La seguridad, un esfuerzo permanente!

Todos los días se aprende, hace unos días tuve un problema de seguridad con mi sitio, Pedro Huichalaf, ex Subsecretario de Telecomunicaciones de Chile, me comentó (por interno):

 

“hola Alejandro… una duda,… es idea mía o se metieron a un artículo de tu blog y lo hackearon? http://www.alejandrobarros.com/spy-html/

 

Aviso que le agradezco a Pedro, ya estaba hace unos días, teniendo algunos problemas de seguridad en mi sitio.  Afortunadamente el daño fue poco, sólo un post, y recuperar la situación fue algo menos compleja de lo que pensé originalmente.

La verdad es que después de 11 años que tengo este espacio en la web, nunca había sufrido una situación como esta.

 

Como lo comentaba, llevo 11 años con este sitio, es primera vez que me pasa algo así, lo cual se debe a que probablemente las plataformas que utilicé antes, me refiero a Blogger   y Bligoo, tenían una gestión bastante más certera en términos de seguridad.  Hace ya un tiempo, esto es, en junio de 2016, tuve que cambiar a una nueva plataforma basada en WordPress, debido a que Bligoo iba a descontinuar su servicio.

 

Desde que partí con WordPress, el tema de seguridad ha sido todo un tema, y requiere de bastante preocupación, de hecho el tema de seguridad en WordPress tiene bastante atención y muchos antecedentes en la web, pueden ver algunas recomendaciones aquí.

 

En mi caso el problema fue un plugin poco seguro lo que permitió modificar un post, tuve revisar todos los plugin instalados, modificar algunos e instalar algunas herramientas de seguridad (como diría un amigo mucho cloro y una buena sanitización), en particular establecer el monitoreo de algunas acciones, por ejemplo ataques de fuerza bruta y bloquear direcciones IP.  Lo que llama la atención es la cantidad de intentos por día, diariamente recibo entre 20 y 30 mails diarios de bloqueos de direcciones IP.

 

 

Conversando este tema con @lnds (Eduardo Díaz) me comentó que una alternativa es cambiarse a otros CMS con mejores atributos de seguridad que WordPress, alternativa que estoy evaluando.

 

La lección aprendida al menos en mi caso:

 

  • Mantener respaldo del contenido actualizado.
  • Evaluar muuuuucho los plugins a instalar (la menor cantidad, sólo los necesarios) y actualizar en forma permanente.
  • Mantener WordPress en su última versión.
  • Cambiar claves en forma regular, idealmente con patrones robustos, así como cambiar los usuarios y páginas por defecto.
  • Buscar hosting que tengan buenas prácticas de seguridad

 

Y probablemente la principal lección aprendida

 

Nunca se puede dar por terminado, hay que estar permanentemente revisando y chequeando las diferentes componentes del sitio.

 

Ahora bien, es muy habitual que este tipo de plataformas esté hosteada en algún lugar al cual el usuario (cliente) final no pueda acceder para verificar su nivel de seguridad, es por ello que al momento de seleccionar el hosting se debe evaluar si tienen buenas prácticas de securitización y actualización del software base (sistema operativo, bases de datos y otros), tareas que habitualmente no depende del usuario final del WordPress.