La seguridad en WordPress se toma muy en serio, pero como con cualquier otro sistema, hay posibles problemas de seguridad que pueden surgir si no se toman algunas precauciones de seguridad básicas. Este artículo analizará algunas formas comunes de vulnerabilidades y las cosas que puede hacer para ayudar a mantener segura su instalación de WordPress.
Este artículo no es la solución rápida definitiva a sus problemas de seguridad. Si tiene dudas o preocupaciones de seguridad específicas, debe discutirlas con personas en las que confíe para tener un conocimiento suficiente de seguridad informática y WordPress.
- ¿Qué es la seguridad? # ¿Qué es la seguridad?
- Temas de seguridad # Temas de seguridad
- Vulnerabilidades en su computadora # Vulnerabilidades en su computadora
- Vulnerabilidades en WordPress # Vulnerabilidades en WordPress
- Actualización de WordPress # Actualización de WordPress
- Informar de problemas de seguridad # Informar de problemas de seguridad
- Vulnerabilidades del servidor Web # Vulnerabilidades del servidor web
- Vulnerabilidades de red # Vulnerabilidades de red
- Contraseñas # Contraseñas
- FTP # FTP
- Permisos de archivo # Permisos de archivo
- Cambiar permisos de archivo # Cambiar permisos de archivo
- Con respecto a las Actualizaciones automáticas # Con respecto a las Actualizaciones automáticas
- Seguridad de la base de datos # Seguridad de la base de datos
- Restringir los privilegios de usuario de la base de datos # Restringir los privilegios de usuario de la base de datos
- Securing wp-admin # Securing wp-admin
- Securing wp-includes # Securing wp-includes
- Asegurando wp-config.php # Asegurando wp-config.php
- Desactivar la edición de archivos # Desactivar la edición de archivos
- Complementos # Complementos
- Firewall # Firewall
- Complementos que necesitan acceso de escritura # Complementos que necesitan acceso de escritura
- Complementos de ejecución de código # Complementos de ejecución de código
- Seguridad a través de la oscuridad # Seguridad a través de la oscuridad
- Copias de seguridad de datos # Copias de seguridad de datos
- Registro # Registro
- Monitoreo # Monitoreo
- Monitoreo de sus registros # Monitoreo de sus registros
- Monitoreo de los cambios en los archivos # Monitoreo de los cambios en los archivos
- Objetivos # Objetivos
- Enfoques generales # Enfoques generales
- Herramientas específicas # Herramientas específicas
- Consideraciones # Consideraciones
- Supervisión externa de su servidor web # Supervisión externa de su servidor web
- Recursos # Recursos
- Ver también # Ver También
¿Qué es la seguridad? # ¿Qué es la seguridad?
Fundamentalmente, la seguridad no se trata de sistemas perfectamente seguros. Tal cosa bien podría ser poco práctica, o imposible de encontrar y/o mantener. Sin embargo, lo que es la seguridad es la reducción de riesgos, no la eliminación de riesgos. Se trata de emplear todos los controles apropiados disponibles para usted, dentro de lo razonable, que le permitan mejorar su postura general reduciendo las probabilidades de convertirse en un objetivo, y posteriormente ser hackeado.
Hosts de sitios web
A menudo, un buen lugar para comenzar cuando se trata de seguridad de sitios web es su entorno de alojamiento. Hoy en día, hay una serie de opciones disponibles para usted, y aunque los anfitriones ofrecen seguridad a un cierto nivel, es importante comprender dónde termina su responsabilidad y dónde comienza la suya. Aquí hay un buen artículo que explica la complicada dinámica entre los servidores web y la seguridad de su sitio web. Un servidor seguro protege la privacidad, la integridad y la disponibilidad de los recursos bajo el control del administrador del servidor.
Las cualidades de un alojamiento web de confianza pueden incluir:
- Analiza fácilmente sus preocupaciones de seguridad y qué características y procesos de seguridad ofrecen con su alojamiento.
- Proporciona las versiones estables más recientes de todo el software del servidor.
- Proporciona métodos fiables de copia de seguridad y recuperación.
Decida qué seguridad necesita en su servidor determinando el software y los datos que deben protegerse. El resto de esta guía le ayudará con esto.
Aplicaciones de sitios web
Es fácil ver los servidores web y pasarles la responsabilidad de la seguridad, pero también hay una enorme cantidad de seguridad que recae en el propietario del sitio web. Los servidores web a menudo son responsables de la infraestructura en la que se encuentra su sitio web, no son responsables de la aplicación que elija instalar.
Para entender dónde y por qué esto es importante, debe comprender cómo se hackean los sitios web, Rara vez se atribuye a la infraestructura y, con mayor frecuencia, a la aplicación en sí (es decir, el entorno del que es responsable).
Top
Temas de seguridad # Temas de seguridad
Tenga en cuenta algunas ideas generales al considerar la seguridad para cada aspecto de su sistema:
Limitar el acceso
Tomar decisiones inteligentes que reduzcan los posibles puntos de entrada disponibles para una persona maliciosa.
Contención
Su sistema debe configurarse para minimizar la cantidad de daño que se puede hacer en caso de que se vea comprometido.
Preparación y conocimiento
Mantener copias de seguridad y conocer el estado de su instalación de WordPress a intervalos regulares. Tener un plan para hacer copias de seguridad y recuperar su instalación en caso de catástrofe puede ayudarlo a volver a conectarse más rápido en caso de un problema.
Fuentes de confianza
No obtenga complementos / temas de fuentes que no sean de confianza. Restringirse a la WordPress.org repositorio o empresas conocidas. Intentar obtener complementos / temas desde el exterior puede generar problemas.
Top
Vulnerabilidades en su computadora # Vulnerabilidades en su computadora
Asegúrese de que los equipos que utiliza estén libres de spyware, malware e infecciones de virus. Ninguna cantidad de seguridad en WordPress o en su servidor web hará la más mínima diferencia si hay un keylogger en su computadora.
Mantenga siempre actualizado su sistema operativo y el software que contiene, especialmente su navegador web, para protegerlo de las vulnerabilidades de seguridad. Si está navegando por sitios que no son de confianza, también le recomendamos usar herramientas como no-script (o deshabilitar javascript/flash/java) en su navegador.
Top
Vulnerabilidades en WordPress # Vulnerabilidades en WordPress
Al igual que muchos paquetes de software modernos, WordPress se actualiza regularmente para abordar los nuevos problemas de seguridad que puedan surgir. Mejorar la seguridad del software es siempre una preocupación constante, y con ese fin siempre debe mantenerse al día con la última versión de WordPress. Las versiones anteriores de WordPress no se mantienen con actualizaciones de seguridad.
Actualización de WordPress # Actualización de WordPress
artículo Principal: Actualización de WordPress.
La última versión de WordPress siempre está disponible en el sitio web principal de WordPress en https://wordpress.org. Las versiones oficiales no están disponibles en otros sitios: nunca descargue o instale WordPress desde ningún sitio web que no sea https://wordpress.org.
Desde la versión 3.7, WordPress ha ofrecido actualizaciones automáticas. Utilice esta funcionalidad para facilitar el proceso de mantenerse al día. También puede usar el panel de WordPress para mantenerse informado sobre las actualizaciones. Lea la entrada en el Panel de control o en el Blog de desarrolladores de WordPress para determinar qué pasos debe seguir para actualizar y mantenerse seguro.
Si se descubre una vulnerabilidad en WordPress y se lanza una nueva versión para abordar el problema, la información necesaria para explotar la vulnerabilidad es casi con seguridad de dominio público. Esto hace que las versiones antiguas estén más abiertas a ataques, y es una de las razones principales por las que siempre debe mantener actualizado WordPress.
Si es un administrador a cargo de más de una instalación de WordPress, considere usar Subversion para facilitar la administración.
Top
Informar de problemas de seguridad # Informar de problemas de seguridad
Si crees que has encontrado un defecto de seguridad en WordPress, puedes ayudar reportando el problema. Consulte las preguntas frecuentes de seguridad para obtener información sobre cómo informar de problemas de seguridad.
Si cree que ha encontrado un error, infórmelo. Consulte Enviar errores para saber cómo hacerlo. Es posible que haya descubierto una vulnerabilidad, o un error que podría conducir a una.
Top
Vulnerabilidades del servidor Web # Vulnerabilidades del servidor web
El servidor web que ejecuta WordPress y el software en él pueden tener vulnerabilidades. Por lo tanto, asegúrese de que está ejecutando versiones seguras y estables de su servidor web y el software en él, o asegúrese de que está utilizando un host de confianza que se encarga de estas cosas por usted.
Si estás en un servidor compartido (uno que aloja otros sitios web además del tuyo) y un sitio web en el mismo servidor está comprometido, tu sitio web también puede estar potencialmente comprometido, incluso si sigues todo lo que se indica en esta guía. Asegúrese de preguntar a su proveedor de alojamiento web qué precauciones de seguridad toman.
Top
Vulnerabilidades de red # Vulnerabilidades de red
La red en ambos extremos, el lado del servidor de WordPress y el lado de la red del cliente, debe ser de confianza. Eso significa actualizar las reglas de firewall en su enrutador doméstico y tener cuidado con las redes desde las que trabaja. Un cibercafé en el que envía contraseñas a través de una conexión sin cifrar, inalámbrica o de otro tipo, no es una red de confianza.
Su host web debe asegurarse de que su red no se vea comprometida por atacantes, y usted debe hacer lo mismo. Las vulnerabilidades de red pueden permitir que se intercepten contraseñas y otra información confidencial.
Top
Contraseñas # Contraseñas
Muchas vulnerabilidades potenciales que se pueden evitar con buenos hábitos de seguridad. Una contraseña segura es un aspecto importante de esto.
El objetivo de tu contraseña es hacer que sea difícil para otras personas adivinar y difícil que un ataque de fuerza bruta tenga éxito. Hay muchos generadores automáticos de contraseñas disponibles que se pueden usar para crear contraseñas seguras.
WordPress también cuenta con un medidor de fuerza de contraseña que se muestra al cambiar su contraseña en WordPress. Use esto al cambiar su contraseña para asegurarse de que su fuerza sea adecuada.
Cosas que debe evitar al elegir una contraseña:
- Cualquier permutación de su propio nombre real, nombre de usuario, nombre de empresa o nombre de su sitio web.
- Una palabra de un diccionario, en cualquier idioma.
- Una contraseña corta.
- Cualquier contraseña de solo numérico o alfabético (lo mejor es una mezcla de ambas).
Una contraseña segura es necesaria no solo para proteger el contenido de tu blog. Un hacker que obtiene acceso a su cuenta de administrador puede instalar scripts maliciosos que potencialmente pueden comprometer todo su servidor.
Además de utilizar una contraseña segura, es una buena idea habilitar la autenticación en dos pasos como medida de seguridad adicional.
Top
FTP # FTP
Al conectarse a su servidor, debe usar cifrado SFTP si su host web lo proporciona. Si no está seguro de si su proveedor de alojamiento web proporciona SFTP o no, simplemente pregúnteles.
Usar SFTP es lo mismo que FTP, excepto que su contraseña y otros datos se cifran a medida que se transmiten entre su computadora y su sitio web. Esto significa que su contraseña nunca se envía sin borrar y no puede ser interceptada por un atacante.
Top
Permisos de archivo # Permisos de archivo
Algunas características interesantes de WordPress provienen de permitir que el servidor web pueda escribir varios archivos. Sin embargo, permitir el acceso de escritura a sus archivos es potencialmente peligroso, particularmente en un entorno de alojamiento compartido.
Lo mejor es bloquear los permisos de archivo tanto como sea posible y aflojar esas restricciones en las ocasiones en que necesite permitir el acceso de escritura, o crear carpetas específicas con menos restricciones con el propósito de hacer cosas como cargar archivos.
Aquí hay un posible esquema de permisos.
Todos los archivos deben ser propiedad de su cuenta de usuario, y usted debe poder escribirlos. Cualquier archivo que necesite acceso de escritura desde WordPress debe ser escribible por el servidor web, si su configuración de alojamiento lo requiere, eso puede significar que esos archivos deben ser propiedad del grupo de la cuenta de usuario utilizada por el proceso del servidor web.
/
El directorio raíz de WordPress: todos los archivos solo pueden escribirse en su cuenta de usuario, excepto .htaccess
si desea que WordPress genere automáticamente reglas de reescritura para usted.
/wp-admin/
El área de administración de WordPress: todos los archivos deben ser editables solo por su cuenta de usuario.
/wp-includes/
La mayor parte de la lógica de la aplicación de WordPress: todos los archivos deben poder escribirse solo en su cuenta de usuario.
/wp-content/
Contenido proporcionado por el usuario: diseñado para que su cuenta de usuario y el proceso del servidor web puedan escribir.
Dentro de /wp-content/
usted encontrará:
/wp-content/themes/
archivos de Tema. Si desea utilizar el editor de temas integrado, todos los archivos deben poder escribirse en el proceso del servidor web. Si no desea utilizar el editor de temas integrado, todos los archivos solo se pueden escribir en su cuenta de usuario.
/wp-content/plugins/
Archivos de complementos: todos los archivos deben poder escribirse solo en su cuenta de usuario.
Otros directorios que pueden estar presentes con /wp-content/
deben estar documentados por cualquier plugin o tema que los requiera. Los permisos pueden variar.
Top
Cambiar permisos de archivo # Cambiar permisos de archivo
Si tiene acceso de shell a su servidor, puede cambiar los permisos de archivo de forma recursiva con el siguiente comando:
Para Directorios:
find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
Para Archivos:
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;
Top
Con respecto a las Actualizaciones automáticas # Con respecto a las Actualizaciones automáticas
Cuando le dices a WordPress que realice una actualización automática, todas las operaciones de archivos se realizan como el usuario propietario de los archivos, usuario. Todos los archivos están configurados en 0644 y todos los directorios están configurados en 0755, y solo el usuario puede escribirlos y todos los demás, incluido el servidor web.
Top
Seguridad de la base de datos # Seguridad de la base de datos
Si ejecuta varios blogs en el mismo servidor, es aconsejable considerar mantenerlos en bases de datos separadas, cada una administrada por un usuario diferente. Esto se logra mejor cuando se realiza la instalación inicial de WordPress. Esta es una estrategia de contención: si un intruso rompe con éxito una instalación de WordPress, esto hace que sea mucho más difícil alterar sus otros blogs.
Si administra MySQL usted mismo, asegúrese de comprender la configuración de MySQL y de que las funciones innecesarias (como aceptar conexiones TCP remotas) estén deshabilitadas. Consulte Diseño de base de datos MySQL segura para obtener una buena introducción.
Top
Restringir los privilegios de usuario de la base de datos # Restringir los privilegios de usuario de la base de datos
Para las operaciones normales de WordPress, como publicar publicaciones de blog, cargar archivos multimedia, publicar comentarios, crear nuevos usuarios de WordPress e instalar complementos de WordPress, el usuario de la base de datos MySQL; SELECCIONAR, INSERTAR, ACTUALIZAR y ELIMINAR.
Por lo tanto, cualquier otra estructura de base de datos y privilegios de administración, como DROP, ALTER y GRANT, pueden revocarse. Al revocar tales privilegios, también están mejorando las políticas de contención.
Nota: Es posible que algunos complementos, temas y actualizaciones importantes de WordPress requieran realizar cambios estructurales en la base de datos, como agregar nuevas tablas o cambiar el esquema. En tal caso, antes de instalar el complemento o actualizar un software, deberá permitir temporalmente al usuario de la base de datos los privilegios necesarios.
ADVERTENCIA: Intentar actualizaciones sin tener estos privilegios puede causar problemas cuando se producen cambios en el esquema de la base de datos. Por lo tanto, no se recomienda revocar estos privilegios. Si siente la necesidad de hacer esto por razones de seguridad, asegúrese primero de tener un plan de copia de seguridad sólido, con copias de seguridad de bases de datos completas regulares que haya probado que son válidas y que se pueden restaurar fácilmente. Una actualización de base de datos fallida generalmente se puede resolver restaurando la base de datos a una versión antigua, otorgando los permisos adecuados y luego dejando que WordPress vuelva a probar la actualización de la base de datos. Restaurar la base de datos la devolverá a esa versión anterior y las pantallas de administración de WordPress detectarán la versión anterior y le permitirán ejecutar los comandos SQL necesarios en ella. La mayoría de las actualizaciones de WordPress no cambian el esquema, pero algunas sí. Solo las actualizaciones de puntos importantes (3.7 a 3.8, por ejemplo) alterarán el esquema. Las actualizaciones menores (3.8 a 3.8.1) generalmente no lo harán. Sin embargo, mantenga una copia de seguridad regular.
Top
Securing wp-admin # Securing wp-admin
Agregar protección de contraseña del lado del servidor (como BasicAuth) a /wp-admin/
agrega una segunda capa de protección alrededor del área de administración de tu blog, la pantalla de inicio de sesión y tus archivos. Esto obliga a un atacante o bot a atacar esta segunda capa de protección en lugar de sus archivos de administración reales. Muchos ataques de WordPress se llevan a cabo de forma autónoma por bots de software malicioso.
Simplemente asegurar el directorio wp-admin/
también podría romper algunas funcionalidades de WordPress, como el controlador AJAX en wp-admin/admin-ajax.php
. Consulte la sección de Recursos para obtener más documentación sobre cómo proteger con contraseña su directorio wp-admin/
correctamente.
Los ataques más comunes contra un blog de WordPress suelen dividirse en dos categorías.
- Envío de solicitudes HTTP especialmente diseñadas a su servidor con cargas útiles de exploits específicos para vulnerabilidades específicas. Estos incluyen plugins y software antiguos/obsoletos.
- Intentar obtener acceso a tu blog utilizando la adivinación de contraseñas de «fuerza bruta».
La implementación definitiva de esta protección de contraseña de» segunda capa » es requerir una conexión cifrada HTTPS SSL para la administración, de modo que toda la comunicación y los datos confidenciales estén cifrados. Consulte Administración A Través de SSL.
Top
Securing wp-includes # Securing wp-includes
Se puede agregar una segunda capa de protección donde los scripts generalmente no están destinados a ser accedidos por ningún usuario. Una forma de hacerlo es bloquear esos scripts usando mod_rewrite en el .archivo htaccess. Nota: para asegurarse de que WordPress no sobrescriba el código a continuación, colóquelo fuera de las etiquetas # BEGIN WordPress
y # END WordPress
en el .archivo htaccess. WordPress puede sobrescribir cualquier cosa entre estas etiquetas.
Top
Asegurando wp-config.php # Asegurando wp-config.php
Puede mover el archivo wp-config.php
al directorio sobre su instalación de WordPress. Esto significa que para un sitio instalado en la raíz de su espacio web, puede almacenar wp-config.php
fuera de la carpeta raíz web.
Nota: Algunas personas afirman que mover wp-config.php tiene beneficios de seguridad mínimos y, si no se hace con cuidado, en realidad puede introducir vulnerabilidades graves. Otros no están de acuerdo.
Tenga en cuenta que wp-config.php
se puede almacenar UN nivel de directorio por encima de la instalación de WordPress (donde reside wp-includes). Además, asegúrese de que solo usted (y el servidor web) pueden leer este archivo (generalmente significa un permiso 400 o 440).
Si utiliza un servidor .htaccess, puede poner esto en ese archivo (en la parte superior) para denegar el acceso a cualquier persona que navegue por él:
<files wp-config.php>order allow,denydeny from all</files>
Top
Desactivar la edición de archivos # Desactivar la edición de archivos
El panel de WordPress permite de forma predeterminada a los administradores editar archivos PHP, como archivos de complementos y temas. Esta es a menudo la primera herramienta que un atacante usará si es capaz de iniciar sesión, ya que permite la ejecución de código. WordPress tiene una constante para desactivar la edición desde el panel de control. Colocando esta línea en wp-config.php es equivalente a eliminar las capacidades’ edit_themes’,’ edit_plugins ‘y’ edit_files ‘ de todos los usuarios:
define('DISALLOW_FILE_EDIT', true);
Esto no evitará que un atacante cargue archivos maliciosos en su sitio, pero podría detener algunos ataques.
Top
Complementos # Complementos
En primer lugar, asegúrese de que sus complementos estén siempre actualizados. Además, si no está utilizando un complemento específico, elimínelo del sistema.
Top
Firewall # Firewall
Hay muchos complementos y servicios que pueden actuar como un firewall para su sitio web. Algunos de ellos funcionan modificando el tuyo .archivo htaccess
y restringiendo cierto acceso a nivel de Apache, antes de que sea procesado por WordPress. Un buen ejemplo es iThemes Security o All in One WP Security. Algunos complementos de firewall actúan a nivel de WordPress, como WordFence y Shield, e intentan filtrar los ataques mientras WordPress se carga, pero antes de que se procese por completo.
Además de complementos, también puede instalar un WAF (firewall web) en su servidor web para filtrar el contenido antes de que WordPress lo procese. El WAF de código abierto más popular es ModSecurity.
También se puede agregar un firewall de sitios web como intermediario entre el tráfico de Internet y su servidor de alojamiento. Todos estos servicios funcionan como proxies inversos, en los que aceptan las solicitudes iniciales y las redirigen a su servidor, despojándolo de todas las solicitudes maliciosas. Lo logran modificando sus registros DNS, a través de un registro A o un intercambio DNS completo, lo que permite que todo el tráfico pase primero a través de la nueva red. Esto hace que todo el tráfico sea filtrado por el firewall antes de llegar a su sitio. Algunas compañías ofrecen este servicio, como CloudFlare, Sucuri e Incapsula.
Además, estos proveedores de servicios de terceros funcionan como Redes de Distribución de Contenido (CDN) de forma predeterminada, introduciendo la optimización del rendimiento y el alcance global.
Top
Complementos que necesitan acceso de escritura # Complementos que necesitan acceso de escritura
Si un complemento desea acceso de escritura a sus archivos y directorios de WordPress, lea el código para asegurarse de que sea legítimo o consulte con alguien de confianza. Los posibles lugares para consultar son los Foros de Soporte y el Canal IRC.
Top
Complementos de ejecución de código # Complementos de ejecución de código
Como hemos dicho, parte del objetivo de endurecer WordPress es contener el daño causado si hay un ataque exitoso. Los plugins que permiten ejecutar código PHP arbitrario u otro código a partir de entradas en una base de datos amplifican efectivamente la posibilidad de daño en caso de un ataque exitoso.
Una forma de evitar el uso de un complemento de este tipo es usar plantillas de página personalizadas que llamen a la función. Parte de la seguridad que esto ofrece está activa solo cuando no se permite la edición de archivos dentro de WordPress.
Top
Seguridad a través de la oscuridad # Seguridad a través de la oscuridad
La seguridad a través de la oscuridad es generalmente una estrategia primaria incorrecta. Sin embargo, hay áreas en WordPress en las que ocultar la información puede ayudar con la seguridad:
- Cambiar el nombre de la cuenta administrativa: Al crear una cuenta administrativa, evite términos fácilmente adivinables como
admin
owebmaster
como nombres de usuario porque normalmente están sujetos a ataques primero. En una instalación de WordPress existente, puede cambiar el nombre de la cuenta existente en el cliente de línea de comandos MySQL con un comando comoUPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin';
, o mediante un frontend MySQL como phpMyAdmin. - Cambiar el prefijo de la tabla: Muchos ataques de inyección SQL específicos de WordPress publicados asumen que el prefijo de la tabla es
wp_
, el valor predeterminado. Cambiar esto puede bloquear al menos algunos ataques de inyección SQL.
Top
Copias de seguridad de datos # Copias de seguridad de datos
Realice copias de seguridad de sus datos regularmente, incluidas sus bases de datos MySQL. Ver el artículo principal: Copia De Seguridad De Su Base De Datos.
La integridad de los datos es fundamental para las copias de seguridad de confianza. Cifrar la copia de seguridad, mantener un registro independiente de hashes MD5 para cada archivo de copia de seguridad y/o colocar copias de seguridad en medios de solo lectura aumenta su confianza en que sus datos no han sido manipulados.
Una estrategia de copia de seguridad de sonido podría incluir mantener un conjunto de instantáneas programadas regularmente de toda su instalación de WordPress (incluidos los archivos principales de WordPress y su base de datos) en una ubicación de confianza. Imagina un sitio que haga instantáneas semanales. Tal estrategia significa que si un sitio se ve comprometido el 1 de mayo, pero el compromiso no se detecta hasta el 12 de mayo, el propietario del sitio tendrá copias de seguridad previas al compromiso que pueden ayudar a reconstruir el sitio e incluso, posiblemente, copias de seguridad posteriores al compromiso que ayudarán a determinar cómo se comprometió el sitio.
Top
Registro # Registro
Los registros son su mejor amigo cuando se trata de comprender lo que está sucediendo con su sitio web, especialmente si está tratando de realizar pruebas forenses. Contrariamente a las creencias populares, los registros le permiten ver lo que se hizo y quién y cuándo. Desafortunadamente, los registros no le dirán quién, nombre de usuario, inicio de sesión, pero le permitirán identificar la IP y la hora y, lo que es más importante, las acciones que el atacante podría haber tomado. Podrá ver cualquiera de estos ataques a través de los registros: Cross Site Scripting (XSS), Inclusión Remota de Archivos (RFI), Inclusión Local de archivos (LFI) e intentos de recorrido de directorios. También podrás ver intentos de fuerza bruta. Hay varios ejemplos y tutoriales disponibles para ayudarlo a guiarlo a través del proceso de análisis y análisis de sus registros sin procesar.
Si te sientes más cómodo con tus registros, podrás ver cosas como, cuando se están utilizando los editores de temas y complementos, cuando alguien actualiza tus widgets y cuando se agregan publicaciones y páginas. Todos los elementos clave al hacer trabajo forense en su servidor web. Hay algunos complementos de seguridad de WordPress que también te ayudan con esto, como la herramienta de auditoría Sucuri o el complemento de Seguimiento de auditoría.
Hay dos soluciones clave de código abierto que querrá en su servidor web desde una perspectiva de seguridad, este es un enfoque de seguridad por capas.
OSSEC puede ejecutarse en cualquier distribución NIX y también se ejecutará en Windows. Cuando se configura correctamente, es muy potente. La idea es correlacionar y agregar todos los registros. Debe asegurarse de configurarlo para capturar todos los access_logs y error_logs y si tiene varios sitios web en la cuenta del servidor para eso. También querrás asegurarte de filtrar el ruido. De forma predeterminada, verás mucho ruido y querrás configurarlo para que sea realmente efectivo.
Top
Monitoreo # Monitoreo
a Veces, la prevención no es suficiente, y usted todavía puede ser hackeado. Es por eso que la detección/monitoreo de intrusiones es muy importante. Le permitirá reaccionar más rápido, averiguar qué pasó y recuperar su sitio.
Top
Monitoreo de sus registros # Monitoreo de sus registros
Si está en un servidor privado dedicado o virtual, en el que tiene el lujo de tener acceso root, tiene la capacidad de configurar fácilmente las cosas para que pueda ver lo que está pasando. OSSEC facilita esto fácilmente y aquí hay un pequeño artículo que podría ayudarlo a usar OSSEC para la Seguridad del sitio web, Parte I.
Top
Monitoreo de los cambios en los archivos # Monitoreo de los cambios en los archivos
Cuando ocurre un ataque, siempre deja rastros. Ya sea en los registros o en el sistema de archivos (archivos nuevos, archivos modificados, etc). Si está utilizando OSSEC, por ejemplo, supervisará sus archivos y le avisará cuando cambien.
Objetivos # Objetivos
Los objetivos del seguimiento del sistema de archivos incluyen:
- Monitorear archivos modificados y agregados
- Cambios y adiciones de registro
- Capacidad para revertir cambios granulares
- Alertas automatizadas
Top
Enfoques generales # Enfoques generales
Los administradores pueden monitorear el sistema de archivos a través de tecnologías generales como:
- Utilidades del sistema
- Control de revisiones
- Monitoreo a nivel de/li>
Top
Herramientas específicas # Herramientas específicas
Las opciones para la supervisión del sistema de archivos incluyen:
- diff-construye una copia de prueba limpia de tu sitio y compárala con producción
- Git – gestión de código fuente
- inotify e incron – OS servicio de monitoreo de archivos a nivel de núcleo que puede ejecutar comandos en eventos del sistema de archivos
- Biblioteca Watcher – Python inotify
- OSSEC – Sistema de Detección de intrusiones basado en Host de Código abierto que realiza análisis de registros, comprobación de integridad de archivos, supervisión de políticas, detección de rootkits, alertas en tiempo real y respuesta activa.
Top
Consideraciones # Consideraciones
Al configurar una estrategia de monitoreo basada en archivos, hay muchas consideraciones, incluidas las siguientes.
Ejecute el script/servicio de monitoreo como root
Esto dificultaría que los atacantes deshabilitaran o modificaran su solución de monitoreo del sistema de archivos.
Desactivar la supervisión durante el mantenimiento/las actualizaciones programadas
Esto evitaría notificaciones innecesarias cuando realice un mantenimiento regular en el sitio.
Monitorear solo tipos de archivos ejecutables
Puede ser razonablemente seguro monitorear solo tipos de archivos ejecutables, como por ejemplo .archivos php, etc.. El filtrado de archivos no ejecutables puede reducir las entradas de registro y alertas innecesarias.
Use permisos estrictos del sistema de archivos
Lea acerca de cómo proteger los permisos y la propiedad de los archivos. En general, evite permitir permisos de ejecución y escritura en la medida de lo posible.
Top
Supervisión externa de su servidor web # Supervisión externa de su servidor web
Si el atacante intenta desfigurar su sitio o agregar malware, también puede detectar estos cambios mediante una solución de monitor de integridad basada en la web. Esto viene en muchas formas hoy en día, use su motor de búsqueda favorito y busque Detección y Corrección de Malware Web y es probable que obtenga una larga lista de proveedores de servicios.
Top
Recursos # Recursos
- Cómo mejorar la seguridad de WordPress (Infografía)
- Complementos de seguridad
- Seguridad de WordPress Cortar el libro electrónico BS
- : Bloquear WordPress
- wpsecure.net tiene algunas guías sobre cómo bloquear WordPress.
- Una guía para principiantes para Endurecer WordPress
- Brad Williams: Lock it Up (Video)
- 21 Formas de Proteger su sitio de WordPress
- Documentos oficiales sobre cómo proteger directorios con contraseña con an .archivo htaccess
- Tutorial sencillo sobre cómo proteger con contraseña el área de administración de WordPress y corregir el error 404
Top
Ver también # Ver También
- Preguntas frecuentes de seguridad
- PREGUNTAS frecuentes – Mi sitio fue pirateado
- Ataques de fuerza bruta
- Documento técnico de seguridad de WordPress