Tag Archives: Seguretat

Consells de seguretat a WordPress

Per | 20 gener 2014

Un dels problemes per als qui tenim un o més blogs hostatjats en el propi servidor és mantenir-lo segur. Sí, ja sé que la seguretat en informàtica (i en res) no existeix (“la seguretat és un estat mental”…).

wp-segurHi ha diversos motius pels quals hi ha gent que vol prendre el control del nostre WordPress, i d’això ens hem de defensar. Ahir em vaig llevar i tenia més de 400 missatges electrònics que m’alertaven d’intents d’accedir al tauler d’administrador d’aquest blog. En un parell d’hores ja en tenia més de 600, i això que ja estava bloquejant les IP que feien tres intents fallits per autenticar-se… Per sort, ho tenia ben configurat, però després vaig afegir-ne més (l’últim dels passos que descric a sota) i vaig tallar-los la possibilitat de ni tan sols arribar a la pàgina d’autenticació.

Com podem protegir, un WordPress?

  • No utilitzar “admin” com a nom d’usuari, ni cap altre que pugui ser deduïble (el propi nom, “administrador”, etc.). Si ja tens el WordPress instal·lat, pots canviar-lo anant a PhpMyAdmin i executar aquest codi:
    UPDATE wp_users SET user_login = 'Nou_usuari' WHERE user_login = 'Admin';
  • Utilitza una contrasenya segura. A aquestes alçades ja se sap que segura vol dir que no sigui curta (mínim 7 caràcters) i que contingui: caràcters en minúscula, majúscula, números i símbols. Si voleu comprovar si la vostra contrasenya és forta, ho podeu fer en aquest web. També podeu seguir alguns consells sobre com crear-ne de segures i poder-les recordar.
  • Quan instal·lem WordPress, hem de canviar el prefix de les taules de la base de dades en el fitxer config.php. Per defecte ve wp_ i es recomana posar-ne un més complex.
  • Mantenir WordPress actualitzat. D’acord, fer actualitzacions de vegades és pesat, i algun cop és buscar-se problemes per la compatibilitat de les extensions… Però les versions antigues solen tenir vulnerabilitats que poden ser explotades per fer malifetes. I recordeu que des de la versió 3.7 WordPress permet autoactualitzar-se. No cal fer res més que escriure els paràmetres de l’ftp i dir-li que ho faci ell. A mi mai m’ha fallat, ni ens instal·lacions simples ni en multisite. :)
  • Instal·lar una extensió de còpies de seguretat. N’hi ha de gratuïtes i de pagament. Jo ara faig servir BackWPup, que és gratuïta, permet planificar-ne l’execució amb cron i desar les còpies a Dropbox. Permet, també, fer còpies dels arxius, extensions i base de dades, i tot comprimit amb gzip.
  • Instal·lar alguna extensió de seguretat. Fa temps que faig servir Wordfence, que actua en diversos sentits. Fa de tallafocs i permet bloquejar la IP dels usuaris que fan diversos intents fallits. Permet llistes blanques i negres i definir polítiques específiques per als robots dels cercadors. També funciona bé Simple Login Lockdown.
  • Finalment, cal configurar l’arxiu .htacces. Aquest arxiu, que és al directori arrel de la instal·lació de WordPress fa de filtre entre el servidor i les dades que arriben i se’n van. Això ens permet fer meravelles, com reanomenar URL o filtrar usuaris. Basat en això últim, és com jo vaig aturar l’atac, ja que treballo amb IP fixa, i això ho facilita molt. Cal afegir al principi de l’.htacces del directori arrel el següent:
# Restringir quines IP poden anar a la pàgina de login. Atenció: utilitzeu-lo NOMÉS si teniu IP fixa:

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from xxx.xxx.xxx.xxx
</Files>

# Restringir quines IP poden anar a la pàgina de wp-admin:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

<Files .htaccess>
order allow,deny
deny from all
</Files>

Microsoft i els seus clients

Per | 4 gener 2008

En principi no tinc gaire intenció de parlar en aquest blog de programes locals, és a dir, els que s’executen als ordinadors personals, i sí d’Internet. Però avui he llegit una notícia que mostra com l’empresa Microsoft (que ha signat recentment sengles contractes multimilionaris amb la Generalitat de Catalunya i l’Ajuntament de Barcelona) tracta els seus propis clients.

NO MSLa notícia en qüestió explica que l’última actualització de Windows Vista impedeix que el Word, l’Excel i el Powerpoint puguin obrir arxius de Word, Excel i Powerpoint guardats amb una versió antiga del mateix programa. Això vol dir que qualsevol persona que fa uns anyets (potser uns mesos) es va gastar els seus diners per comprar-se la llicència d’un Windows i d’un MSOffice, ara es troba que si no es gasta més diners per actualitzar-los cada vegada s’anirà quedant més aïllada, ja que cada dia menys gent podrà llegir els arxius que faci. El motiu? La seguretat. Microsoft diu que els seus propis arxius de fa ben poc temps eren insegurs, i que obrir-los podria comprometre la seguretat.

Curiosament, si obrim aquests mateixos arxius amb OpenOffice, l’alternativa lliure, no tenim cap problema de seguretat. Potser podem entendre, doncs, aquest gest de Microsoft com un intent de fer xantatge als seus propis clients perquè els compri els seus productes…