En estos días de cuarentena por el covid-19, dónde el único comercio disponible es el on-line, es posible que la web corporativa se haya tornado en protagonista para muchas empresas, convirtiéndose en el primer punto de encuentro con sus clientes.

En este contexto es fundamental dedicar un correcto mantenimiento a la web, ya que una mala praxis puede desembocar en que sea hackeada o comprometida, haciendo aún más daño al negocio y lo más importante, afectando a la reputación y nombre de la empresa, sobre todo si además hay robo de datos de clientes de por medio.

A día de hoy, se estima el 65% de los portales web basados en un CMS https://w3techs.com/technologies/details/cm-wordpress son WordPress, por tanto centraremos el artículo en cómo proteger un portal que haga uso de este gestor de contenidos, y lo haremos además centrándonos en el uso de plugins que poseen una gran facilidad de uso.

En concreto, destacamos a día de hoy 2 plugins de WordPress dedicados a seguridad por encima del resto:

Y entre ambos, nos hemos decantado por hablar del segundo, aunque el primero posee un uso igual de intuitivo y unas características similares.

¿Qué me ofrece un plugin como All In One WP Security & Firewall?

Pues básicamente lo que hace este plugin es activar medidas de seguridad en la web, a través de directivas htaccess. Pero en lugar de editar esas directivas de manera pesada y con la necesidad de tener conocimientos avanzados sobre el servicio web en ejecución, nos las traslada a una serie de checkbox fáciles de entender. Lo anterior es complementado además con funcionalidades de backup y de escaneo de ficheros.

Una vez instalado desde la tienda de aplicaciones de WordPress, nos aparecerá un menú extra en el backend de la web de este estilo:

Vamos a ver ahora en detalle sus características principales:

  • Escritorio: En esta sección podremos ver información de nuestro sitio web, desde plugins instalados, a IPs bloqueadas por intentos de ataque, o datos del hospedaje web (versión de php, de la base de datos…)
  • Ajustes: Permite realizar un backup manual de nuestros ficheros de configuración (htaccess y wp-config.php), también permite ocultar la información de nuestra versión de wordpress, dificultando ataques. Por último, desde ajustes es posible importar/exportar la configuración que hayamos realizado en este plugin, de modo que sea sencillo extrapolar nuestra configuración a en varios sitios.
  • Cuentas de usuario: Nos avisa si hay usuarios que posean el mismo nombre de acceso y visible, lo cual facilita al atacante uno de los 2 datos de credenciales. Incluye además una herramienta que ayuda a entender la criticidad de fortaleza de contraseña.
  • Acceso de usuario: Posee varias funcionalidades, por un lado, permite establecer un bloqueo por intentos fallidos de inicio de sesión, e incluso permite establecer una lista blanca de IPs (útil si tenemos una IP estática en nuestra empresa que queremos configurar como de confianza). Nos muestra también un LOG de los últimos intentos de inicio de sesión fallidos, así como un registro de actividad, un visor de usuarios conectados a tiempo real, y la posibilidad de forzar una desconexión a un usuario concreto.
  • Registro de usuario: Permite establecer una aprobación manual de nuevos usuarios, obliga a completar un captcha de seguridad en el registro, y añade un señuelo (honeypot) que evita intentos de registro de robots.
  • Seguridad en base de datos: Permite configurar un backup automático de la base de datos de wordpress.
  • Seguridad en el sistema de archivos: Nos indica si los permisos del directorio web son correctos, y en caso de no serlo facilita corregirlo. Además, nos permite bloquear la edición de ficheros php desde el CMS, así como el acceso a ficheros de instalación (readme.html, license.txt…) que faciliten datos al atacante.
  • Administrador de lista negra: Permite bloquear IPs o rango de IPs. Muy útil para establecer bloqueos definitivos a atacantes detectados en el sistema.
  • Cortafuegos: Permite establecer reglas básicas de firewall para proteger nuestro sitio, además de directivas que eviten bots falsos de internet. Nos permite además incluir nuestras propias reglas personalizadas en el htaccess del portal web.
  • Fuerza bruta: Permite establecer catpchas de acceso, señuelos, una lista blanca de IPs de confianza, e incluso modificar la ruta por defecto del backend de la web.
  • Prevención de spam: En caso de tener los comentarios activados, permite securizarlos con un captcha y bloquear automáticamente IPs de spammers.
  • Explorador: Permite revisar periódicamente cambios en el sitio web. Si un atacante ha conseguido burlar las medidas de seguridad establecidas, y modificar ficheros del sistema con código malicioso o añadir otros, de manera automática este sistema nos avisará de los cambios sucedidos.
  • Mantenimiento: Permite dejar el sitio en modo mantenimiento, bloqueando a todos los usuarios, excepto los administradores de la web. Es útil para llevar a cabo tareas de mantenimiento esenciales.
  • Varios: Incluye funcionalidades como la protección anticopiado, el bloqueo de iframes, la posibilidad de listar usuarios y el bloque o de solicitudes REST no autorizadas al sitio.

En resumen

Desgraciadamente tener algo publicado en internet a día de hoy, sea la web corporativa u otro servicio, supone empezar a sufrir intentos de ataque y daños prácticamente de manera inmediata.

Para tratar de mantener un nivel de seguridad óptimo, es imprescindible mantener los sistemas actualizados, con las últimas revisiones de seguridad aplicadas, y además integrar herramientas complementarias que ayuden a fortalecer los sistemas (firewalls, antivirus…)

En el caso de nuestra web corporativa, hemos visto como existen plugins de seguridad, que permiten dificultar al atacante los intentos para comprometer el sitio, y todo ello desde un interfaz muy sencillo, bien explicado, que no requiere de grandes conocimientos técnicos.

Víctor Carrión Hontoria
Últimas entradas de Víctor Carrión Hontoria (ver todo)
Share This