Seguridad: formularios, acceso y contraseña


Quiero presentarte tres consejos muy simples de seguridad que ayudarán a mejorar mucho la protección de tu proyecto con WordPress.

El primero de ellos va a ayudarte a proteger los formularios y el abuso de los comentarios en entradas y páginas.

El segundo de ellos va a ayudarte a proteger el acceso a tu panel de administración de WordPress.

Y el tercero, va a ampliar la seguridad de tu contraseña para que, en caso de que alguien consiga descubrirla o se te haya olvidado poner una muy segura, siga sin poder acceder a tu proyecto.

Qué aprenderás

  1. El objetivo de este taller es que aprendas unas medidas básicas de seguridad para tu sitio web con WordPress.

Comprehension questions

  • Protege de abusos via formularios y comentarios.
  • Protege el acceso a tu panel de administración de WordPress.
  • Extiende la seguridad de tu contraseña y aprende cómo usar el sistema de Autentificación en dos pasos (2FA).

Transcript

Hola, soy Javier Casares y quiero presentarte tres consejos muy simples de seguridad que ayudarán a mejorar mucho la protección de tu proyecto con WordPress.

El primero de ellos va a ayudarte a proteger los formularios y el abuso de los comentarios en entradas y páginas.

El segundo de ellos va a ayudarte a proteger el acceso a tu panel de administración de WordPress.

Y el tercero, va a ampliar la seguridad de tu contraseña para que, en caso de que alguien consiga descubrirla o se te haya olvidado poner una muy segura, siga sin poder acceder a tu proyecto.

¡Comenzamos!

Protección de formularios

WordPress permite que las entradas del blog, e incluso las páginas, tengan una zona donde los usuarios pueden añadir comentarios; y, aunque esta funcionalidad es genial, es posible que alguien quiera abusar de ella.

Es por esto por lo que, dentro del panel de administración de WordPress, en la sección de Ajustes, y allí, en Comentarios, tenemos una zona donde poder añadir una lista de palabras rechazadas en comentarios.

Seguro que te estás preguntando cuál es la lista de palabras a añadir. Hay muchas listas de palabras a bloquear, pero lo mejor es que hay algunos plugins que te ayudan a añadir y mantener esta lista de palabras automáticamente.

Una de las listas más famosas es pública y está en Comment Blacklist for WordPress, dentro de Github, de la que varios plugins hacen uso.

Uno de los plugins que usa esta lista de palabras prohibidas y nos ayudará a mantenerla es Blacklist Updater.

Protegiendo el panel de administración

Muchas personas creen que uno de los problemas de seguridad más graves que puede haber en cualquier sistema es el de la zona de usuario y contraseña, y la quieren ocultar de cualquier manera; eso no es necesario, pero sí que hay que aumentar su protección contra abusos.

WordPress tiene la pantalla de “login” en la que has de poner tu usuario o correo y contraseña para acceder. Que la gente conozca tu usuario no es problema, todo el mundo sabe cuál es mi cuenta de correo para escribirme, o puede saber mi nombre de usuario, pero lo importante es la contraseña.

La situación en la que sí que nos podemos encontrar es un ataque de fuerza bruta. Como se puede saber el usuario, muchos robots intentan probar miles y miles de contraseñas que existen por Internet, y esto es lo que hemos de proteger: si alguien intenta probar muchas veces una contraseña y falla, hemos de impedir que pueda seguir intentándolo.

Existen muchas formas de proteger estos ataques, normalmente mediante un cortafuegos, aunque hay formas mucho más sencillas.

Un ejemplo es el de limitar los intentos y, para esto, podemos usar algún plugin que lo controle. Existen muchos plugins que hacen esta función. Sólo has de buscar [limit login] en el buscador de plugins y elegir el que mejor se adapte a tus necesidades.

En cualquier caso, la mayoría de estos plugins te permiten configurar tras cuántos intentos bloquear el acceso. Por ejemplo, si alguien prueba 3 veces la contraseña y falla, no lo podrá intentar más durante media hora… y si tras esto, siguen probando y sigue fallando, los puede bloquear durante días.

Seguridad de tu contraseña

¿Cómo sé si mi contraseña es segura? A nadie le gusta tener una contraseña muy difícil… tan difícil que tiene letras en mayúscula, letras en minúscula, números y símbolos que no somos capaces de recordar y, es verdad, tenemos tantas contraseñas en la cabeza que a veces es mejor simplificar, pero manteniendo las contraseñas seguras. ¿Cómo se consigue esto? Muy sencillo, con contraseñas largas.

Es cuestión de matemáticas, pero no te preocupes que no las voy a explicar. En general, es mejor una contraseña larga, pero fácil de recordar, que no una contraseña corta y complicada de recordar.

Un ejemplo es el que ves por pantalla, con una contraseña corta y aparentemente muy complicada, y otra mucho más larga pero sencilla de recordar:

contraseña corta: Wf#6fxH5

contraseña larga: SiDonCurroAhorraAhoraAhoraAhorraDonCurro

En el primer caso estamos hablando de una posibilidad entre varios billones de resultados. En el segundo, estamos hablando de una posibilidad entre varios trillones de resultados.

Sin duda es más fácil que te acuerdes de la segunda contraseña, aunque sea todo un trabalenguas.

Pero si esto no fuera poco e imagínate que, por lo que sea, tu contraseña se filtra, siempre has de aplicar un segundo factor de autenticación, una contraseña que se genera en tiempo real, de forma aleatoria y que sólo dure un breve periodo de tiempo.

De esta forma, entrarás en tu WordPress poniendo el usuario y contraseña que sólo tú deberías conocer, y una vez se haya validado que es correcto, te preguntará una segunda contraseña que conseguirás en ese momento y que sea muy fácil, tan fácil que normalmente son 6 números. Este sistema es el 2FA o segundo factor de autenticación.

Para conseguirlo puedes utilizar el plugin de la Comunidad WordPress llamado Two Factor y que permite activar esta funcionalidad en tu perfil. Sin duda, si eres Administrador o Editor de tu proyecto WordPress, deberías tener activada esta funcionalidad que te mandará un correo con tu contraseña o generará el código con una aplicación en tu dispositivo móvil, e incluso mediante una llave de seguridad.

Espero que estos tres consejos te sean de utilidad y ayuden a mejorar la seguridad de tu proyecto WordPress.

Workshop Details



Presenters

Javier Casares
@javiercasares

WordPress Hosting Team Rep. WordPress 1.5 was my first!