Podcast de Seguridad en WordPress para Principiant

    El exceso de medidas de seguridad aplicadas en una instalación de WordPress en muchas ocasiones acaban convirtiéndose en un dolor de cabeza para ti, pudiendo llegar a bloquearte cuando tratas de realizar tareas en la web. Episodio 6 de Seguridad en WordPress para Principiantes. Hoy te hago una pregunta… ¿Sabes cual el es el mejor plugin de seguridad?   El mejor plugin de Seguridad   Existen muchos plugins para hardenizar o asegurar una instalación de WordPress desde el lado del usuario, es decir, mediante la instalación de Plugins en el dashboard. Esta es la practica más común que gran parte de usuarios utiliza para mejorar la seguridad de su web, protegerla contra intento de accesos a través del formulario de login, o para evitar la inyección de spam en formularios no protegidos. Pero ¿realmente la adición de plugins de seguridad es la solución definitiva al problema? Si es cierto que hay algunas medidas que tu, desde el dashboard de WordPress o mediante el archivo .htaccess de la instalación, puedes llevar a cabo para mejorar algunos puntos que podrían afectar a su seguridad, y que son: Eliminar la entrada ¡Hola mundo! que se incluye por defecto en WordPress. Eliminar los Plugins instalados que estén desactivados y no necesites. Eliminar los Temas instalados que estén desactivados y no necesites. Desactivar los comentarios si tu web no los va a utilizar. Crear un buen archivo robots.txt que evite el indexado de archivos sensibles. Por ejemplo, en el caso de los plugins, mantenerlos actualizados evita muchas sorpresas. Sin ir más lejos hace unos días la versión 3.4.5 de WooCommerce (plugin para la gestión de tiendas online en WordPress) se vio afectado por una serie de problemas que permitían a los gestores (rol inferior al de administradores) de la tienda superar sus capacidades y realizar acciones maliciosas mediante la explotación de una vulnerabilidad de Inyección de Objetos PHP Autenticada (Authenticated Object Injection), que naturalmente ha sido corregida en versiones posteriores. El desconocimiento de este tipo de vulnerabilidades por parte de usuarios que dedican su tiempo y esfuerzos a gestionar su tienda y las ventas, como es lógico, los aleja de esta información, importante para garantizar la seguridad de sus webs, por lo que prestar atención a las actualizaciones es tarea importante de un administrador de webs WordPress. El resto de acciones encaminadas a fortalecer tu instalación de WordPress no necesariamente debes implementarlas añadiendo más carga al sitio mediante el uso de plugins. Un buen Hosting, contratado con un proveedor que te garantice medidas de seguridad a varios niveles, te va a permitir descansar aspectos de la seguridad que son muy importantes y mucho más efectivos cuando se aplican desde el servidor y no desde la propia web. Algunas de las medidas que un buen proveedor de Hostig aplicará para segurizar las webs alojadas: Auditorías de seguridad diarias. IPTables personalizados (Firewall a nivel de paquetes). Detección y bloqueos de IPs al detectar múltiples logins incorrectos. Detección y bloqueos de IPs al detectar ataques de fuerza bruta. Detección y bloqueos de IPs al detectar el escaneo de puertos. Detección y bloqueos de IPs al detectar ataques Denegación de Servicio. Comprobación de “logs” para detectar patrones maliciosos. Detección de Rootkits. Contra-medidas contra el IpSpoofing. Contra-medidas contra el Envenenamiento de DNS. Comprobación de Hash MD5 de archivos del sistema. Detección automática de exploits, troyanos y backdoors. Escaneo diario con CSX para detectar exploits, troyanos, backdoors, malware o shells. Análisis de archivos con ClamAV o herramientas similares. …. la lista podría ser más larga, pero creo que te haces una idea. Es cierto que puede haber Plugins que hagan lo mismo o parecido, pero también es cierto que la mayoría acaban engordando los registros de tus bases de datos, realizando numerosas peticiones externas (requets) y en ocasiones dificultando los accesos al dashboard cuando se utilizan plugins para ofuscar el acceso a /wp-admin o /wp-login.php por ejemplo.   El mejor plugin de seguridad es contratar un buen Hosting que se ocupe de asegurar tus webs, correos y demás servicios sin que tu necesites implementar capas adicionales desde tu web.