Category Archives: WordPress

Consells de seguretat a WordPress

Per | 20 gener 2014

Un dels problemes per als qui tenim un o més blogs hostatjats en el propi servidor és mantenir-lo segur. Sí, ja sé que la seguretat en informàtica (i en res) no existeix (“la seguretat és un estat mental”…).

wp-segurHi ha diversos motius pels quals hi ha gent que vol prendre el control del nostre WordPress, i d’això ens hem de defensar. Ahir em vaig llevar i tenia més de 400 missatges electrònics que m’alertaven d’intents d’accedir al tauler d’administrador d’aquest blog. En un parell d’hores ja en tenia més de 600, i això que ja estava bloquejant les IP que feien tres intents fallits per autenticar-se… Per sort, ho tenia ben configurat, però després vaig afegir-ne més (l’últim dels passos que descric a sota) i vaig tallar-los la possibilitat de ni tan sols arribar a la pàgina d’autenticació.

Com podem protegir, un WordPress?

  • No utilitzar “admin” com a nom d’usuari, ni cap altre que pugui ser deduïble (el propi nom, “administrador”, etc.). Si ja tens el WordPress instal·lat, pots canviar-lo anant a PhpMyAdmin i executar aquest codi:
    UPDATE wp_users SET user_login = 'Nou_usuari' WHERE user_login = 'Admin';
  • Utilitza una contrasenya segura. A aquestes alçades ja se sap que segura vol dir que no sigui curta (mínim 7 caràcters) i que contingui: caràcters en minúscula, majúscula, números i símbols. Si voleu comprovar si la vostra contrasenya és forta, ho podeu fer en aquest web. També podeu seguir alguns consells sobre com crear-ne de segures i poder-les recordar.
  • Quan instal·lem WordPress, hem de canviar el prefix de les taules de la base de dades en el fitxer config.php. Per defecte ve wp_ i es recomana posar-ne un més complex.
  • Mantenir WordPress actualitzat. D’acord, fer actualitzacions de vegades és pesat, i algun cop és buscar-se problemes per la compatibilitat de les extensions… Però les versions antigues solen tenir vulnerabilitats que poden ser explotades per fer malifetes. I recordeu que des de la versió 3.7 WordPress permet autoactualitzar-se. No cal fer res més que escriure els paràmetres de l’ftp i dir-li que ho faci ell. A mi mai m’ha fallat, ni ens instal·lacions simples ni en multisite. :)
  • Instal·lar una extensió de còpies de seguretat. N’hi ha de gratuïtes i de pagament. Jo ara faig servir BackWPup, que és gratuïta, permet planificar-ne l’execució amb cron i desar les còpies a Dropbox. Permet, també, fer còpies dels arxius, extensions i base de dades, i tot comprimit amb gzip.
  • Instal·lar alguna extensió de seguretat. Fa temps que faig servir Wordfence, que actua en diversos sentits. Fa de tallafocs i permet bloquejar la IP dels usuaris que fan diversos intents fallits. Permet llistes blanques i negres i definir polítiques específiques per als robots dels cercadors. També funciona bé Simple Login Lockdown.
  • Finalment, cal configurar l’arxiu .htacces. Aquest arxiu, que és al directori arrel de la instal·lació de WordPress fa de filtre entre el servidor i les dades que arriben i se’n van. Això ens permet fer meravelles, com reanomenar URL o filtrar usuaris. Basat en això últim, és com jo vaig aturar l’atac, ja que treballo amb IP fixa, i això ho facilita molt. Cal afegir al principi de l’.htacces del directori arrel el següent:
# Restringir quines IP poden anar a la pàgina de login. Atenció: utilitzeu-lo NOMÉS si teniu IP fixa:

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from xxx.xxx.xxx.xxx
</Files>

# Restringir quines IP poden anar a la pàgina de wp-admin:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

<Files .htaccess>
order allow,deny
deny from all
</Files>

Instal·lació segura de WordPress

Per | 24 desembre 2007

S’ha donat la casualitat que darrerament he fet dues instal·lacions de WordPress, així que m’ha tocat buscar i rebuscar, llegir documentació, editar plantilles, instal·lar plugins, etc.

I ara fa poc, vaig topar amb una web sobre seguretat específicament a WordPress, amb recomanacions i solucions tecnològiques per fer d’un blog un web molt més segur. Aquest blog es diu Blogsecurity.net, i concretament les recomanacions que he seguit són les següents:

  • crear la base de dades amb un usuari amb privilegis restringits. La instal·lació per defecte de WordPress recomana donar tots els privilegis als usuaris de la base de dades
  • establir un prefix generat a l’atzar per a les taules de la base de dades. Si no fom res en contra, WordPress posa a les taules el prefix wp_, la qual cosa facilita les coses a un possible atacant
  • canvia l’usuari admin per un altre. És fàcil saber per on s’accedeix a l’administració del blog. Si, a més, donem a l’atacant el nom d’usuari de l’administrador, només li queda atacar el password. Així que cal crear un nou usuari administrador, amb un altre nom, i després esborrar l’usuari ‘admin’.
  • restringir l’accés a les pàgines d’administrador a la IP estàtica que determinis. Si tens una IP dinàmicaés més complicat, però suposo que fàcilment pots restringir un rang d’IP.
  • protegir el directori d’administració amb un password

Tot plegat pot semblar una mica paranoic, però penso que són mesura amb sentit comú, que no costa gens implantar i que sempre ens poden estalviar alguns maldecaps. La veritat és que, a més, al web en qüestió n’hi ha força més, que de moment no he implementat. Potser ho faré més endavant! :)