Hace pocos días Google anunciaba que iba a empezar a "castigar" a determinados sitios que no empleasen el protocolo HTTPS en sus comunicaciones, especialmente aquellos que implicasen transferencia de datos sensibles con el visitante.
El módulo Real Name no sólo es útil como una buena manera de visualizar los nombres de usuario de una manera mucho más amigable, también se convierte en una herramienta imprescindible para prevenir ataques de tipo Username Enumeration.
Antes de empezar con este post, es importante tener clara la respuesta a dos preguntas: ¿es Drupal seguro? y ¿estamos libres de ser atacados?. A esta primera pregunta debemos responder con rotundidad Sí, Drupal es seguro y cuenta con un amplio y dedicado equipo que trabaja exclusivamente en las políticas de seguridad, revisión del código y solución de vulnerabilidades.
En esta última entrada sobre cómo mejorar la seguridad de nuestra instalación de WordPress vamos a ver algunos aspectos que debemos tomar en consideración para no facilitar el trabajo de los amigos de lo ajeno. Y es que en muchas ocasiones les brindamos mucha más información de la que debiéramos y con ello les facilitamos en gran medida su "trabajo" y como verás, muchas de estas medidas cabrían dentro de ese gran conjunto de cosas que podríamos llamar "sentido común".
De una manera simplificada podríamos definir un ataque de fuerza bruta como aquel que consigue obtener la clave de acceso a nuestra instalación probando todas las combinaciones posibles hasta dar con la correcta. Este tipo de ataques pueden ser tan sencillos como probar con los usuarios y contraseñas más usados y fáciles de recordar, como puede ser "admin: 123456", o pueden ser realizados por complejos software que van combinando opciones de una librería preestablecidas con millones de posibilidades.
La carpeta wp-content contiene todos los archivos de los temas, las imágenes y los plugins de nuestra instalación. WordPress no accede a esta carpeta vía HTTP, excepto para recuperar los archivos de imágenes, código javascript, css y xml. Por lo tanto debemos limitar el acceso a través de un navegador a todos los archivos que no sean los señalados anteriormente.
Normalmente asociamos el archivo wp-confing.php como aquel que almacena nuestras credenciales de acceso a la base de datos, lo que lo convierte en tremándamente importante a la hora de mejorar la seguridad de nuestra instalación de WordPress. Pero este archivo guarda también todos los aspectos de configuración de la herramienta como puede ser el prefijo que tendrán las tabas de la base de datos, la lengua de nuestra instalación, las revisiones de posts, las opciones de autoguardado, etc.
En todos los sistemas software, los diversos archivos y directorios que los conforman poseen permisos que especifican quién o qué puede leer, escribir, modificar o acceder a ellos. Los sistemas de permisos ocupan un lugar destacado en la protección de nuestra instalación de WordPress y debemos comprobar tras su instalación que dichos permisos se encuentran debidamente configurados.
Existen tres entidades predefinidas a las que se les puede asignar un determinado permiso:
Cuando instalamos WordPress en nuestro servidor, propio u hospedado, debemos tomar algunas precauciones básicas para protegerlo contra "usuarios no deseados". El primer paso que debemos realizar si queremos tener nuestra instalación protegida es impedir que un usuario externo liste los ficheros de un determinado directorio y esto lo conseguimos insertando una pequeña línea en el archivo ".htaccess".
Los ataques denominados como Cross-site request forgery (XSRF o CSRF) son poco conocidos y están poco documentados porque son llevados a cabo por usuarios legítimos, es decir, por usuarios que son al mismo tiempo victimas y que son usados por el atacante para realizar una acción en un determinado sitio web.