En Fixu, uno de los temas más importantes en el desarrollo de sitios web es la ciberseguridad. Es por eso que nos llevamos muy bien con la contraparte de TI de nuestros clientes, quienes se sienten seguros con nuestras buenas prácticas de seguridad y formas de gestionar y mantener los sitios web.
En este artículo, queremos compartir las acciones de seguridad que implementamos en cada sitio web WordPress que administramos para garantizar su integridad y protección.
Actualizaciones y Monitoreo
Mantener el software actualizado es fundamental para prevenir vulnerabilidades. Por ello, realizamos:
- Actualización constante del core de WordPress y plugins.
- Actualización de paquetes y updates del servidor.
- Monitoreo activo del uptime del sitio.
- Soporte HTTPS con monitoreo de SSL y renovación automática.
Protección contra Ataques
Implementamos diversas capas de protección para evitar ataques maliciosos:
- Implementación de Cloudflare para protección contra ataques DDoS.
- Medidas antispam efectivas:
- Bloqueo de listas negras de palabras clave.
- Uso de la técnica HoneyPot para asegurar envíos de formularios.
- Recaptcha
- Modificación de la URL de login tradicional de WordPress.
- Cambio del prefijo por defecto de las tablas de la base de datos.
Seguridad del Login y Gestión de Usuarios
Para proteger las credenciales de acceso y gestionar usuarios de manera segura, aplicamos:
- No usar “admin” como nombre de usuario.
- Ocultar parámetros de URL que muestren el nombre del usuario (‘/?author=N’).
- Advertencia y prevención de contraseñas no seguras para administradores.
- No revelar usuarios válidos en errores de login.
- Deshabilitación de contraseñas de aplicación de WordPress.
- Bloqueo de solicitudes con “User-Agent” y “Referer” vacíos.
Firewall y Escaneos de Seguridad
Implementamos un robusto sistema de firewall y escaneos continuos para detectar y mitigar amenazas:
- Implementación de Firewall a través de Wordfence:
- Notificaciones activas en caso de cualquier alerta.
- Ocultar la versión de WordPress.
- Deshabilitación de la ejecución de código en la carpeta de uploads.
- Protección contra:
- Inyección SQL
- XSS: Cross Site Scripting
- LFI: Local File Inclusion
- XXE: External Entity Expansion
- Fuerza bruta en intentos de login y recuperación de contraseña.
- Escaneos constantes de archivos en el servidor para:
- Detectar configuraciones mal configuradas.
- Identificar archivos de configuración, respaldo o registros públicamente accesibles.
- Detectar archivos en cuarentena públicamente accesibles.
- Comparar archivos principales, de temas y plugins contra versiones del repositorio para detectar cambios.
- Identificar archivos no incluidos con WordPress en wp-admin y wp-includes.
- Buscar firmas de archivos maliciosos conocidos.
- Analizar contenido de archivos en busca de puertas traseras, troyanos y código sospechoso.
- Detectar URLs maliciosas en archivos, publicaciones y comentarios.
- Verificar opciones del núcleo de WordPress, plugins y temas en busca de contenido sospechoso.
- Identificar plugins, temas y versiones de WordPress desactualizados, abandonados y vulnerables.
- Detectar usuarios administradores sospechosos creados fuera de WordPress.
- Verificar la fortaleza de las contraseñas.
- Monitorear el espacio en disco.
- Monitorear el estado del Firewall de Aplicaciones Web.
- Escanear archivos fuera de la instalación de WordPress.
Medidas de Seguridad Adicionales
- Escaneo de archivos principales contra versiones del repositorio para detectar cambios.
- Escaneo de archivos de temas y plugins contra versiones del repositorio para detectar cambios.
- Escaneo de wp-admin y wp-includes en busca de archivos no incluidos con WordPress.
- Monitoreo constante del espacio en disco y del estado del Firewall de Aplicaciones Web.
- Escaneo de publicaciones y comentarios en busca de URLs peligrosas conocidas y contenido sospechoso.
- Verificación de la fortaleza de las contraseñas de los usuarios.
- Escaneo de opciones del núcleo de WordPress, plugins y temas en busca de URLs peligrosas conocidas y contenido sospechoso.
- Escaneo de archivos fuera de la instalación de WordPress.
Estas acciones nos aseguran una protección integral del sitio web, abarcando actualizaciones constantes, monitoreo activo, protección contra ataques y escaneos de seguridad detallados. En Fixu nos comprometemos a mantener sitios web seguros y protegidos contra cualquier amenaza, permitiendo que nuestros clientes se concentren en lo que mejor hacen: hacer crecer sus negocios.