10 Claves para mejorar la seguridad de tu WP

Iñaki ArenazaMondragon Unibertsitatea

iarenaza@mondragon.edu@iarenaza

¿Cómo de seguro es WP?

Fuente: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress

¿Cómo de seguro es WP?

Fuente: http://www.cvedetails.com/product/4096/Wordpress-Wordpress.html?vendor_id=2337

10. Renombra la cuenta de administrador y las tablas de WP

• No uses: admin, Admin, administrator, Administrator, administrador, Administrador.

• No uses el prefijo wp_ para las tablas:

Fuente: http://aulacm.com/seguridad-y-proteger-wordpress/

9. Utiliza contraseñas fuertes

• No sólo en WP: también en la base de datos, el acceso al servidor, etc.

• Los gestores de contraseñas son tus amigos.• Utiliza autenticación de dos pasos o de doble

factor (2FA)• ¡Cámbialas regularmente!

8. Plugins de seguridad para WP

• Limit Login Attempts• Better WordPress Security• Two-Factor Authentication (Google

Authenticator), Duo Two-Factor Authentication• Wordfence Security, Sucuri Security,

NinjaFirewall WAF• Y montones más...

7. Copias de seguridad

• Copias de todo lo necesario: código WP, base de datos, ficheros de WP, servidor web, sistema operativo, etc.

• ¡Automatiza!• Hacerlas es sólo la mitad del camino.• Una copia de seguridad que no se puede (o no

se sabe) restaurar, no sirve para nada.• ¡Restaura tus copias periódicamente!

6. Securiza tu servidor web

• Configuración adecuada (usuario, permisos, etc.)• Aprovecha las opciones de seguridad de los

ficheros .htacces (o equivalentes en tu servidor web)

• ¡Protege tus ficheros .htaccess!• ModSecurity: www.modsecurity.org• Firewall que trabaje con ModSecurity.• Plugins como NginxCp sobre Apache:

www.nginxcp.com

5. Securiza tu servidor

• Sistema operativo actualizado.• Configuración adecuada.• Sistemas Linux: AppArmor, SELinux• Sistemas Windows: Aplica las plantillas de

seguridad.

4. Mantente actualizado

• Mantén WP actualizado: core, themes, plugins.• Instala siempre desde las fuentes originales: no

aceptes regalos envenenados.• Pero también tu servidor web, la base de datos,

el sistema operativo, etc.

3. Protege el acceso a la zona de administración

• Limita el acceso al directorio /wp-admin• Se puede hacer por:

– direcciones IP de origen– solicitando usuario y contraseña– ¡o ambas cosas!

• Se suele hacer en la configuración del servidor web (cPanel, fichero .htacces, etc.)

2. Estate al día

• https://wordpress.org/news/category/security/• https://wpvulndb.com/• Plugin Vulnerabilities https://wordpress.org/

plugins/plugin-vulnerabilities/• No Longer in Directory https://wordpress.org/

plugins/no-longer-in-directory/ • http://www.cvedetails.com/vendor/2337/Word

press.html

1. Externaliza tu seguridad

• Si no puedes o no quieres hacer todo lo anterior: externalízalo :-)

• Además de lo anterior puedes queres:– Curación de temas y plugins a usar– Monitorización de intentos de intrusión– Informes de estado– etc.

Eskerrik askoMuchas gracias