Asegurando Wordpress V: copias de seguridad

Las copias de seguridad son una de las principales barreras de seguridad y para proteger Wordpress también es fundamental realizar copias de seguridad de forma regular.



En las anteriores entregas de esta serie hemos visto como la seguridad debe de estar presente desde los primeros pasos de la instalación, en este caso, de Wordpress. Si llevamos a cabo todos los pasos indicados hasta ahora en las anteriores entregas, llegaremos a un punto en el cual tendremos una instalación limpia de Wordpress, es decir, una instalación con las opciones y complementos básicos incluidos en Wordpress, y sin ningún tipo de personalización o añadido que modifique la configuración básica, salvo aquellos aspectos que se han visto en anteriores entregas y que están relacionados exclusivamente con la seguridad.

Llegados a esta fase, es muy interesante y recomendable realizar la primera copia de seguridad de la instalación de Wordpress, de forma que sea posible volver a este punto si se produce algún problema durante la instalación de añadidos, complementos, temas o personalizaciones en el sitio.

Contenido de la copia de seguridad
La copia de seguridad de Wordpress, para que sea completa debe de incorporar dos elementos que indicamos a continuación:

•Copia de seguridad de la base de datos, incluyendo todas las tablas con los datos, sean o no propias de Wordpress, como ocurre en el caso de los plugins de Wordpress, que en ocasiones necesitan crear tablas adicionales.

•Copia de seguridad del directorio de Wordpress, donde se ha realizado la instalación del sitio. La copia de seguridad deberá de incluir el núcleo (core) de Wordpress, temas, código adicional, plugins, etc, en definitiva, todo el directorio de la instalación completo.

Para la realización de la copia de seguridad se puede usar un método manual o más o menos automatizado. Para esta entrega, vamos a explicar el proceso de copia de seguridad a través de un método clásico y más manual. En una entrega posterior de esta serie, aprenderemos a realizar las copias de seguridad mediante plugins o complementos de terceros que facilitan esta labor.

Copias de seguridad mediante consola de comandos
Para la realización de las copias de seguridad manuales de Wordpress necesitamos abrir una consola (Shell) para conectarlos al servidor mediante Telnet o Ssh.

En caso que el servidor no permita la conexión a través de Ssh, realizaremos la conexión mediante Telnet y además necesitaremos acceder mediante FTP para la descarga de los ficheros generados durante la copia de seguridad.

Para la copia de seguridad de la base de datos, seguimos los siguientes pasos:

•Paso 1.Abrimos una consola (Shell) y accedemos por Telnet o SSH al servidor donde se encuentra el gestor de base de datos.


•Paso 2. Lanzamos el comando que nos permite realizar la copia de seguridad de la base de datos seleccionada, mediante el comando mysqldump, perteneciente a MySQL.
mysqldump -h [servidor] -u [usuario] -p [base de datos] > fichero.sql
El resultado será un fichero SQL que contendrá las sentencias necesarias para llevar a cabo una restauración de la base de datos.

•Paso 3. Localizamos el directorio donde se encuentra la instalación de Wordpress en el servidor.

•Paso 4. A continuación realizamos un comando para comprimir el directorio y todo su contenido en un único fichero, tal y como se muestra a continuación:
tar -zcvf nombre-archivo.tar.gz nombre-directorio
El resultado será un fichero empaquetado que contendrá todo el sitio de Wordpress.

•Paso 5. Finalmente, el último paso consistirá en la descarga de ambos ficheros, el fichero SQL de la base de datos y el fichero comprimido de Wordpress mediante FTP o FTP sobre SSH, al ordenador. El conjunto de estos dos ficheros constituirá la copia de seguridad de Wordpress.

Para la descarga por ftp, usamos los siguientes comandos:
Conexión al servidor ftp: ftp servidor.comPara descarga de ficheros: get nombre-archivo.tar.gz

Para la descarga por FTP sobre SSH (SFTP), usamos los siguientes comandos:
Conexión al servidor ssh: sftp USC username@usc-host/pre>Para descarga de ficheros: get nombre-archivo.tar.gz

En relación con el proceso de copia de seguridad, desde INTECO-CERT se recomienda realizar la copia de seguridad de forma regular o si se van a añadir nuevos complementos o funcionalidades. Por otro lado, es muy recomendable, mantener una copia de seguridad fuera del servidor, de forma que en caso de fallo del servicio de hosting, sea posible replicar el sitio en otro proveedor.

Fuente: http://cert.inteco.es/cert/Notas_Actualidad/asegurando_wordpress_v_copias_seguridad_20120622?origen=boletin

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

El Modelado de Amenazas de Seguridad

Imagen
El Modelado de Amenazas de Seguridad es un proceso para la evaluación y documentación de los riesgos de seguridad de un sistema. El Modelado permite comprender el perfil de amenazas a las que está expuesto un sistema, mediante una evaluación a través de los ojos de sus potenciales enemigos. Con técnicas tales como la identificación de puntos de entrada, fronteras de privilegios y árboles de amenazas, se pueden identificar estrategias para mitigar las posibles amenazas del sistema. El Modelado de Amenazas también permitirá la justificación de la implementación de las características de seguridad dentro de su sistema, o las prácticas de seguridad para utilizarlo, para la protección de los activos de la empresa. En el mundo de componentes distribuidos el compartir datos sensibles a través de las redes a significado un aumento de la exposición a los atacantes hambrientos por sus datos. Necesita crear un modelo de seguridad firme para beneficiarse de la visión de .NET de una informática tot
Leer más

¿Como atacar Kerberos?

Introducción En este artículo de Kerberos, se mostraran algunos ataques contra el protocolo. En caso de necesitar refrescar los conceptos en que se basan estos ataques, se recomienda leer primero la primera parte sobre teoría de Kerberos . El post se divide en una sección por ataque: Kerberos brute-force ASREPRoast Kerberoasting Pass the key Pass the ticket Silver ticket Golden ticket Los ataques están ordenados por el nivel de privilegios necesarios para realizarlos, de manera ascendiente. De este modo, para llevar a cabo los primeros ataques solo hace falta tener conectividad con el DC (Domain Controller), que en el caso de AD (Active Directory) es también el KDC (Key Distribution Center). Sin embargo, el último de los ataques requiere que se posean privilegios de Domain Administrator o similares. Como añadido, cada ataque se mostrará desde la perspectiva de 2 escenarios comunes: Máquina Linux : Desde un ordenador externo al dominio, controlado por el audito
Leer más

Trámites a Distancia: Serie de vulnerabilidades permiten el acceso a datos personales de terceros

Imagen
INTRODUCCIÓN La información provista este documento tiene com único fin lograr evitar que nuestra información personal pueda ser accedida por usuarios malintencionados. Esta falla ha sido reportada anteriormente, sin obtener respuesta o solución alguna. El desarrollo del presente documento se ha realizado por Martín Aberastegue ( @Xyborg ) y reportado de forma responsable a la Dirección Nacional de Tramitación e Identificación a Distancia | Subsecretaría de Innovación Administrativa | Secretaría de Innovación Pública quienes procedieron a la solución del problema. INTRODUCCIÓN          0 RESUMEN          1 OBJETIVOS          1 DESARROLLO          2 ¿Es posible realizar este ataque de forma anónima?          3 ¿Dónde obtengo un CUIL válido?          4 Origen del problema          5 PRUEBAS DE CONCEPTO          7 Extracción masiva de datos personales:          7 Consulta de datos personales por CUIT:          8 Usos potenciales de esta información    
Leer más