Defiende tu WordPress

Dicen que una cadena es tan fuerte como su eslabón más débil. Y en los sistemas de información esto es el pan de cada día. Kevin Mitnick, uno de los más conocidos hackers, decía:

“Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores”

Aunque aún queda hacer un grandísimo esfuerzo por generar una cultura de la seguridad tanto a nivel personal como profesional es innegable pensar que, bien por la gente que usa estos sistemas de información bien por la gente que los desarrolla, éstos son vulnerables. Recordemos que un sistema de información no es más que un modelo de un sistema real que diseña, desarrolla e implementa un ingeniero a través de una metodología concreta. Y conforme pasa el tiempo los sistemas cambian, evolucionan y mantener la seguridad se vuelve una tarea compleja. Se debe principalmente a que, a pesar de que el sistema pueda seguir siendo válido (rara vez), las tecnologías y las herramientas en las que se basan también cambian, o se abandonan y dejan de desarrollarse con lo que volvemos a la misma idea: sistemas vulnerables.

Un poquito de historia

Cuando hablamos de WordPress también hacemos referencia a un sistema de información muy específico, orientado a la web y que se enmarca en los llamados CMS (Content Management System) o Sistema Gestor de Contenidos, los cuales tienen sus orígenes en la evolución de la web partiendo de la idea original de Tim Berners Bee: compartir información de forma fácil para usuarios no técnicos. Si bien esta idea original parte de webs estáticas (escribiendo el contenido en HTML) en poco tiempo se pasó a webs dinámicas (las cuales podían incluir código, volviendo a discriminar a buena parte de los usuarios que no tuvieran estos conocimientos) hasta llegar a los CMS que devolvían al usuario el poder sobre la información que quisieran compartir en la web. Los CMS en concreto conforman un sistema que gestiona la base de datos y el contenido de forma transparente para el usuario, normalmente a través de un backend intuitivo que dota de gran potencial al usuario.

WordPress no es un CMS cualquiera. Según las estadísticas entre el 24 y el 30% de las webs hacen uso de WordPress y esto es una buena noticia para los que sentimos cierta predilección por este CMS, pero también una gran responsabilidad. Como comentábamos, los sistemas son vulnerables porque los diseñan personas. Y, aunque detrás de WordPress hay muchas, muchas, muchas personas, también existen vulnerabilidades. Hace unos días accedía a una web que monté con WordPress para una asociación. Llevaba tiempo sin acceder a ella dado que otros generaban el contenido, pero yo era el administrador. Y para sorpresa mía, me encuentro con 656 publicaciones nuevas y ninguna de los creadores de contenido. Resultaba que el sitio tenía sin actualizar¹ WordPress a la última versión más plugins y temas también sin actualizar. El resultado: un desastre.

Pero no todo pueden ser malas noticias, ¡por supuesto!

WordFence para todos 😉

Desde hace algún tiempo² vengo usando un plugin para securizar algunos de mis sitios WordPress. Éste, WordFence Security,  es un plugin que contiene muchas herramientas que tienen como único fin mejorar la seguridad de WordPress. No voy a entrar al detalle sobre cómo se instala y configura, seguro que hay decenas de webs que describen a la perfección cómo configurarlo, en cualquier caso es interesante instalarlo y empezar a probar cosillas. Por ejemplo, podemos saber quién, cuándo y desde dónde se accede a nuestra plataforma. Otro ejemplo, hoy me ha llegado un mail avisando de algunas cosillas que podrían suponer vulnerabilidades en mi sitio web:

Lo que me ha permitido borrar el archivo wp-config-sample (qué vergüencita, fallo de principiante) y eliminar esos plugins que instalé hace tiempo para probarlos pero que no les doy uso alguno. Y es que administrar varios sitios webs no es algo trivial y siempre que contemos con algo que nos ayude, aunque sea un poquito, ¡es de agradecer!

Si instalas WordFence y quieres contarme tu experiencia siempre será bienvenida 🙂


¹ Recordad, no sé si fue mito o realidad, que se decía que los famosos papeles de Panamá se descubrieron por un WordPress sin actualizar 😮

² Desde principios de este año empecé a usarlo motivado por un informe de Wordfence que indicaba un aumento de los ataques de fuerza bruta a sitios web desarrollados con WordPress