Sign up to save your podcasts
Or
Share RadioWordPress #24: Auditoría rápida de seguridad
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
RadioWordPress #24: Auditoría rápida de seguridad
Hola a todos, mi nombre es Eduardo y esto es RadioWordpress, un podcast dedicado a todos aquellos que de una manera o de otra convivimos con WordPress.
Hoy es Jueves 16 de Febrero y me gustaría recorrer con vosotros un WordPress para hacer una auditoria de seguridad básica, qué tenemos que mirar y donde. Esto no va a hacer que nuestro WordPress sea indestructible, pero sí que lo va a hacer menos vulnerable que el 99% de WordPress que hay por ahí.
La seguridad no es una cosa que hagamos un día y ya está, no, la seguridad es algo que tenemos que seguir todos los días, y en todos estos capítulos que llevamos hemos estado viendo diversas cosas que podemos hacer para mejorar la seguridad de nuestro WordPress, ya sea mediante mejores prácticas, modificaciones del fichero .htaccess, el uso de plugins o el uso del sentido común que es a día de hoy una de nuestras mejores armas.
La auditoría básica está pensada para hacer una evaluación rápida de aquellos WordPress que caen en nuestras manos, o que queremos revisar para poder emitir un juicio rápido, obviamente luego será necesario trabajar en profundidad con ese WordPress para poder emitir un juicio aceptable.
Lo primero que vamos a hacer es logarnos en el admin de WordPress y antes de entrar ya podemos evaluar si el usuario y la contraseña son aceptables, si vamos a entrar en un WordPress y las credenciales que nos facilitan son usuario admin y contraseña password, empezamos mal, realmente es difícil empezar peor, ahí tenemos que ver que el usuario no sea el usuario de WordPress y que la contraseña tenga una complejidad mínima.
Para ver la complejidad de la contraseña realmente no os hace falta ningún software y rápidamente podréis ver si se trata de un teléfono, una fecha, una palabra sencilla o una contraseña en condiciones, al menos veremos su apariencia y como evaluación primera, recordad que estamos haciendo una auditoría rápida, es más que suficiente.
Una vez nos hayamos logado miraremos que no hay actualizaciones y luego en el admin de WordPress iremos a Ajustes y luego a Generales, ahí buscaremos la opción “Cualquiera puede registrarse” y tenemos que ver que está deshabilitada. A veces por alguna razón llegamos a un WordPress y tienen esta opción habilitada lo cual no es una muy buena idea pues cualquiera podría llegar a entrar en nuestro admin después de logarse con algún tipo de permiso.
En cuanto a los comentarios también tendremos que ver que no todo el mundo pueda comentar alegremente. No es necesario tener que validar todos los comentarios, pero sí los comentarios de aquellos usuarios nuevos, así que os recomiendo en Ajustes – Comentarios dejar desmarcado “El comentario debe aprobarse manualmente”, pero en cambio sí dejar marcado “El autor del comentario debe tener un comentario previamente aprobado” y justo debajo tener limitado el número de enlaces a otras webs que permitimos en los comentarios. Pensad que mucho spam viene indicado simplemente por el uso excesivo y desmesurado de los enlaces en los comentarios.
Luego obviamente podéis filtrar palabras que no os gusten.
Esto de los comentarios nos puede ayudar a controlar el poco spam que consiga saltarse a los plugins antispam y evitar que alguien pueda hacernos daño, por ejemplo un usuario con comentarios aprobados que diga cosas muy feas de nuestras competencia, eso no es elegante y hay que tener mucho cuidado con ese tipo de cosas.
Luego en Ajustes – Lectura, es muy interesante no tener marcada la opción “Disuade a los motores de búsqueda de indexar este sitio”, pensar que a veces hay gente que gestiona WordPress y cuando tienen algún problema con el cliente marcan esta casilla para que el cliente desaparezca de Google, son malas prácticas, pero hay gente que las hacen, así que es un punto importante a mirar, obviamente también el htaccess no vaya a ser que ahí está indicado.