#wpseg - tuitealo   Contra-medidas aplicables sin Plugins   Tu también puedes aplicar ciertas medidas para proteger tus instalaciones de WordPress sin necesidad de recurrir a plugins. Te cito algunas de ellas: Proteger wp-admin o wp-login.php usando 2FA (segundos factores de autorización) y así evitar plugins como “Hide Login Area”, “WPS Hide Login” o similares. Contratar un Hosting que aplique medidas específicas para evitar ataques de fuerza bruta contra formularios de acceso en lugar de recurrir a plugins que implementen esta protección. Establecer los permisos correctos para tus carpetas (755) y archivos (644) desde tu Panel de Hosting o utilizando herramientas de revisión y cambio masivo de permisos sin tener que recurrir a plugins para protegerlos cuando tienen permisos incorrectos. Akismet ¡es bueno! y quien te diga lo contrario es que no lo conoce o no lo ha usado lo suficiente. Protege tu sitio contra SPAM en formularios de comentarios usando las funcionalidades que WordPress te ofrece de forma nativa, no lo recargues con plugins de terceros sin necesidad. Hay muchas otras, pero para no extenderme más te invito a que leas otros contenidos en este sitio web, o en otros que puedes encontrar en Internet y que documentan mucho mejor que yo estas cuestiones.   Conclusiones   El equilibrio entre cantidad y calidad de las medidas de seguridad aplicadas es importante cuando el exceso de medidas se traduce en una mayor lentitud en la carga de la web. Si además de todo lo contado utilizas una VPN (Red Privada Virtual) para acceder a tus webs WordPress, te olvidas de usar FTP y utilizas el “Administrador de Archivos” de tu Panel de Hosting, e implementas SSL mediante Certificados Gratuitos como Let’s Encrypt, estarás añadiendo capas adicionales de seguridad perimetral, externa y todas ellas orientadas a evitar que tus webs se vean afectadas por malvados planes de villanos contra tus webs.   Tu feedback y comentarios son el combustible que alimenta estos #PODCAST de Seguridad en #WordPress para Principiantes #wpseg - tuitealo   Si te surgen dudas con los pasos a seguir para añadir seguridad a tu WordPress ¡pregúntame! estaré encantado de responderte. Gracias por haberme acompañado nuevamente en esta breve pero intensa aventura. Recordarte que este PODCAST lo puedes escuchar desde tu dispositivo en iTunes o iVOOX . Nos citamos en el próximo PODCAST dedicado a WordPress y su seguridad!!    

    Determinar si ¿Es seguro WordPress? es complejo pues hay opiniones para todos los gustos, pero yo te voy a dar mi punto de vista al respecto. Episodio 5 de Seguridad en WordPress para Principiantes. Hoy te hago una pregunta… ¿Crees que WordPress es inseguro?   WordPress es inseguro…   Por medio de las publicaciones que realizo en este sitio web quiero aprovechar para llevar a los menos conocedores de la seguridad, principalmente la relacionada con CMS, su importancia y las sencillas técnicas o pautas con las que se puede mejorar. El usuario es el eslabón más débil de todo el proceso y evitarlo solo esta en las manos de cada uno. #wpseg - tuitealo   ¿Es seguro WordPress?   El núcleo (core) de WordPress, de facto, es muy seguro, pero son las malas políticas de seguridad o la ausencia de ellas, así como ignorar que las copias de seguridad sirven para algo, y abusar del uso de plugins, las que acaban llevando cualquier instalación estable al desastre. Si utilizas una versión desactualizada y/o vulnerable. Si instalas plugins indiscriminadamente y luego te olvidas de ellos. Si te excedes en la protección de tu web (menos plugins y más Hosting). Si lo de las copias de seguridad es cosa de tu Hosting y no va contigo. Si sumas en lugar de restar (menos es más). Si accedes a tu dashboard desde conexiones inseguras (wifis públicas, bares, etc). Por increíble que te parezca, actualmente solo el 53,3% de instalaciones de WordPress trabajan con la versión estable, el resto se reparten entre el 0,8% que aún trabajan con la versión 3.4 que data de 2012 y el 10,7% que aún siguen anclados en la versión 4.6 que ya quedó atrás y además es muy vulnerable. Vale la pena prestar atención a las revisiones (opiniones) y recomendaciones de los usuarios de WordPress y no ser demasiado rápido a la hora de descargar o instalar nuevos plugins en tu web que pueden tener graves fallos de seguridad. Las vulnerabilidades existen, eso es incuestionable, por lo que tener políticas de prevención y contención frente a fallos de seguridad de un sitio web deben formar parte de tu checklist de trabajo con WordPress, sobre todo si tu enfoque es comercial y gestionas tu propia cartera de clientes. Veamos en unos pocos puntos como puedes contribuir a que tu instalación de WordPress sea más estable, más segura y te permita dormir más tranquilo sabiendo que todo está bajo control.   