Guia Seguretat WordPress: protegeix-te dels atacs

Aquesta guia de seguretat WordPress és de nivell molt bàsic però suficient per augmentar en un 90% la protecció del teu blog.

Tot va començar fa uns dies, quan vaig rebre un correu de WooThemes avisant-me que havien estat víctimes d’un atac informàtic i que revisés el més ràpid possible si els meus comptes havien patit ‘alguna’ retallada inusual…

A més a més, si calia, anul·lés la targeta amb la qual els havia fet l’última compra.

Per casualitats de la vida, la targeta en qüestió havia passat a millor vida feia uns mesos i per tant no calia preocupar-me. Si no hagués estat així, ja podia córrer!

Si t’avisen, has d’anar ràpid que l’assumpte pot ser greu. Compro per Internet des del 1998 i MAI he tingut cap problema. Prenc les precaucions que toquen…però algun dia pot passar. Com també passa amb les compres presencials.

WooCommerce Piratejat?

Per si no ho saps, Woothemes dissenya temes i extensions prèmium per a WordPress i és considerada una referència dins d’aquesta comunitat. Precisament, el seu producte estrella, el WooCommerce, és l’extensió més utilitzada per a crear botigues online amb WordPress. Ja et pots imaginar quin considerable enrenou s’ha muntat amb la possibilitat fallada de seguretat en una extensió dedicada a vendre i cobrar…

woocommerce

Per sort, sembla ser que l’atac ha estat en els servidors de la companyia i que les dades les han sostret de la passarel·la de pagament amb targeta, i no de les dades que guarda l’extensió WooCommerce. De 230.000 possibles afectats, s’en parla d’uns 300. L’única passarel·la que no han tocat és la de PayPal.

Ep! [highlight]Encara ho estan investigant.[/highlight] Si vols més detalls, visita el seu blog on hi trobaràs tota la informació.

Amb aquest incident, m’ha vingut al cap fer un repàs de seguretat del meu lloc amb WordPress. Els que tenim un blog ‘auto’-hostatjat ens ha preocupar mantenir-lo ben protegit, lluny de malifetes. WordPress un dels programaris de codi obert més segurs que hi ha però si ets descuidat, tard o d’hora te la claven.

El que he après, m’ha servit per fer aquesta entrada i així mostrar-te com tu també ho pots fer de forma fàcil. Aquestes recomanacions no pretenen ser cap guia experta. Per això, ja hi ha milers de llocs a Internet a on aprofundir en aquestos temes.

1. Noms d’usuaris i paraules de pas

El primer que proven els hackers són les coses fàcils. Això vol dir que si utilitzes la paraula ‘admin’ com a nom d’usuari per administrar el teu blog ja els estàs donant el 50% de la feina feta. Si a més a més, la contrasenya és 123456 ja no cal parlar-ne més…possiblement el teu lloc web ja està piratejat!

Per tant, cal ser creatiu i esprémer la neurona. posa’ls-hi una mica més difícil. Utilitza usuaris diferents i paraules de pas llargues (de més de 7 caràcters) barrejant nombres, minúscules/majúscules, puntuació, etc.

També et recomano que tinguis una CONTRASENYA diferent i PERSONALITZADA per a cada lloc web. Si ja ho se, avui dia tranquil·lament poden sortir més de 100 contrasenyes. jo ne tinc quasi unes 200. Tinc un mètode propi per tenir-les totes controlades però ara ja el trobo poc eficient.

Qualsevol dia me donaré un cop al cap, i tindré un veritable problema…Per evitar memoritzar o emmagatzemar en fitxers diversos, et recomano utilitzar aplicacions FANTÀSTIQUES com 1Password o Lastpass que funcionen de conya a l’hora de gestionar tot l’univers personal de paraules de pas en TOTS els dispositius.

2. Actualitza, Actualitza i Actualitza

Les versions ‘caducades’ de qualsevol software són una font de problemes que poden ser aprofitats per obrir les portes (amagades) del sistema. Cal actualitzar sovint perquè és una de les millors maneres de protegir-nos. Es corregeixen errors i s’arreglen vulnerabilitats. La actualització permet estar al dia en quant a seguretat i mal funcionaments. Actualitzar és força senzill; quan toca fer-ho de forma manual, el sistema t’avisa i amb un sol clic, l’actualització s’instal·la automàticament.

Actualitzacions WordPress

L’únic que s’ha de vigilar, abans d’actualitzar, és la compatibilitat de les extensions o de les plantilles amb la versió de WordPress que tens instal·lada.

Com ho puc saber? Molt fàcil, abans d’instal·lar una extensió mira en la barra lateral a on t’indica la compatibilitat. Color verd, endavant. Groc precaució. Vermell no és recomana instal·lar!

Compatilitat extensions WordPress

Cal anar amb COMPTE amb actualitzar els temes!

Si no tens fet un tema fill, perdràs els canvis i hauràs de tornar a configurar completament!

