Secure WordPress: oculta información que puede ser útil para un atacante

Secure WordPress (descarga) es un plugin creado por el equipo de WebsiteDefender que permite ocultar de forma sencilla información que puede ser útil para un atacante que quiera comprometer el sitio:

panel plugin secure wordpress

A continuación explicaré brevemente las opciones disponibles, cabe mencionar que los mismos resultados se pueden obtener de forma manual metiendo mano en el código, pero este plugin facilita bastante la tarea.

– Mensaje de error: permite ocultar los mensajes de error en el login como, por ejemplo, “El usuario es incorrecto” o “La contraseña que introdujo para el usuario admin no es correcta”. Esto ayuda a mantener los usuarios del blog “ocultos” y así evitar ataques de fuerza bruta, aunque se pueden obtener de otras formas como el id (?author=id).

– Versión de WordPress: ocultar la versión de WP es útil para evitar que se aprovechen vulnerabilidades conocidas de la plataforma, aunque esto se puede mitigar manteniendo la instalación siempre actualizada. Estas opciones ocultan la versión en el código fuente, las URLs de scripts y estilos, el feed y del escritorio a todos los usuarios que no son Administradores.

Lo que no hace el plugin es eliminar el archivo readme.html, se genera por defecto en cada instalación e incluye la versión de WordPress. Conviene eliminarlo manualmente:

archivo readme wordpress

– Index.php: crea un archivo index.php en las carpetas /plugins/ y /themes/ para evitar el listado de esos directorios, es decir, que se pueda ver su contenido en el navegador. La opción es útil si los archivos no están presentes, aunque por defecto WP los incluye:

index Silence is golden

Sin embargo, en otras carpetas dentro de /plugins/ y /themes/ pueden no estar presentes y ahí los contenidos quedarían accesibles para cualquiera. Para evitarlo simplemente hay que agregar la línea Options -Indexes en el archivo .htaccess.

Esto genera un error 403 o de acceso denegado que muestra una página en blanco, también se pueden personalizar agregando otra línea: ErrorDocument 403 «Mensaje personalizado aquí»

– Really Simple Discovery y Windows Live Writer: estas son opciones que facilitan la publicación de contenidos desde editores externos. Al marcarlas se eliminan dos líneas de código en la cabecera del blog (wp_head) que no tienen ninguna utilidad si siempre se utiliza el editor web.

– Mensajes de actualización: se ofrecen 3 opciones que eliminan los mensajes de actualización del escritorio para los usuarios que no son Administradores del blog.

– Bloqueo de peticiones maliciosas: como el nombre lo indica, rechaza cadenas de código extrañas que se escriban en la URL para aprovechar vulnerabilidades. El funcionamiento se basa en la idea de Jeff Starr y el plugin BBQ: Block Bad Queries.

WebsiteDefender también ofrece otro plugin muy parecido llamado WordPress Security (descarga), tiene las mismas opciones y agrega dos nuevas para desactivar los mensajes de error generados por la base de datos y PHP, aunque no incluye la última funcionalidad para bloquear peticiones maliciosas. Además incluye un generador de passwords y una herramienta para realizar backups de la base y cambiar su prefiijo por defecto (wp_):

plugin WebsiteDefender WordPress Security

En la captura se puede ver que la mayoría de las opciones aparecen desactivadas pero en realidad las protecciones se activan de forma automática al instalar el plugin, el mensaje disabled es un error del panel. En el foro de soporte los desarrolladores comentan que se solucionará en la próxima versión.

También muestra alertas de seguridad relacionadas con la configuración y se puede integrar con el servicio de pago ofrecido por WebsiteDefender para monitorear el sitio:

alertas del plugin WordPress Security

Por último recomiendo otro plugin de WebsiteDefender, se llama WP Security Scan (descarga), muestra alertas de configuración, permite generar passwords fuertes, cambiar el prefijo de la base de datos y lo mejor de todo incluye un scanner que monitorea los permisos de varios archivos y directorios críticos de WordPress:

scanner WP Security Scan

Espero que la información resulte de utilidad, no vale la pena utilizar los 3 a la vez dado que muchas de las funciones se repiten. Además si se han hecho cambios manuales no tendría sentido instalar un plugin que hace lo mismo, así que ustedes sabrán lo que conviene más. Estos plugins no van a dejar al sitio más lento o algo por el estilo, pero cuanto menos plugins se instalen es mejor para no sobrecargarlo.

Si quieren ver más plugins de seguridad para WordPress les recomiendo este artículo de DaboBlog donde se recopilan varios, también uno que escribí hace algún tiempo para detectar vulnerabilidades en WP.

11 comentarios en «Secure WordPress: oculta información que puede ser útil para un atacante»

  1. Hola, te pregunto si me podrás orientar con respecto a unos archivos ‘core’, me empezaron a aparecer en mi sitio y no se como detectar la aplicación que los genera (pesan unos 75 mb ayer había 44 de estos! ), los del host dicen que el servidor no los está generando, alguna sugerencia? Gracias de antemano!

    Responder

Deja un comentario