a la misma respuesta:

No podemos garantizar que nuestro sistema va a estar en todo momento libre o exento de todo riesgo, que vaya a ser cierto, indubitable y en cierta manera infalible o que vaya a mantenerse firme y constante.

¿Por qué no podemos garantizarlo?

Porque existen una serie de amenazas constantes clasificadas Amenazas Lógicas, Físicas y Ambientales que de paliarse de forma completa afectarían a la disponibilidad de nuestro sistema, lo que hace que su implementación no sea viable.

Y esto, ¿qué tiene que ver con WordPress?

WordPress es una plataforma (software) que se encuentra ubicado en un servidor (hardware) conectado a una red (Internet) y con personas que solicitan, proporcionan e intercambian experiencias e informaciones. Por tanto estamos hablando de un sistema informático en toda regla.

En la seguridad de los sistemas informáticos, las preguntas que se hace un técnico en sistemas de información ante un problema de seguridad, normalmente están relacionadas con medidas defensivas que no solucionan un problema dado, sólo lo transforma o lo retrasa. La amenaza o riesgo sigue allí y las preguntas que este técnico debe hacerse son:

  • ¿Cuánto tardará la amenaza en superar la “solución” planteada?
  • ¿Cómo se hace para detectarla e identificarla a tiempo?
  • ¿Cómo se hace para neutralizarla?

Ya se trate de actos naturales, errores u omisiones humanas y actos intencionales, cada riesgo debería ser atacado de las siguientes maneras:

  • Minimizando la posibilidad de ocurrencia
  • Reduciendo al mínimo el perjucio producido, si no ha podido evitarse que ocurriera
  • Diseño de métodos para la más rápida recuperación de los daños experimentados
  • Corrección de las medidas de seguridad en función de la experiencia recogida.

 

Tal y como cita el encabezamiento de la página oficial de WordPress español “WordPress es una avanzada plataforma semántica de publicación personal orientada a la estética, los estándares web y la usabilidad. WordPress es libre y, al mismo tiempo, gratuito.”

WordPress es software libre, mantenido por una amplia comunidad de desarrollo, con frecuentes actualizaciones de seguridad, que nos permite garantizar que se trata de un sistema en constante evolución para minimizar la posibilidad de daños producidos por las amenazas descritas anteriormente, pero ¿y qué pasa con los plugins?

En el repositorio de plugins de WordPress nos encontramos de todo, desde plugins desarrollados por empresas con equipos de desarrollo que tienen en cuenta las amenazas a la seguridad, hasta plugins desarrollados por personas con pocos conocimientos en este tema, con conseguidos resultados estéticos y funcionales, pero que pueden abrir puertas a posibles atacantes. Tenemos que tener claro un concepto muy importante de la seguridad informática:

La seguridad de un sistema no es la suma de las medidas del sistema, la seguridad del sistema es igual a su parte más débil. Un atacante sólo necesita encontrar un fallo para poder realizar la intrusión.

Plugin All In One WordPress Security and Firewall

La protección de WordPress requiere tener muchos frentes controlados. Firewalls a través del archivo .htaccess, permisos de archivos, prefijos de las tablas de las bases de datos, nombres de usuarios superadministradores, protección de ataques de fuerza bruta, y un largo etcétera.

Después de muchos años utilizando WordPress y protegiendo tanto mis páginas como las de mis clientes, encontré este plugin, All in One WordPress Security and Firewall (pincha para ir a la página del plugin).

Este plugin de seguridad ofrece las últimas prácticas de seguridad de WordPress recomendadas, funciones fáciles de usar. Está diseñado y escrito por expertos pero siempre pensando en la facilidad para el usuario. No tienes que aprender reglas complejas de .htaccess, ni estar comprobando permisos, ni monitorizando los logs del servidor continuamente para ver posibles ataques. Este plugin te ofrece sencillez y tranquilidad.

¿Cómo funciona?

Todas las funciones de seguridad y las reglas del cortafuegos se clasifican en “básico”, “intermedio” y “avanzado”. Las funciones que corresponden a la categoría básica son por lo general no invasivas y no entrarán en conflicto con ninguna funcionalidad. Estos tipos de características deben activarse de inmediato con el fin de garantizar la seguridad mínima que debe tener un sitio web.

Las funciones que corresponden a las categorías intermedias y avanzadas pueden entrar en conflicto con ciertas funcionalidades dependiendo de tu configuración y los plugins que estés usando. Este tipo de características normalmente aplican medidas de seguridad más complejas.

Utilizando el sistema de clasificación se pueden ir activando las funciones progresivamente, aplicar las reglas del firewall e ir comprobando si nuestro WordPress y los plugins instalados siguen funcionando correctamente.

Sistema de Puntuación

Sistema de puntos de seguridadEn la página del panel de control se encuentra un medidor medidor de intensidad de la seguridad. El propósito de este indicador es de mantenerte informado de forma gráfica y sencilla de las medidas de seguridad que tienes activadas y las que te faltan por activar. Esto se hace usando un sistema de puntos de seguridad que calculará tu puntuación actual de la seguridad de una puntuación total máxima alcanzable en base a las características que se han habilitado o aplicado.

Notificación de medidas críticas de seguridad

Estado de las medidas de seguridad críticasEn el panel de control del plugin destacarán las características más importantes que debes aplicar en tu web para lograr un nivel mínimo de seguridad aceptable. Como puedes ver en la imagen, se muestra un panel en el que pueden verse las funcionalides activadas y desactivadas.

Copias de seguridad de la base de datos

El sistema también te permite crear copias de seguridad de tu base de datos simplemente pulsando un botón, o programar el envío de la misma a tu correo electrónico de forma periódica.
Copias de seguridad de la base de datos

Encontrarás muchas en interesantes funciones cuando lo pruebes. Será un placer responder a tus preguntas si tienes alguna duda. ¡Comenta más abajo y comparte! !Creemos webs más seguras!

Por favor, selecciona una red social para compartir:

Tu también nos gustas :)
POST SIMILARES
comments powered by Disqus