22 Jul Los tres pilares del mantenimiento de seguridad para una web en WordPress
Disponer de una web con un gestor de contenidos (WordPress o cualquier otro) facilita las tareas de administración, al poner a disposición del usuario herramientas que permiten actualizar prácticamente cualquier aspecto relacionado con la información que publicamos y la forma como la presentamos. Estas herramientas de administración de contenidos las ofrece el mismo motor del gestor de contenidos, o bien se incorporan como extensiones (plugins) para mejorar o ampliar las funcionalidades de base.
Disponemos por tanto de una puerta de entrada a la gestión integral de nuestra web, lo que supone un riesgo de cara a posibles ataques por parte de terceros (hackers) . Si uno de estos hackers consigue hacerse con el control de nuestro gestor de contenidos, puede incorporar código malicioso para llevar a cabo diferentes tareas, tales como generar spam utilizando los recursos de nuestro servidor suplantando nuestra identidad , o incluso puede decidir borrar los contenidos que con tanto esfuerzo hemos ido creando a lo largo del tiempo para mejorar nuestra reputación en Internet y fidelizar a nuestros usuarios.
Por fortuna, hay una serie de acciones que se pueden (y es necesario) hacer para minimizar el riesgo de sufrir uno de estos ataques y, en caso de que se produzca, poder reaccionar rápidamente para subsanarlo.
En la fase de desarrollo, es importante programar, configurar y publicar la web con una serie de premisas que aporten un mínimo de seguridad al gestor de contenidos. Nos centraremos en este tema en una próxima entrada en nuestro blog. En Aronanet somos muy conscientes de la importancia de una programación orientada a la seguridad y trabajamos siguiendo un listado de buenas prácticas que verificamos antes de la entrega del proyecto.
Es la fase posterior a la publicación inicial, el mantenimiento, la más importante para evitar posibles ataques. Una vez tenemos la web en marcha el tiempo juega en contra de la seguridad del sistema . Los hackers están constantemente estudiando la forma de aprovechar posibles vulnerabilidades del motor del gestor de contenidos y las extensiones. Cuando consiguen encontrar la forma de acceder a una determinada versión rápidamente los desarrolladores aplican mejoras que resuelven el problema, pero hay que mantener el sistema siempre actualizado a la última versión para que sean efectivas.
También es necesario realizar una revisión constante del uso que se hace de la web. Existen extensiones que monitorizan los accesos y los intentos de acceder al sistema de forma fraudulenta, bien desde el formulario de entrada al gestor, bien buscando alguna vulnerabilidad en el sistema. Es importante estar atento a las alertas que se generan fruto de esta monitorización, para reforzar la seguridad de determinados componentes del sistema o bien para reaccionar inmediatamente en caso de que el ataque haya resultado con éxito .
Y si esto ocurre, es imprescindible disponer de un buen sistema de copias de seguridad para poder restablecer el servicio lo más rápido posible, evitando así que nuestros clientes o visitantes puedan verse afectados, manteniendo así una buena imagen de empresa. Estas copias se realizarán con la periodicidad necesaria, tanto de la base de datos como de los archivos de toda la web, e idealmente deben almacenarse fuera del entorno donde se publica la web (en la nube). Además, es importante garantizar que estas copias son válidas, haciendo restauraciones de forma periódica en un entorno de desarrollo.
En resumen, los tres pilares del mantenimiento de seguridad de una web con gestor de contenidos WordPress serían:
- Actualización constante del sistema: aplicar las actualizaciones, comprobar la correcta instalación de las mismas y el correcto funcionamiento de la web una vez aplicadas.
- Monitoreo: Vigilancia activa de los accesos a la web e intentos de ataques por parte de terceros. Escaneos periódicos para detectar posibles vulnerabilidades o ficheros del sistema que hayan podido ser modificados. Revisar en tiempo real las alertas generadas y reaccionar si es necesario con acciones preventivas.
- Copias de seguridad: Programar, custodiar y comprobar las copias de seguridad de la base de datos y archivos de la web. En caso de necesidad, restauración de la última versión válida almacenada.
Sorry, the comment form is closed at this time.