WordPress es el CMS más utilizado por los usuarios para montar blogs y páginas web. Este CMS es totalmente gratuito y de código abierto, contando también con una comunidad activa y un desarrollo hábil que permite, aparte de implementar nuevas funciones útiles tanto para administradores como para los visitantes de las webs, solucionar fallos de seguridad y evitar que un portal pueda verse víctima de un ataque informático.
Hace varios días los responsables del desarrollo de WordPress han publicado una nueva versión del CMS, la 4.3.1, en la que se solucionan dos vulnerabilidades de seguridad críticas como CVE-2015-5714, un fallo de seguridad que permite ejecutar código JavaScript remoto y CVE-2015-5714, quien permite la escalada de privilegios dentro del panel de administración del blog.
Aunque los administradores web actualicen a las versiones más recientes, la configuración que el CMS aplica por defecto puede permitir a piratas informáticos recopilar información útil sobre el tipo de instalación que hemos realizado, buscar vulnerabilidades y llegar a comprometer nuestro CMS e incluso nuestro servidor, por lo que aparte de instalar las versiones más recientes también se deben revisar múltiples parámetros de configuración de nuestro sitio.
Por lo general es muy complicado saber todos los ficheros y configuraciones que pueden dar lugar a una brecha de seguridad, por lo que si queremos asegurar lo máximo posible nuestro CMS podemos hacer uso de herramientas como WPHardering.
WPHardering es un script de código abierto programado en Python que viene con todo lo necesario para eliminar cualquier amenaza y debilidad de un portal WordPress y evitar así que podamos ser víctimas de piratas informáticos.
Para poder hacer uso de esta herramienta lo primero que debemos hacer es descargar la versión más reciente del script desde GitHub.
Qué funciones y ajustes nos ofrece WPHardening para proteger nuestro WordPress
Una vez lo tenemos en nuestro servidor ya podemos ejecutarlo, siempre y cuando tengamos las librerías Python instaladas en él. Este script se utiliza desde un terminal y sus funciones son llamadas a través de parámetros, tal como vamos a ver en algunos ejemplos a continuación:
- python wphardening.py -d /home/path/to/wordpress -v – Comprueba que nuestro portal es detectado por el script y que podemos trabajar sobre él.
- python wphardening.py -d /home/path/to/wordpress –chmod -v – Configura los permisos adecuados a toda la raíz de archivos.
- python wphardening.py -d /home/path/to/wordpress –remove -v – Elimina los ficheros y directorios no utilizados.
- python wphardening.py -d /home/path/to/wordpress –robots -v – Crea un fichero de robots personalizado.
- python wphardening.py -d /home/path/to/wordpress –fingerprinting -v – Elimina las huellas de seguimiento y la información de versión.
- python wphardening.py -d /home/path/to/wordpress –indexes -v – Crea un índice de ficheros.
- python wphardening.py -d /home/path/to/wordpress –plugins – Descarga e instala varios plugins relacionados con la seguridad.
- python wphardening.py -d /home/path/to/wordpress –wp-config – genera un nuevo archivo wp-config.php.
- python wphardening.py -d /home/path/to/wordpress -c -r -f -t –wp-config –indexes –plugins -o /home/user/wphardening.log – Usa todas las opciones del script a la vez para una configuración todo-en-uno.
Gracias a este script podremos hacer que nuestro portal con WordPress sea un poco más seguro y que seamos menos vulnerables a los ataques de piratas informáticos.
¿Eres administrador de un sitio web con CMS WordPress? ¿Has revisado todos los elementos que pueden comprometer la seguridad del sitio?
Tenéis un tutorial completo para mejorar la seguridad en WordPress.