Checklist para asegurar WordPress:   Mantén el núcleo, plugins y temas siempre actualizados. Realiza de forma regular copias de seguridad. ¡siempre! Evitar la exploración de directorios. Oculta los posibles errores de PHP. Mantén protegido el directorio wp-admin Protege el archivo wp-config.php En sitios con varios usuarios, fuerza el cambio de contraseñas periódicamente. Deshabilita el listado del archivo .htaccess Utilizar contraseñas más robustas y menos predecibles. (Llaveros). Deshabilita llamadas a procedimiento remotos (XML-RPC) Deshabilita Trackbacks y Pingbacks Cambia el usuario administrador admin (un clásico). Elimina los usuarios inactivos. Utiliza el rol de colaborador para autores invitados. (MPE = Mínimo Punto de Exposición) Los temas y plugins que no necesites desinstálalos. Monitoriza tu sitio web en tiempo real. Utiliza SSL en WordPress ¡Let’s Encrypt es gratuito, no hay excusas! Audita los cambios realizados por diferentes administradores (multisitios). Usa métodos de autenticación en dos pasos (2FA) CiberProtector Accede siempre a la web de forma segura (SFTP, SSH, a cPanel desde VPN). No instales plugins de seguridad, mejor contrata un buen Hosting.   La lista es breve pero con los puntos más destacados a tener en cuenta, si quieres ampliar esta información puedes leer un post que publique en el Blog de José Facchin al respecto. Seguridad en WordPress ¡La mega guía para blindar tu página web o blog!   Conclusiones   Tras esta breve exposición de puntos a considerar, y con la pregunta ¿Es seguro WordPress?, se justifica la máxima que siempre sostengo “WordPress es muy seguro” pero son los usuarios y el uso de plugins de terceros, vulnerables, o descargados de sitios de poca confianza, los que convierten WordPress en una instalación vulnerable.   Tu feedback y comentarios son el combustible que alimenta estos PODCAST de Seguridad en #WordPress para Principiantes #wpseg - tuitealo   Si te surgen dudas con los pasos a seguir para añadir seguridad a tu WordPress ¡pregúntame! Gracias por haberme acompañado hoy en esta breve pero intensa aventura. Recordarte que este PODCAST lo puedes escuchar desde tu dispositivo en iTunes o iVOOX . Nos encontramos en el próximo PODCAST dedicado a WordPress y su seguridad!!    

    Episodio 4 de Seguridad en WordPress para Principiantes. Hoy hablo de…   Cómo bloquear IPs desde WordPress o por .htaccess En sitios web WordPress que tiene el foco de geolocalización a nivel nacional, regional o local es importante mantener saneados los accesos de forma que el tráfico hacia la web sea fluido. Plantearse cuál es la forma más adecuada de bloquear IPs o rangos de IPs ayudará a que tu sitio web no colecte demasiados datos en las tablas de la base de datos correspondientes al plugin que gestione estos filtrados de IPs. Por ello, alternativas como la gestión de listas de Ips en el archivo .htaccess se presentan como soluciones más ligeras, a pesar de tener que ser gestionadas y mantenidas manualmente, pero aportando como ventaja la descarga de esta tarea a WordPress por medio de plugins.   ¿Cómo bloquear IPs desde .htaccess? Sin entrar en detalles de porqué sí o porque no bloquear por medio de htaccess, quiero que veas que el bloqueo de una o varias IPs, o inclusive un rango de IPs por .htaccess es un proceso tan sencillo como rápido de aplicar, y no genera carga extra en tu instalación de WordPress. Las reglas de bloqueos de IPs debes crearlas siempre fuera del código de .htaccess para WordPress que es el siguiente: # BEGIN WordPress RewriteEngine On RewriteBase / RewriteRule ^index.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] # END WordPress   Bloquear una IP específica: El siguiente código te permite bloquear determinada IP estableciendo dicho bloqueo mediante un deny from IP: order allow,deny deny from 200.108.100.20 allow from all   Bloquear varias IPs: Esto mismo lo puedes hacer extensivo a varias IPs: order allow,deny deny from 200.108.100.20 deny from 174.120.1.50 deny from 10.200.130.100 deny from 104.218.13.155 allow from all   Bloquear un Rango de IPs: Si por ejemplo quieres bloquear un rango de IPs que pueda ser usado desde un origen específico, aplicas la siguiente regla de bloqueo en .htaccess: order allow,deny deny from 200.108.100. allow from all De esta forma, todo el rango desde la IP 200.108.100.1 a la IP 200.108.100.254 estarán bloqueadas automáticamente y no podrán visualizar la web WordPress alojada en el Hosting donde apliques la regla en el archivo .htaccess Debes tener cuidado con los bloqueos por rangos, no vaya a ser que por error acabes bloqueando IPs legítimas o tu propia IP (si operas con IPs dinámicas dentro de una red de fibra óptica donde se reparten las IPs dinámicas por cajas de distribución de conexiones en bloques de viviendas o calles, por ejemplo).   