- -

Checklist de seguridad en sitios Wordpress


Esta checklist incluye las opciones de seguridad más habituales. En la lista se especifican los ítems necesarios, añadiendo algunos que se recomiendan y algunos opcionales que permiten asegurar más el sitio. Si no se indica nada, son ítems necesarios.

El administrador de Wordpress debe tener en cuenta que el Servicio de Webs Avanzadas ya proporciona:

  • Detección de malware conocido
  • Cortafuegos en el nivel de servicio web, con reglas de seguridad específicas para Wordpress.
  • Cortafuegos perimetral de la UPV.

Sin embargo, dada la situación de la UPV como institución pública española, puede ser objeto de ciberataques complejos que comprometerían la integridad de los datos y el servicio. Por tanto, las tareas de aseguramiento debe ser un esfuerzo conjunto de todos los actores implicados en el desarrollo de nuestros sitios web.

Reforzamiento básico de la seguridad de Wordpress

  • Verificar que está instalada la última versión de Wordpress.
  • Dejar sólo un tema instalado, de fuentes fiables, actualizado y con mantenimiento, más uno de reserva por si el sitio presenta problemas. Eliminar el resto de los temas.
  • Sólo plugins de fuentes fiables, actualizados, que no sean obsoletos o sin mantenimiento. Eliminar el resto de plugins.
  • Uso de contraseñas robustas.
  • Eliminación de cuentas de usuarios innecesarias.
  • Revisar que el sitio no tiene usuarios genéricos (admin, soporte, etc.). Eliminarlos y volver a crear los que se utilizan con otro nombre de usuario específico.
  • Revisar que los usuarios tienen el perfil adecuado a los permisos necesarios. Hay que minimizar las cuentas con perfil de administrador y limitar al resto de usuarios según su perfil.
  • Comprobar que los usuarios tienen definido su nombre. Evita que un atacante sepa qué cuentas puede atacar.
  • Ver si los usuarios con permisos de administración tienen activo 2FA. Muy recomendable. Aplicable con plugins de seguridad.

Exposición y superficie de ataque

  • Límite de intentos de acceso, para prevenir ataques de fuerza bruta. Se puede utilizar un plugin como Limit Login Attempts.
  • CAPTCHA en el formulario de acceso, recomendado.
  • URL de login protegida, opcional.
  • XML-RPC deshabilitado si no se utiliza, recomendado. Se puede deshabilitar mediante plugin.
  • Opciones de securización proporcionadas por WP-Toolkit en Plesk activadas.

Plugins de seguridad y WAF (cortafuegos de aplicación de Wordpress)

  • Plugin Wordpress que permita, mínimo, la implantación de reglas a nivel de aplicación para Wordpress (límite de intentos de acceso, XML-RPC, enumeración de usuarios, etc.) recomendado.
  • Configuración del plugin para envío de correos de monitorización. 

Copias de seguridad

  • Definir copias de seguridad mediante plugin, según la actividad de publicación del sitio.
  • Elegir un plugin que permita realizar copias de seguridad de archivos y/o de la base de datos de Wordpress (los archivos no varían tanto con el tiempo, mientras que la base de datos se puede llegar a actualizar varias veces al día.
  • Definir una política de retención que no llene el espacio en disco.
  • Posibilidad de almacenar las copias de seguridad en la nube, recomendado.
  • Realizar al menos una copia de seguridad completa off-site.

Monitorización (necesario si se implanta un plugin de seguridad)

  • El plugin de seguridad instalado registra intentos fallidos de login, modificación de ficheros, etc. Hay que revisar si se ha producido un ataque.