View all episodes
By Eduardo ColladoHola a todos, mi nombre es Eduardo y esto es RadioWordpress, un podcast dedicado a todos aquellos que de una manera o de otra convivimos con WordPress.
Hoy es Jueves 16 de Febrero y me gustaría recorrer con vosotros un WordPress para hacer una auditoria de seguridad básica, qué tenemos que mirar y donde. Esto no va a hacer que nuestro WordPress sea indestructible, pero sí que lo va a hacer menos vulnerable que el 99% de WordPress que hay por ahí.
La seguridad no es una cosa que hagamos un día y ya está, no, la seguridad es algo que tenemos que seguir todos los días, y en todos estos capítulos que llevamos hemos estado viendo diversas cosas que podemos hacer para mejorar la seguridad de nuestro WordPress, ya sea mediante mejores prácticas, modificaciones del fichero .htaccess, el uso de plugins o el uso del sentido común que es a día de hoy una de nuestras mejores armas.
La auditoría básica está pensada para hacer una evaluación rápida de aquellos WordPress que caen en nuestras manos, o que queremos revisar para poder emitir un juicio rápido, obviamente luego será necesario trabajar en profundidad con ese WordPress para poder emitir un juicio aceptable.
Lo primero que vamos a hacer es logarnos en el admin de WordPress y antes de entrar ya podemos evaluar si el usuario y la contraseña son aceptables, si vamos a entrar en un WordPress y las credenciales que nos facilitan son usuario admin y contraseña password, empezamos mal, realmente es difícil empezar peor, ahí tenemos que ver que el usuario no sea el usuario de WordPress y que la contraseña tenga una complejidad mínima.
Para ver la complejidad de la contraseña realmente no os hace falta ningún software y rápidamente podréis ver si se trata de un teléfono, una fecha, una palabra sencilla o una contraseña en condiciones, al menos veremos su apariencia y como evaluación primera, recordad que estamos haciendo una auditoría rápida, es más que suficiente.
Una vez nos hayamos logado miraremos que no hay actualizaciones y luego en el admin de WordPress iremos a Ajustes y luego a Generales, ahí buscaremos la opción “Cualquiera puede registrarse” y tenemos que ver que está deshabilitada. A veces por alguna razón llegamos a un WordPress y tienen esta opción habilitada lo cual no es una muy buena idea pues cualquiera podría llegar a entrar en nuestro admin después de logarse con algún tipo de permiso.
En cuanto a los comentarios también tendremos que ver que no todo el mundo pueda comentar alegremente. No es necesario tener que validar todos los comentarios, pero sí los comentarios de aquellos usuarios nuevos, así que os recomiendo en Ajustes – Comentarios dejar desmarcado “El comentario debe aprobarse manualmente”, pero en cambio sí dejar marcado “El autor del comentario debe tener un comentario previamente aprobado” y justo debajo tener limitado el número de enlaces a otras webs que permitimos en los comentarios. Pensad que mucho spam viene indicado simplemente por el uso excesivo y desmesurado de los enlaces en los comentarios.
Luego obviamente podéis filtrar palabras que no os gusten.
Esto de los comentarios nos puede ayudar a controlar el poco spam que consiga saltarse a los plugins antispam y evitar que alguien pueda hacernos daño, por ejemplo un usuario con comentarios aprobados que diga cosas muy feas de nuestras competencia, eso no es elegante y hay que tener mucho cuidado con ese tipo de cosas.
Luego en Ajustes – Lectura, es muy interesante no tener marcada la opción “Disuade a los motores de búsqueda de indexar este sitio”, pensar que a veces hay gente que gestiona WordPress y cuando tienen algún problema con el cliente marcan esta casilla para que el cliente desaparezca de Google, son malas prácticas, pero hay gente que las hacen, así que es un punto importante a mirar, obviamente también el htaccess no vaya a ser que ahí está indicado.