En esta entrada de post queremos profundizar y compartir sobre uno de los gestores de contenido más importantes y cómo un adecuado proceso de aseguramiento antes de ponerlo en Internet es vital para evitar fugas, multas o incidentes en las empresas. Antes de iniciar, es importante nos familiaricemos con el término gestor de contenido.
¿Qué es un Gestor de Contenido?
Un Gestor de Contenido (CMS) es una plataforma que permite a los usuarios crear, gestionar y modificar contenido en un sitio web sin necesidad de tener conocimientos técnicos avanzados en programación. Los CMS proporcionan una interfaz amigable y herramientas que facilitan la publicación de contenido, el diseño del sitio y la administración de usuarios. WordPress se ha convertido en el CMS preferido por millones de usuarios debido a varias razones:
- Facilidad de uso: Su interfaz intuitiva permite que incluso los principiantes puedan crear y gestionar un sitio web sin complicaciones.
- Flexibilidad y Personalización: Con miles de temas y plugins disponibles, WordPress permite personalizar el sitio según las necesidades específicas de cada usuario.
- Comunidad y Soporte: La extensa comunidad de WordPress ofrece un amplio soporte a través de foros, tutoriales y documentación.
- SEO-Friendly: WordPress está diseñado para ser amigable con los motores de búsqueda, facilitando la optimización del contenido para mejorar el ranking en Google. Al ser uno de los gestores más favoritos, también es uno de los gestores más atacados.
Por lo anterior también es importante cuestionarnos si la facilidad de uso y flexibilidad de personalización tienen en cuenta factores como el aseguramiento y reducción de vectores de ataque antes de exponerlo en Internet. Por eso es que es importante asegurar nuestro sitio web y aplicar lo que se conoce como proceso de hardening.
¿Qué es el Hardening?
El hardening, o endurecimiento, es el proceso de proteger un sistema contra ataques mediante la reducción de sus vulnerabilidades. En el contexto de WordPress, el hardening implica aplicar una serie de medidas de seguridad para proteger tu sitio web de posibles amenazas.
A continuación compartimos unas medidas para el aseguramiento de WordPress:
Medidas de Hardening para WordPress:
- Actualizaciones Regulares: Mantén WordPress, los temas y los plugins siempre actualizados para proteger tu sitio contra vulnerabilidades conocidas.
- Contraseñas Fuertes: Utiliza contraseñas robustas para todas las cuentas, especialmente para el administrador del sitio.
- Autenticación de Dos Factores (2FA): Implementa 2FA para añadir una capa adicional de seguridad en el inicio de sesión.
- Plugins de Seguridad: Instala plugins de seguridad como Wordfence o Sucuri que ofrezcan funciones avanzadas de protección.
- Configuración del Archivo .htaccess: Utiliza el archivo .htaccess para restringir el acceso a áreas sensibles de tu sitio.
- Permisos de Archivos y Directorios: Asegúrate de que los permisos de archivos y directorios estén configurados correctamente para evitar accesos no autorizados.
- Desactivar la Edición de Archivos en el Dashboard: Evita que los usuarios puedan editar archivos PHP directamente desde el dashboard de WordPress.
- Backups Regulares: Realiza copias de seguridad regulares de tu sitio para poder restaurarlo en caso de un ataque. Así mismo, hay rutas sensibles detalladas que deben ser bloqueadas para evitar un atacante acceda a ellas, un ejemplo de ellas es la rutawp-admin/?rest_route=/wp/v2/users/ cve
Muchas de estas rutas se pueden acceder manualmente, mediante scanners o Google dorks.
Si te gustaría obtener una lista completa de estas rutas sensibles, scanner y una lista de Google dorks usadas para esto, te invitamos a que te subscribas, de esta forma obtendrás un documento con:
- Lista de endpoints y rutas sensibles de wordpress que puedes usar para asegurar tu entorno.
- Lista de Google dorks asociadas a wordpress.
- Y lista de scaners gratuitos para evaluar la seguridad de tu gestor de contenido.