Todos tenemos un punto de responsabilidad al hablar de ciberseguridad. Desde las grandes empresas que deben proteger sus datos y los de sus clientes hasta cualquier ciudadano de a pie que debe proteger su ordenador para que los ciberdelincuentes no lo utilice de trampolín para atacar a otros.
Obviamente si eres un programador o el encargado de seguridad de una empresa tus responsabilidades son mayores. Pero a veces nos olvidamos de los gestores de páginas web, ya sean estas grandes o pequeñas. Los ciberdelincuentes cada vez las atacan más ya que son plataformas perfectas para distribuir malware o para realizar labores de criptominería.
WordPress es el gestor de páginas web más popular del mundo, por lo que los “malos” lo tienen en su punto de mira. Desde Sophos te damos los siguientes consejos para mantener a salvo tu web:
- Actualiza: como cualquier otro software, WordPress se actualiza regularmente incorporando parches de seguridad y mejoras en su funcionamiento. Comprueba que estás utilizando la última versión y que todos tus plugin y temas están actualizados.
- Plugins: como hemos dicho anteriormente, debemos mantenerlos actualizados. Además solo los instalaremos desde repositorios oficiales y comprobaremos su reputación. Si hemos dejado de utilizar alguno, lo desinstalaremos para que deje de ser un posible problema.
- Copias de seguridad: son una de las bases de la ciberseguridad. Puedes realizarlas a través de tu hosting o emplear algún plugin. Nuestra recomendación es que las almacenes offline.
- Contraseñas: utiliza contraseñas seguras y no las reutilices en ningún otro servicio. Cámbialas regularmente.
- Cuentas de usuario: cambia el nombre a la cuenta de usuario del administrador, evita que sea admin, administrator o algo similar. Otorga los privilegios mínimos a los usuarios que vayan a participar en la web. No olvides eliminar los perfiles cuando ya no estén en uso.
- Plugins de seguridad: instala algún plugin de seguridad para que aumentar la seguridad por ejemplo limitando los intentos de inicio de sesión, restringiendo el acceso por IP o añadiendo el doble factor de autenticación.
- Conexiones seguras: no utilizaremos una conexión wifi no segura para gestionar nuestro WordPress.
- Certificado SSL: instalaremos un certificado SSL que nos permite utilizar el protocolo HTTPS para garantizar la seguridad del tráfico de nuestra web.
- Hosting: al alojar la web en un servicio externo, elegiremos un hosting seguro y de buena reputación que nos garantice la seguridad de nuestra web.
- Permisos de ficheros: comprueba que los permisos de los ficheros y directorios de WordPress no estén configurados como 777. Dependiendo de tu host y los plugins que tengas instalados los permisos que debes otorgar a los ficheros y directorios varía. Por lo general serán paras las carpetas 750 y para los ficheros 640.
La seguridad en WordPress es un tema complejo. Siguiendo estos consejos podemos evitar ser víctimas de gran parte de los ataques que nos realicen. Si quieres información adicional puedes visitar la página oficial de WordPress.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: