Buenas prácticas para usar WordPress de manera segura
WordPress se ha convertido en el sistema de gestión de contenidos CSM más usado para construir sitios web, pero también suele estar sujeto a vulnerabilidad de ataques. Por eso es importante tener buenas prácticas para cuidar nuestros sitios y los datos contenidos en ellos.
La seguridad digital perfecta como tal no existe, y todo sistema informático puede ser vulnerado, pero hay múltiples herramientas y configuraciones que nos pueden ayudar. Los sitios web vulnerados son millones alrededor del mundo. Así que no desesperemos si hemos sufrido un ataque. Empecemos poniendo en práctica algunas cosas: nos preguntemos dónde está alojada o dónde se alojará nuestra web; ¿la información que se almacenará en nuestra página web que tan sensible es?; definamos una política de accesos; mantengamos siempre actualizada nuestra web, tengamos una política de protocolo seguro; y tratemos siempre de respaldar nuestra información.
Primeros pasos que debemos definir antes de poner a andar nuestra web
Hay un aspecto fundamental a pensar sobre nuestra web desde el inicio y es dónde vamos a alojarla. No sólo pensar que proveedor de alojamiento nos ofrece un mejor servicio, como un disco cifrado, o un sistema responsable de acceso al servidor, sino también que conozcamos a quien nos va a alojar. Cómo si nos vamos de viaje y nos hospedamos en una casa de intercambio, vamos a querer tener alguna referencia de confianza para saber que vamos a estar segures. Con nuestra web sucede lo mismo.
Otro aspecto importante es saber si la legislación del país donde esta el servidor que nos va a alojar la web nos favorece a la hora de pensar que nuestros datos estarán seguros. Por ejemplo hay países, como Turquía, que registra uno de los índices mas altos de violación a la libertad de expresión, al uso de datos, y bloqueo de DNS, IP, etc, es por esto que muchos de los medios libres de ese país se encuentran alojados en servidores fuera de Turquía.
La elección de donde alojaremos nuestra web nos debe dar confianza, además de seguridad, así podremos resolver cualquier inconveniente que se nos presente.
Información sensible en nuestra web
Los datos sensibles son aquellos vinculados con la privacidad de las personas. Este tipos de datos pueden quedar en nuestra web a través de por ejemplo datos completados en un formulario, como domicilio, documento de identidad, nombre completo, datos de pago, etc. Si nuestro sitio maneja este tipo de información debemos ser muy cuidadoses con ellos. Por eso es importante el servidor donde alojamos la web nos brinde el servicio de cifrado.
Además es importante saber quién tiene acceso al servidor, qué políticas de conexión remota tiene el servidor, si permite accesos al sistema con contraseña o sólo con llaves SSH, si utiliza algún protocolo de autenticación como PAM y otros.
Otra información sensible de nuestras webs son por ejemplo los usuarios y contraseñas de acceso, por eso es importante tener usuarios Edito para subir posteos y Administrador para el manejo de nuestra web por separado
Además las contraseñas de acceso a la web deben ser cambiadas con cierta regularidad, y es recomendable que usemos programa para gestionar contraseñas como Keepass, ya que tener contraseñas fuertes es muy importante para proteger nuestra información.
Para cambiar la contraseña de los usuarios en WordPress vamos a Usuarios>Todos los usuarios ingresamos a un usuario en “Editar” y al final de las opciones aparecerá “Nueva Contraseña”. Allí podemos dar en “Generar contraseña” y nos generara una contraseña o podemos poner una que elijamos. Luego ponemos “Actualizar Perfil” y habremos cambiado la contraseña de ese usuario.
Puedes encontrar mas información sobre la herramienta Keepass en la Milpa Digital https://milpadigital.org/milpadigital-7/
Protocolo seguro para no ser vulnerables
Nuestra web debe contar con Protocolo Seguro SSL (https), para que el tráfico de la información entre quienes visitan nuestra web y el servidor donde este alojada nuestra web sea seguro, ya que hoy en día una web sin SSL es una web vulnerable. La información entre quién nos visita y nuestra página web está comprometida sino usamos protocolo seguro, ya que viaja de forma que terceras personas pueden ver la comunicación y datos surgidos a raíz de estas conexiones. Esto incluye pero no limita a información enviada por medio de formularios, nombres de acceso y contraseñas, y ni hablar del uso de datos sensibles como puede ser número de tarjetas de créditos o información sobre denuncias. Gracias el esfuerzo de la Electronic Frontier Foundation EFF, existe un proyecto de software libre llamado Let’s Encrypt que sirve para poder establecer certificados SSL en nuestros proyectos web de forma gratuita.
Respaldar nuestros datos para estar preparades ante cualquier situación
Ya tenemos nuestra web repleta de información, imágenes, videos, y datos en general, pero si algo llega a suceder y esos datos desaparecen, sería un enorme problema que no estén respaldados. Debemos pensar detenidamente si es fácil restaurar toda la información de nuestra web. Por eso una web sana y segura también se logra teniendo un sistema de respaldo de la información. La periodicidad de ese respaldo, que por ejemplo podemos evaluarlo en función de la periodicidad con la que subimos información. Si somos una agencia de noticias que sube diariamente una docena de artículos, más imágenes, videos, audios, etc, definiremos un periodo corto entre un respaldo y otro. Si hemos organizado un evento por formulario para generar bases de datos, respaldar luego de esa acción será una buena decisión, y así.
Actualizar, actualizar y actualizar
Una de las principales razones por las que nuestro sitio web puede ser vulnerable es por tener plugins y el propio WordPress desactualizado. Es una tarea que debemos hacer a conciencia y con periodicidad. Si vamos al Escritorio de nuestro sitio web, encontraremos que se despliegan una opción de “Actualizaciones”. Ingresando allí veremos un listado de las actualizaciones que no hemos realizado. Siempre hay que tener esta opción al día.
Si tenemos que actualizar nuestro WordPress debemos simplemente dar clic en la opción que nos aparecerá de “Actualizar WordPress a la versión”.
Si tenemos plugins desactualizados en la misma pantalla vamos a Plugins, seleccionamos todos los plugins y damos en “Actualizar plugins”
Si tenemos plugins que no estamos usando debemos quitarlo de nuestro WordPress. Esto lo hacemos yendo a Plugins>Plugins instalados, allí seleccionamos el plugin que no estamos usando, seleccionamos Borrar en la opción de Acciones en lote y luego Aplicar.
Más defensas es sitios más seguros
Por defecto, WordPress implementa algunas medidas de seguridad, pero no es suficiente. Por eso es recomendable además de todas las acciones listadas anteriormente, instalar un plugin que nos brinde seguridad para nuestro sitio web, que nos informe de ataques, de accesos de usuarios, etc. Por ejemplo, un plugin de seguridad para WordPress es Wordfence, cuya versión gratuita es bastante completa: su uso es simple y tiene potentes herramientas de protección, como las sólidas funciones de seguridad de inicio de sesión y las herramientas de recuperación de incidentes de seguridad. Una de las principales ventajas de Wordfence es que puede obtener información sobre las tendencias generales del tráfico y los intentos de pirateo, informes que envía periódicamente al mail que hayamos indicado.
Te compartimos finalmente un cuadro descriptivo que nos permite evaluar más exhaustivamente si nuestra web está pensada con parámetro de seguridad óptimos:
Herramienta | Descripción | Óptimo | Buenas prácticas | Malas Prácticas |
Información | ¿Sensible? ¿Pública? | Si la información que vamos a almacenar en el sitio es sensible tenemos que tomar medidas de seguridad fuertes para proteger la información. | Información cifrada, más medidas de protección a ataques, cambio de contraseñas rigurosamente y con periodicidad, eliminar información que ya no sea necesaria. | No revisar periódicamente la seguridad de la información. Almacenar información que ya no necesitamos. |
Accesos | Política de Acceso | Saber que empresa o persona tiene acceso a que información. La organización tiene que tener una base de datos de contraseñas donde se almacenan los accesos al hosting, dominios, pagina, etc. | Tener una política de accesos y definir cuáles y quienes tienen acceso a cada cuenta. Contar con una base de datos actualizada y respaldada de la información de acceso a las cuentas. | Tener la información en varios lados, no se sabe quién tiene acceso a qué. Se puede perder información importante si no se definen estos procesos. |
Hosting | Hospedaje de la web | Proveedor alternativo, con políticas fuertes de protección de información y seguridad. Personas de confianza que gestionan. | Que esté cifrado el servidor, que contemple estándares de seguridad y privacidad, que este alojado en países que respeten la privacidad y seguridad. | Contratar empresas que comercializan con los datos que recopilan los medatados y venden a gobiernos o empresas información. |
Dominio | Identificación de la web | Tener un dominio que proteja nuestra identidad. | Estar pendiente del vencimiento del dominio y adquirirlo en lugares de confianza y con seguridad y que sea muy fácil de transferir. | Un dominio que no se puede transferir fácilmente, que la empresa este vinculada a políticas poco claras, etc. |
DNS | Administración | Manejar un lugar de confianza para la configuración y edición. | Tener acceso a editar el DNS, saber donde se encuentra. | Perder el control del DNS no saber donde se administra y no tener acceso a editarlo. |
Gestión de contenidos (Drupal, WordPress, Moodle, etc.) | Sistema de Gestor de Contenidos | Desarrollo constante, no tiene tantos problemas de seguridad y se mantiene siempre la útima versión al día. | Actualización Constante de parches o versiones del CMS. | Abandonar la web, instalar módulos o plugins desactualizados o innecesarios. |
SSL Let’s Encrypt | Capa de seguridad y cifrado de datos | Utilizar SSL forzado en todos los dominios y subdominios y renovar en tiempo y forma, mejor aun de forma automática. | Renovar a tiempo los Certificados. | No forzar el SSL, no renovar certificados. |
Respaldos Rsync | Tener una copia de la copia de nuestro sitio web. | Contar con la copia de la copia. Cifrar nuestro respaldos, hacer los respaldos regularmente en un plazo definido. Definir una persona o empresa que realiza el respaldo. Verificar cada cierto tiempo que el respaldo existe y que está actualizado. | Que la copia de respaldo no este alojada solamente en el servidor dónde estás los datos. Definir una persona o empresa que realiza el respaldo. | Tener una copia del sitio en el mismo servidor donde se encuentra el sitio sin ningún respaldo en otra locación, no programar respaldos. No verificar regularmente el funcionamiento de los mismos. |
Imagen de portada realizada por la ilustradora Melissa Aguilar: www.meliaguilar.com / Instagram: m3li.mi3l