Hardening de Wordpress

Post34 nn

Normalmente los sistemas CMS por defecto suelen actualizados pero no todos con la misma frecuencia. Al tener la configuración por defecto, cualquiera que descubra los fallos en las versiones oficiales, pueden tener acceso a todos los sistemas con las opciones por defecto. Por eso es muy recomendable que se apliquen diferentes técnicas para mejorar la seguridad, para ponerlo un poco más difícil a los piratas o bots, el acceso o cracking de nuestro Wordpress.
El hardering en temas de seguridad se refiere un reforzamiento, endurecimiento o fortalecimiento del sistema para mejorar la seguridad por defecto. En este caso nos centraremos en el hardering de Wordpress, el CMS más popular y utilizado en el mundo. Por ello, suele ser el más atacado pero a la vez el más actualizado y para el que existen mas opciones para reforzar la seguridad de su sistema.
Llevo tiempo usando Wordpress para la creación de webs y blogs y la verdad es que algunos me decían que Joomla es mucho mas seguro, que no es tan complicado para manejarlo, bla, bla bla. Al final, ni Joomla es lo mejor ni es más sencillo de lejos.



Pero es cierto que todo sistema, necesita un endurecimiento de la seguridad, y a continuación voy a poner algunas recomendaciones para proteger un poco mas nuestro Wordpress.

  1. Plugin Wordfence: Este plugin está genial para hacer un seguimiento de los intentos fallidos o no de login, recuperación de contraseña y bloquear las ip de los atacantes. Tiene también un sistema IDS que bloquea los intentos de ataques. Es un sistema muy completo y gratuito.                                                                                                                                                                         

  2. Plugin Theme my login: Te ayudará a cambiar las rutas de login por defecto, para evitar que ataquen los directorios por defecto.


  3. Evitar darle información a los programas de si es válido o inválido el login. Esto lo conseguimos modificando functions.php de tu plantilla. Lo que consigues es que no muestre información en el campo de error.                                                                                                                                                                                    

    add_filter('login_errors',create_function('$a', "return null;")); <!--Hace que WP no informe de que falla en el login-->

  4. Ocultar que es un wordpress. Esto es interesante porque evitamos que puedan escanear la web y hacer un ataque basado en la versión de nuestra cms, o por ejemplo otra información con la que nos podría detectar vulnerabilidades. Por lo menos evitaremos que seamos detectados fácilmente por bots. Esto se puede conseguir con varios plugin que ayudan a realizar estos cambios. como por ejemplo "Hide my WP". Es un plugin que junto con "Theme my login" funcionan muy bien contra ataques inyecciones SQL y XSS. Cambia enlaces permanentes, evitando rutas de Wordpress reconocibles. Desactiva los feeds. Cambia la ruta de los plugins y todos los archivos de wordpress se ocultan en el proceso. Y como no, te avisa cuando te están atacando.

    https://codecanyon.net/item/hide-my-wp-amazing-security-plugin-for-wordpress/4177158

  5. Captcha on login: Es una solución para mejorar un poco los ataques de fuerza bruta en un login de acceso al backend.

  6. Actualizaciones. Es de manual, mantener el sistema actualizado. Es algo que a veces puede dar pereza e incluso no poder hacerse porque la actualización del sistema no es compatible con nuestra plantilla y/o plugins, pero es mas que recomendable, porque normalmente las actualizaciones solventan fallas de seguridad.

  7. iThemes Security: Un plugin de seguridad para Wordpress casi tan popular como Wordfence. Éste ofrece mas de 30 formas diferentes de proteger tu Wordpress. Tiene una configuración muy intuitiva, prácticamente con un botón y poniendo un email, ya tienes configurado por defecto todo el sistema, entre ellas, backup de la base de datos, protección contra intentos de acceso por fuerza bruta, bloqueo de usuarios, refuerzo de la red, mejora de las contraseñas de usuarios, y algunos retoques más. Una vez configurado el sistema por defecto, uno puede acceder a las opciones y cambiar algunos parámetros al gusto, siendo muy recomendable activar algunos módulos como la protección contra paginas 404. Como cualquier buen plugin, también tiene una versión pro, de pago, desde 80 euros por año con soporte y actualizaciones y utilizable hasta en dos web diferentes.

         


Artículos que te pueden interesar

Foto Andres Galeano
Creado 4 meses | leído hace alrededor de 2 ho...

Explotando Windows 2012 R2 con EternalBlue - Backtrack Academy

Explotando Windows 2012 R2 con EternalBlue

En el post anterior (Usando el exploit EternalBlue de la NSA) pudimos ver cómo utilizar diversos módulos de Metasploit para e...


Perfil Samuel Esteban
Creado casi 2 años | leído hace 1 minuto

Sqlmap Parte 2: Obteniendo acceso de administrador de base de datos. - Backtrack Academy

Sqlmap Parte 2: Obteniendo acceso de administrador de base de datos.

En esta segunda etapa veremos cómo obtener acceso de administrador de base datos con Sqlmap y de esta manera poder conectarno...