Com ja saps, WordPress és un software lliure que utilitzen desenes de milions  de llocs web arreu d’Internet (aprox. uns 60). Vés vigilant les noticies que sorgeixen en qualsevol dels fòrums especialitzats. Qualsevol problema de seguretat greu és difon amb molta rapidesa via Twitter o en altres xarxes socials.

3. Fes Còpies de Seguretat (automàtiques)

De vegades, les desgracies no venen soles i els servidors cauen, s’espatllen, són intervinguts per l’FBI, etc…Cal tenir feta una còpia de seguretat sencera de tot el nostre lloc web per no trobar-nos amb una pèrdua irreparable. Aquestes coses passen però si estàs preparat, minimitzes els mal de caps.

Fer una còpia de seguretat AUTOMÀTICA amb WordPress és molt senzill i GRATUÏT. La còpia més cara pot ser aquella que no vas fer!

A mi me funciona prou bé aquesta extensió que les fa automàticament i les sincronitza amb el teu Dropbox. També permet fer una recuperació: https://wordpress.org/plugins/ready-backup/

Extensió Ready-backup

Hi ha moltes més extensions a tenir en compte tant gratuïtes com de pagament. Aquí les tens: http://wordpress.org/plugins/tags/backup

Back-up-meme

4. Blinda el teu WordPress: Extensions de Seguretat a la Carta

Si de veritat vols tenir un lloc ben protegit, pots optar per instal·lar-te extensions de seguretat que gestionen totes les possibles amenaces des d’un sol panell de control inserit en el taulell de WordPress. Jo utilitzo l’extensió Better wp-security que ara s’anomena iThemes Security.

iTheme Security

Aquesta extensió va molt bé per protegir de forma molt fàcil aspectes dels llocs web que necessiten coneixements de seguretat a la xarxa. Amb una interfície molt intuïtiva que et va dient què has de modificar i amb un parell de clics, adéu al 90% de les preocupacions més habituals en quant a seguretat. El millor de tot: és gratuït!

IThemes Security Dashboard

Hi han altres extensions per escollir que també funcionen perfectament. Totes cobreixen des de els aspectes més bàsics (amb còpies de seguretat incloses) fins d’avançats com pot ser canviar el prefix ‘wp_’ de la base de dades, el nom del directori arrel del contingut o limitar l’accés fent un filtratge per IPs.

Altres Extensions de Seguretat WordPress,

https://wordpress.org/plugins/wordfence/

Aquesta extensió només començar analitza si el teu lloc web està infectat per algun codi maliciós a més de molts altres paràmetres del servidor i de la instal·lació de WordPress. És 100% lliure i apte per a professionals. Té una API i un suport de pagament.

http://wordpress.org/plugins/stealth-login-page/

Permet afegir una doble autorització a la pàgina d’accés. Cada cop que t’autentifiquis, t’envia un codi d’autorització diferent per correu.

https://wordpress.org/plugins/google-authenticator/

Semblant a l’anterior però aquí, el codi ens arriba a l’aplicació Google Authenticator. Per Android/iphone/blackberry.

 5. Audita el Teu lloc Web

A la pàgina web de Sucuri, experts en protecció web, pots fer una auditoria online del teu lloc web. Posa la teva direcció i analitza si tens algun codi maliciós o estàs en alguna llista negra. Com veieu, he de parlar amb el meu proveïdor de ‘hosting’ a veure si actualitza algun mòdul obsolet…

Resultats Anàlisi Sucuri

Per Acabar

I així fins a l’infinit… no s’acabaria mai. Quan et poses a revisar la seguretat, la paranoia creix exponencialment i veus amenaces per tot arreu. Atura aquesta visió que tampoc et cal i no és l’objectiu d’aquest article. El que vull és que siguis conscient que no cal posar les coses fàcils.

Recorda, la seguretat absoluta no existeix i que les coses passen (shit happens).

Així doncs, prepara’t i tingues una solució a punt per si el problema sorgeix. T’estalviarà algun maldecap!

Espero que els consells et serveixin de molt i si tens qualsevol dubte o aportació, si us plau, deixa un comentari.

 

7 comentaris a “Guia Seguretat WordPress: protegeix-te dels atacs”

  1. Coneixeu, Latch? Jo utilitze aquesta app per mantenir la seguretat del meu WordPress i em va genial. Per molt que en saberen la contrasenya no podrien accedir-hi si teniu el pestell passat 😉

  2. Bones Teresa, benvinguda!

    Doncs no, no conec Latch. Ja li faré un cop d’ull a veure que tal va. De moment utilitzo el mode Away de IThemes Security que desactiva el Dashboard en les hores o dies que tu programis.

    El tema de la seguretat i de les contrasenyes és per llogar-hi cadires… 😀

    Moltes gràcies per comentar i aportar. S’agraeix!

    pd: Aquí t’anexo una captura exemple de l’away mode nocturn

Deixa un comentari