Bloquear un Host específico: order allow,deny deny from baidu.com allow from all Esto bloquearía todo el tráfico procedente del host del buscador chino Baidu.   Bloquear el accesos a una instalación WordPress en otra carpeta: En un escenario en el que tu Hosting tiene varias webs, separadas en carpetas, y quieres restringir a una determinada IP, rango o país, a una instalación de una carpeta, por ejemplo /public_html/pruebas lo único que debes hacer es editar el archivo .htaccess de esa instalación (si no existe lo creas) y añadir fuera del siguiente código: # BEGIN WordPress RewriteEngine On RewriteBase / RewriteRule ^index.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] # END WordPress La siguiente regla de bloqueo cuya sintaxis es la siguiente: deny from [DIRECCIÓN IP] Nota: El formato de IP debe ser en IPv4. Lo ideal sería antes del bloque #BEGIN WordPress añadir el código que bloquee la IPs o el rango, tal como te expliqué anteriormente: order allow,deny deny from 200.108.100.20 allow from all Esto bloqueará a la IP 200.108.100.20 el acceso a la instalación alojada en la carpeta /public_html/pruebas pero no impedirá que acceda a otras instalación del Hosting si las hubiera.   ¿Cómo bloquear IPs mediante un plugin? Existen numerosos plugins para aplicar bloqueos de IPs, unos específicos (solo se dedican a esta tarea) y otros como parte de una herramienta de seguridad o hardening más amplia, donde una de las políticas de seguridad es el bloqueo de IPs. Me gustaría señalar que no merece la pena instalar un plugin que realice múltiples tareas diferentes si solo quieres aplicar bloqueos a IPs o rangos, es desperdiciar el potencial del plugin y sobrecargar tu instalación.   Plugins para banear IPs o rangos en WordPress: IP Ban: enlace al plugin. LionScripts: IP Blocker Lite: enlace al plugin. IP Geo Block: enlace al plugin (bastante completo). iQ Block Country: enlace al plugin. Existen muchos más plugins para bloquear IPs específicas, rangos de IPs o bloques de países para evitar que desde esas IPs o países se acceda a tu sitio web WordPress pero ¿es la solución adecuada?. Es evidente que muchos de los plugins conocidos como Wordfence, Sucuri Security, iThemes Security, etc., además de realizar otras tareas, permiten gestionar el bloqueo de IPs, pero acaban siendo como elefantes en una tienda de porcelanas. Se convierten en plugins pesados, que en muchos casos acaban duplicando funcionalidades de seguridad que el propio servidor de alojamiento ya aplica. ¡Pregunta a tu Hosting qué medidas aplica! no está demás y posiblemente te ahorrarás algún que otro plugin. - tuitealo   ¿Es necesario tener listas negras de IPs? Cada vez es más común recibir ataques (o intentos de ataques) de fuerza bruta, con diccionario, etc., principalmente contra formularios de acceso de WordPress, pudiendo llegar de 1, 5 a 20.000 ataques en apenas unas horas sin que tu llegues a percibirlos, lo que no quiere decir que no se produzcan. Este hecho y otros muy similares justifican la creación de Listas Negras de IPs que se puedan filtrar en reglas de .htaccess o a través de un plugin de WordPress, de forma que mitigues los intentos de ataque y además liberes al servidor donde se alojen tus webs de la cantidad de tráfico que este tipo de ataques generan. Lo ideal sería poder bloquear automáticamente aquellas IPs que sean detectadas como responsables de ataques de fuerza bruta, DDoS o similares, de manera que no tengas que estar haciéndolo manualmente ya que el volumen puede llegar a ser abrumador.   