Hace pocos días Google anunciaba que iba a empezar a "castigar" a determinados sitios que no empleasen el protocolo HTTPS en sus comunicaciones, especialmente aquellos que implicasen transferencia de datos sensibles con el visitante.
El módulo Real Name no sólo es útil como una buena manera de visualizar los nombres de usuario de una manera mucho más amigable, también se convierte en una herramienta imprescindible para prevenir ataques de tipo Username Enumeration.
Antes de empezar con este post, es importante tener clara la respuesta a dos preguntas: ¿es Drupal seguro? y ¿estamos libres de ser atacados?. A esta primera pregunta debemos responder con rotundidad Sí, Drupal es seguro y cuenta con un amplio y dedicado equipo que trabaja exclusivamente en las políticas de seguridad, revisión del código y solución de vulnerabilidades.
En estos últimos días se está hablando mucho de seguridad en Internet como consecuencia del ciberataque que se ha sufrido a nivel mundial. Y siempre que el tema de la seguridad en la red adquiere protagonismo sale a la palestra la propia seguridad de los Content Management Systems.
En esta última entrada sobre cómo mejorar la seguridad de nuestra instalación de WordPress vamos a ver algunos aspectos que debemos tomar en consideración para no facilitar el trabajo de los amigos de lo ajeno. Y es que en muchas ocasiones les brindamos mucha más información de la que debiéramos y con ello les facilitamos en gran medida su "trabajo" y como verás, muchas de estas medidas cabrían dentro de ese gran conjunto de cosas que podríamos llamar "sentido común".
De una manera simplificada podríamos definir un ataque de fuerza bruta como aquel que consigue obtener la clave de acceso a nuestra instalación probando todas las combinaciones posibles hasta dar con la correcta. Este tipo de ataques pueden ser tan sencillos como probar con los usuarios y contraseñas más usados y fáciles de recordar, como puede ser "admin: 123456", o pueden ser realizados por complejos software que van combinando opciones de una librería preestablecidas con millones de posibilidades.
Dentro de un sistema global de gestión de contenidos se deben aplicar acciones específicas destinadas a la promoción de los mismos, ya que sin éstas una gran parte de los contenidos permanecerían inaccesibles o difícilmente accesibles para la mayoría de los usuarios.
La carpeta wp-content contiene todos los archivos de los temas, las imágenes y los plugins de nuestra instalación. WordPress no accede a esta carpeta vía HTTP, excepto para recuperar los archivos de imágenes, código javascript, css y xml. Por lo tanto debemos limitar el acceso a través de un navegador a todos los archivos que no sean los señalados anteriormente.
Normalmente asociamos el archivo wp-confing.php como aquel que almacena nuestras credenciales de acceso a la base de datos, lo que lo convierte en tremándamente importante a la hora de mejorar la seguridad de nuestra instalación de WordPress. Pero este archivo guarda también todos los aspectos de configuración de la herramienta como puede ser el prefijo que tendrán las tabas de la base de datos, la lengua de nuestra instalación, las revisiones de posts, las opciones de autoguardado, etc.
Tenemos nuestro sub-tema de Bootstrap activado en nuestra instalación de Drupal funcionando mediante jsDeliver CDN, lo cual implica que Drupal se conecta a un servidor remoto para cargar las librerías CSS y JS necesarias para nuestro tema, aspectos que tiene múltiples ventajas en cuanto a rapidez y seguridad, pero puede ser que queramos tener dichas librearías instaladas en nuestra máquina para poder trabajar más libremente con nuestro sub-tema.