Problemas en WordPress
Trasfondo:
WordPress (con su versión actual hasta la fecha de escritura de este documento, 4.2), es actualmente el CMS más usado del mundo, llegando al 58.7% en las estadísticas de uso del conjunto de sitios con CMSs conocidos en el 2015, esto es el 24.7% de todos los sitios web a nivel mundial(). Es decir, uno de cada 4 sitios utilizan WordPress.
Al ser tan popular, WordPress es víctima constante de búsqueda de vulnerabilidades y falencias que permitan a externos tener el control de la máquina, utilizándola para Black SEO, ataques hacia otras máquinas, envío masivo de spam, etcétera.
Es por esto que se deben tomar las medidas correspondientes para asegurar la seguridad y estabilidad de nuestros servidores.
Vulnerabilidades comunes relativas a WordPress
- Búsqueda/parseo de plugins e instalaciones desactualizadas
- Ataques Bruteforce
- Vulnerabilidades del XMLRPC
Consideraciones para WordPress
Antes de migrar a servidores propios
Revisión de versión
Es importante revisar la versión de WordPress que ingresará al servidor. Lo recomendado es que esté dentro de la última versión disponible.
Escaneo del sitio (maldet)
Antes de hacer deploy a un server, es recomendable escanear el desarrollo. Maldet (ver guía de Maldet)
Nota a la fecha: 15 Oct 2015: Actualmente no existe una instancia de staging, ni protocolo para pasar un sitio hacia desarrollo o a producción, por ende, este proceso se recomienda correrlo de forma local.
- Propuestas:
- Server sandbox
- Instancia de Docker (máquina virtual) que contenga el software necesario.
Sobre templates / plugins premium
Algo importante a revisar antes de migrar un sitio, es fijarse que si el sitio a hacer deploy posee templates y/o plugins premium, y si éstos poseen la licencia de uso o no.
Mientras que los plugins y templates utilizados de forma gratuita se pueden actualizar si se encuentran vulnerabilidades, los plugins premium son actualizables mediante una licencia. Es decir, si se le encuentran vulnerabilidades a un plugin premium, es muy difícil actualizarlo. Encima, los plugins premium siempre tienen muchas características adicionales (scripts propios de redimensión de imágenes, paneles completos y desarrollos grandes), aumentando la probabilidad de que tengan vulnerabilidades explotables.
Instalables
- Plugins
Medidas Post-instalación
Google Webmaster Tools
Google Webmaster Tools es una herramienta para encargados de sitios web, y controla muchos aspectos de la búsqueda de tu sitio en Google, básicamente, cómo Google te parsea, y qué hace con esos datos.
Al tener el sitio verificado con GWT , si Google detecta que tu sitio fue vulnerado, da alarmas y pasos para limpiarlo.
Otras medidas
Eliminación del XMLRPC
El archivo xmlrpc.php ubicado en la raíz de WordPress es la entrada para que WordPress se pueda conectar hacia distintos clientes remotos, también está encargado de revisar el pingback entre otras cosas. Debido a lo que hace, este archivo siempre es objetivo de ataques. Si no se utilizan estas features se puede eliminar fácilmente de la instalación.
Hardening WordPress
La guía oficial de WordPress para endurecer la seguridad de WordPress.