Para estos casos pueden ser útiles plugins como: IP Blacklist Cloud: enlace al plugin. El plugin IP Blacklist Cloud te permite listar las direcciones IP desde tu sitio web de WordPress. Te envía el enlace del sitio web a la base de datos de IP Finder que le da a otros usuarios la posibilidad de ver cuántos sitios han bloqueado la IP específica y ver sus comentarios. Dispone de una función al complemento que te permite bloquear los nombres de usuario de los correos basura (comentarios) en tu sitio web. All In One WP Security & Firewall: enlace al plugin. Monitoriza los intentos fallidos de autenticación que muestran el usuario y la dirección IP, ID de usuario/nombre de usuario y la fecha/hora del intento fallido de inicio de sesión en tu sitio web. Tiene la capacidad de bloquear automáticamente los intervalos de direcciones IP que intentan iniciar sesión con un nombre de usuario válido.   Conclusiones Bloquear IPs para reducir el número de peticiones al servidor donde se aloja tu sitio web y de paso bajar el nivel de estrés al que se ve sometida una instalación, por constantes intentos de ataques de diversa naturaleza contra formularios como el de acceso al dashboard de WordPress, es una medida preventiva y paliativa que va ayudar bastante a reducir el marco de ataques que podrían producirse contra tu sitio web. Métodos para aplicar estas restricciones de IPs van a depender de tu pericia para aplicar directivas en .htaccess o decantarte por un plugin que te facilite el proceso de alta de IPs de forma automática en tu Lista Negra.   Hasta aquí el 4º PODCAST de Seguridad en WordPress para Principiantes dedicado a ti que acabas de empezar con tu Blog, tu Tienda online con WooCommerce o tu que tienes muchas dudas con la seguridad de tu sitio web y no sabes cómo mejorarla. Recordarte que este PODCAST lo puedes escuchar desde tu dispositivo en iTunes o iVOOX.   Este PODCAST ha sido patrocinado por: Si necesitas resolver problemas con infecciones o hackeos en tu web WordPress, en nosolocodigo.com encontrarás un grupo de profesionales que te ayudarán a resolver este problema y segurizar mejor tu web.  NOSOLOCODIGO.COM   Tu feedback y comentarios son el combustible que alimenta estos PODCAST de Seguridad en #WordPress. - tuitealo Nos vemos en el próximo #PODCAST dedicado a WordPress y su seguridad!!    

    Episodio 3 de este Podcast sobre Seguridad en WordPress para Principiantes. Hoy hablo de… Plugins de Seguridad en WordPress ¿si, no, cuales? ¿Son importantes los plugins de Seguridad en WordPress para una instalación que necesite tener un control adicional de determinadas acciones?. Respuesta compleja y sujeta a variables como: Las medidas de seguridad globales del Hosting donde se aloje tu web. La temática de tu Blog (1) (1) Por extraño que parezca, determinados blogs o sitios webs con una temática específica pueden ser objetivo de usuarios malintencionados.   Si acabas de comenzar tu aventura con WordPress o llevas tiempo queriendo mejorar la seguridad de tu web, aquí aprenderás, descubrirás y te sorprenderás por la sencillez con la que es posible aplicar estas técnicas, tips y pautas.   ¿Instalar plugins de seguridad ayuda? Instalar plugins que mejoren la seguridad de tu web no es en si una solucion, y en el caso de necesitar muchos plugins para proteger puntos débiles de tu web, quizas la pregunta que debas hacerte sea ¿estoy alojado en el proveedor adecuado a mi proyecto?. La mayoría de plugins para seguridad en WordPress disponibles en el directorio oficial de plugins son buenos, no voy a cuestionarlo, pero no es fácil determinar cuales son los mejores y los más recomendados. La elección de este tipo de plugins depende mucho de tu Hosting, de tu sitio web y de los objetivos que persigas al implementar ciertas medidas de protección activas o pasivas. Al final una mezcla coherente y equilibrada de medidas de seguridad, unas a través de .htaccess, otras por medio de plugins y algunas (las menos) bajo demanda para enfrentar situaciones puntuales, ayudarán a que tu web esté protegida evitando que esta se vuelva contra ti.   Evita el exceso de medidas de seguridad y la duplicidad de acciones para garantizar la usabilidad de tu web.   Plugins de Seguridad para WordPress Existen muchos plugins orientados a fortalecer todos, algunos o varios aspectos de WordPress. Muchos de estos plugins son buenos, de desarrolladores o empresas muy reconocidas en el ámbito de la seguridad web, pero no todos los plugins son aptos para cualquier web o Blog realizada con WordPress. A continuación quiero detallarte algunos de los más utilizados, destacando algunas de sus características o funcionalidades para que los conozcas mejor.   Wordfence Security De el he hablado en el Blog de Webempresa, si buscas en Google “Wordfence Webempresa” podrás encontrar el artículo y conocer detalles que aquí no te voy a comentar. Es un plugin pesado, aconsejado para quien gestiona instalaciones de WordPress en un servidor local, un VPS o en servidores potentes. Consume muchos recursos y genera muchos registros en la base de datos. Wordfence Security   Sucuri Security Un buen plugin, de una prestigiosa firma de seguridad como es Sucuri, que permite auditar un WordPress de forma muy completa, buscar malware y proteger la instalación. Sucuri Security – Auditing, Malware Scanner and Security Hardening   All In One WP Security & Firewall Este plugin de seguridad de WordPress tiene una interfaz fácil de usar para aquellos que no están familiarizados con configuraciones avanzadas. Tiene una herramienta para ayudarte a crear contraseñas más seguras, una opción de bloqueo de inicio de sesión de IPs persistentes maliciosas o que intentan ataques de fuerza bruta. All In One WP Security & Firewall   iThemes Security Otro plugin orientado a usuarios básicos que no quieren complicarse excesivamente la vida configurando complejos plugins. Consume bastantes recursos. iThemes Security (formerly Better WP Security)   Security Ninja Un plugin que despliega una gran cantidad de pruebas de seguridad de forma regular en tu web. Verifica si tu sitio es vulnerable y evita todos los ataques conocidos. Security Ninja   WP Antivirus Site Protection Un plugin de SiteGuarding.com que permite detectar puertas traseras (que suelen encontrarse en temas pirateados o plugins de dudosa procedencia), rootkits, troyanos, gusanos, herramientas de fraude online, spyware, enlaces ocultos y acciones sospechosas dentro de plugins principalmente. WP Antivirus Site Protection (by SiteGuarding.com)   Brute Force Login Protection Un plugin, de los muchos que hay para proteger el formulario de acceso de WordPress enmascarando la url de /wp-admin en otra. Brute Force Login Protection   Bulletproof Security Un firewall para WordPress, para mi gusto pesado aunque tiene algunas funcionalidades orientadas a la protección de la base de datos que en determinados escenarios pueden ser útiles. Bulletproof Security   VaultPress Un plugin (de pago) de Automattic (WordPress.com) que ofrece algunas medidas de seguridad, de respaldo y analiza hilos sospechosos en archivos de WordPress. VaultPress   Conclusiones Si tu sitio web WordPress se ve comprometido, infectado o ha sido atacado y vulnerado, mi recomendación es que no apliques medidas desesperadas y busques el soporte de profesionales que puedan ayudarte a recuperar el control de tu web en el menor tiempo posible para que tu imagen o ventas no se vean afectadas. Combatir los ataques de fuerza bruta no necesariamente implica llenar tu instalación de WordPress de plugins redundantes, hay medidas muy simples y rápidas de aplicar con las que obtendrás mayores niveles de seguridad …y de tranquilidad.   Si necesitas resolver problemas con infecciones o hackeos en tu web WordPress, en nosolocodigo.com encontrarás un grupo de profesionales que te ayudarán a resolver este problema y segurizar mejor tu web.  NOSOLOCODIGO.COM   No me cansaré de recordarte que WordPress es ¡MUY SEGURO! pero un usuario que no invierta tiempo en mantenerlo actualizado, que utilice plugins desactualizados o temas descargados se sitios de poca confianza, acabará comprometiendo todo el sitio web.   Si tu proyecto, tu trabajo o tus ingresos dependen de tu web realizada con WordPress, la primera línea de defensa eres siempre tú. - tuitealo Gracias por haberme acompañado hoy en esta breve pero intensa aventura . Espero verte en próximos Podcast dedicados a la Seguridad en WordPress para Principiantes. Recordarte que este PODCAST lo puedes escuchar desde tu dispositivo en iTunes o iVOOX . Tu, yo, mi suegra, la vecina del segundo A y el panadero de la esquina, todos usamos WordPress y necesitamos tener la web segura para dormir tranquilos. Nos vemos en el próximo PODCAST dedicado a WordPress y su seguridad!!    

Plugins de Seguridad en WordPress ¿es recomendado usarlos, cuales utilizar? conoce algunos y analiza si debes utilizarlos en tu Blog. ¿Son importantes los plugins de Seguridad en WordPress para una instalación que necesite tener un control adicional de determinadas acciones?. Respuesta compleja y sujeta a variables como: Las medidas de seguridad globales del Hosting donde se aloje tu web. La temática de tu Blog (1) (1) Por extraño que parezca, determinados blogs o sitios webs con una temática específica pueden ser objetivo de usuarios malintencionados.

Episodio 2 de este Podcast sobre Seguridad en WordPress para Principiantes. Hoy hablo de…   Cómo usar segundos factores de autenticación en WordPress No es ningún secreto si te digo que la identificación tradicional con usuario y contraseña en cualquier servicio web, es un procedimiento inseguro y cada vez más fácilmente deducible. Hay herramientas maliciosas que permiten capturar tus pulsaciones de teclado para luego enviarlas al atacante y que conozca por ejemplo tus datos de acceso a tu cuenta de correo, a tu banco online, o a tu cuenta de Facebook. Es muy fácil encontrar en Internet herramientas que permiten lanzar ataques de fuerza bruta, algunos valiéndose de un potente diccionario de miles de combinaciones, que se utilizan para romper la seguridad de cualquier formulario de acceso que no esté debidamente protegido. WordPress utiliza también un formulario de acceso basado en usuario y contraseña, a través de la url de tu-dominio.com/wp-admin y es tan inseguro como tener la llave de la puerta de tu casa debajo de la alfombra de entrada.   Pero ¿que es la doble autenticación? Básicamente, para explicártelo de forma sencilla, te diré que se trata de añadir una capa extra de seguridad a tu acceso habitual. Si me centro en WordPress diseccionaría un 2FA en dos partes: El acceso tradicional a /wp-admin con tu “usuario” y “contraseña” (robusto o no -hoy día es indiferente-) Un acceso de validación adicional basado en una clave aleatoria que se genera en tiempo real desde un dispositivo móvil (en la mayoría de casos). Lo habitual es disponer de una aplicación en el móvil para generar esas contraseñas aleatorias, por ejemplo: Google Authenticator – Apps: [Android, iPhone, Windows Phone] LastPass Authenticator – Apps: [Android, iPhone, Windows Phone] etc… También se pueden recibir esas claves aleatorias por medio de mensajes SMS, procedentes de algún servicio específico en la nube (de Google o del proveedor del token).   ¿Porqué es seguro un 2FA? Debo decir, por experiencia propia y habiendo analizado la mayoría de sistemas de doble autenticación disponibles en el mercado y accesibles a usuarios normales que este método es 100% eficaz en la prevención de ataques de fuerza bruta a un sitio de WordPress. Es seguro porque es casi imposible que el atacante tenga el usuario y la contraseña y además tu teléfono móvil. (No descarto situaciones puntuales específicas en las que este escenario podría suceder, pero interpreto que estarías siendo forzado en contra de tu voluntad).   ¿Cuantos servicios de los que conoces y usas habitualmente utilizas con doble autenticación? Cada vez más servicios online muy conocidos utilizan la doble identificación para garantizar a los usuarios un acceso seguro a sus servicios. Sony, que tras muchos problemas en 2014 y 2015 finalmente decidió añadir doble autenticación a los servicios de PlayStation Network después de sufrir numerosos ataques con revelación de usuarios y contraseñas. Google en su servicio estrella de correo Gmail te permite habilitar la doble autenticación con Google Authenticator. Instagram recientemente ha habilitado el servicio de doble autenticación para tener acceso a tu cuenta desde dispositivos móviles.   ¿Que tiene que ver esto con WordPress? La verdad es que tanto o más porque si para ti tu cuenta de correo en Google, o tu cuenta de Instagram es más importante que tu proyecto web, tu Blog o Tienda, entonces deberías realmente preguntarte si valoras el trabajo que te supone sacar adelante tu web con WordPress. Es muy habitual encontrar instalaciones de WordPress sobrecargadas de plugins para reforzar la seguridad que al final solo contribuyen a aumentar los tiempos de carga de la web, duplicar tareas tanto en el dashboard como en el servidor donde se aloja la web y ayudan a engordar las tablas de la base de datos del Blog. La mayoría de veces estos plugins no son necesarios, principalmente si tu proyecto se aloja en un Hosting donde la seguridad global y de cada cuenta sea una máxima para la empresa de alojamiento. Descansar las medidas de seguridad encaminadas a detener los ataques de fuerza bruta contra formularios de acceso, la inyección de spam o ataques de denegación de servicio en tu proveedor de Hosting te van a permitir aliviar la carga de tu Blog o Tienda WooCommerce y dedicar tus esfuerzos a construir buenos contenidos y no a fortificar. En este sentido los segundos factores de autenticación ayudan a colocar barreras que van más allá de la clásica contraseña y el correspondiente usuario y te permiten utilizar un dispositivo móvil como herramienta para completar el acceso a tu instalación de WordPress con total seguridad. Herramientas como Latch, desarrollada por EleventPaths, te permiten disponer de un “pestillo digital” en tu móvil que haga de interruptor de seguridad para abrir y cerrar el acceso al formulario de acceso con total seguridad.   En este vídeo puedes ver mi última emisión en Facebook LIVE donde explico las facilidades que Latch (pestillo digital) puede aportar a tu instalación de WordPress.   Es posible que en algún momento tu usuario y contraseña de acceso a WordPress puedan haber sido comprometidos, pero será muy difícil que la persona que haya obtenido tus datos de acceso de forma fraudulenta además tenga acceso a tu dispositivo móvil para poder completar el proceso de login a tu web. Este punto es determinante para considerar que activar un segundo factor de autenticación en el formulario de acceso de tu WordPress es probablemente la mejor medida para combatir ataques contra tu web usando técnicas encaminadas a romper esa seguridad. Se tardan 5 minutos en aplicar un 2FA en tu Blog WordPress, ya sea con el uso del pestillo digital Latch, o utilizando Google Authenticator o servicios similares, y a cambio obtienes un nivel de seguridad muy alto a coste cero.   En pocos pasos puedes instalar Latch en WordPress: Crea una cuenta “gratuita” de usuario en el servicio de Latch. Ten preparada una instalación de WordPress en la que implementar Latch. Busca e instala el plugin Latch para WordPress (desde el dashboard). Instala la App de Latch en tu móvil (es el token físico). Busca 5 minutos de tiempo para parear el acceso a tu blog por medio del plugin con Latch Descansa tranquilo porque ahora los malos lo tendrán un poco más difícil.   Si tu proyecto, tu trabajo o tus ingresos dependen de tu web realizada con WordPress, la primera línea de defensa eres siempre tú. - tuitealo   Combatir los ataques de fuerza bruta no necesariamente implica llenar tu instalación de WordPress de plugins redundantes, hay medidas muy simples y rápidas de aplicar con las que obtendrás mayores niveles de seguridad …y de tranquilidad.   Este PODCAST ha sido patrocinado por: Si necesitas resolver problemas con infecciones o hackeos en tu web WordPress, en nosolocodigo.com encontrarás un grupo de profesionales que te ayudarán a resolver este problema y segurizar mejor tu web.  NOSOLOCODIGO.COM   Este ha sido el 2º Podcast de Seguridad en WordPress para Principiantes dedicado a ti que acabas de empezar con tu Blog, tu Tienda online con WooCommerce o tu que tienes muchas dudas con la seguridad de tu sitio web y no sabes cómo mejorarla. Recordarte que este PODCAST lo puedes escuchar desde tu dispositivo en iTunes, iVOOX y Stitcher Nos vemos en el próximo PODCAST dedicado a WordPress y su seguridad!!    

Si acabas de comenzar tu aventura con WordPress o llevas tiempo queriendo mejorar la seguridad de tu web, aquí aprenderás, descubrirás y te sorprenderás por la sencillez con la que es posible aplicar estas técnicas, tips y pautas. WordPress es seguro ¡MUY SEGURO! pero un usuario que no invierta tiempo en mantenerlo actualizado, que utilice plugins desactualizados o temas descargados de sitios de poca confianza, acabará comprometiendo todo el sitio web. Si tu proyecto, tu trabajo o tus ingresos dependen de tu web realizada con WordPress, la primera línea de defensa eres siempre tu. Te deseo mucho éxito con tu proyecto y ¡mucha seguridad para tus webs! Si quieres saber más de mi no olvides visitar mi blog donde publico contenidos sobre Seguridad en WordPress para Principiantes y otras temáticas relacionadas con los gestores de contenidos dinámicos con los que habitualmente trabajo.   Este ha sido el 1er Podcast de Seguridad en WordPress para Principiantes dedicado a ti que acabas de empezar con tu Blog, tu Tienda Online con WooCommerce o tu que tienes muchas dudas con la seguridad de tu sitio web y no sabes como mejorarla. Aprovecho para dedicárselo a mi querido amigo Borja Girón, que siempre es un ejemplo para mi y fuente de inspiración ¡Gracias! Nos vemos en el próximo PODCAST dedicado a WordPress y su seguridad!!