Asegurando Wordpress II: primeros pasos e instalación
Los primeros pasos, durante la instalación de Wordpress, al igual que cualquier otro CMS, son esenciales para una adecuada configuración de la seguridad.
Primeros pasos
Como vimos en la primera entrega de esta serie, el primer paso es seleccionar un proveedor del servicio de hosting adecuado, a continuación se procederá a la contratación del servicio, lo cual puede realizarse a través de Internet, incluido el pago, para lo cual será necesario tomar precauciones, como en cualquier transacción u operación comercial que se realice a través de la red.
Una vez formalizado el contrato, el proveedor proporcionará una cuenta de acceso al panel de gestión del servicio de hosting. A través de esta cuenta se gestionan todos los aspectos relativos al servicio, por lo que es muy importante usar una contraseña que cumpla con los requisitos básicos de seguridad y sea guardada adecuadamente. Como vamos a ver a lo largo de esta entrega, será necesario disponer de varias cuentas, por lo que es recomendable utilizar alguna herramienta para la gestión de contraseñas.
Llegados a este punto vamos a suponer que se ha configurado un dominio, el espacio web correspondiente y se dispone de acceso FTP al espacio del hosting. Al igual que antes, en el caso de la contraseña de acceso por FTP (File Transfer Protocol), es conveniente usar una contraseña robusta y deshabilitar el servicio de FTP cuando no se use, para evitar posibles intentos de acceso a través de este servicio.
Otro aspecto más a la hora de configurar el CMS Wordpress, será crear una nueva base de datos, en este caso, sobre MySQL, que es el motor de base de datos que usa. Para ello, al igual que antes, será necesario crear una cuenta de acceso a la base de datos, por lo que es fundamental usar una contraseña robusta para dicha cuenta.
Instalación
Al realizar la instalación es importante descargar la última versión estable de Wordpress. Hay que evitar instalar versiones RC (Release Candidate) o no estables, salvo que se lleven a cabo actividades relacionadas con el desarrollo de aplicaciones o funcionalidades para Wordpress.
Una vez descargada la última versión estable del código, se copia al espacio de hosting, en el raíz de la carpeta que alojará el sitio, por ejemplo, mediante el servicio FTP. Para iniciar la instalación únicamente hay que ir al navegador y escribir el dominio, previamente contratado, desde el cual se va a realizar la instalación:
Al introducir la dirección en el navegador, aparecerá un mensaje de error indicando que aún no se ha realizado la instalación y nos informa que va a comenzar el proceso, y para ello es necesario crear un fichero denominado wp-config.php.
Al pulsar sobre crear el archivo de configuración se nos piden una serie de datos que serán incluidos en dicho fichero y que son necesarios para que Wordpress pueda funcionar. Los mostramos a continuación:
De los datos que se solicitan, los más importantes desde el punto de vista de la seguridad son la contraseña de la base de datos de MySQL, que habremos configurado previamente y como se ha indicado debe de cumplir los criterios mínimos de seguridad.
Por otro lado, el parámetro que establece el “Prefijo de tabla” también es muy importante. Este parámetro establece el prefijo con el cual serán creadas todas las tablas de la base de datos de Wordpress. Por defecto es “WP_” y si no se cambia, se corre el riesgo de ser vulnerable a ataques de inyección de código o consultas que explotan algún tipo de vulnerabilidad. Para evitarlo, se pone un prefijo aleatorio, por ejemplo, con tres o cuatro letras, un número o una combinación. En la imagen siguiente vemos un ejemplo de cómo quedaría el formulario con los datos indicados.
Una vez es enviado el formulario con los datos, se realiza la comprobación de los mismos y a continuación, si todo es correcto se nos muestra un mensaje indicando que no ha habido ningún problema y se puede iniciar la instalación.
En la siguiente pantalla se solicitan más datos, algunos de ellos fundamentales desde el punto de vista de la seguridad, los vemos a continuación:
Se solicita el nombre de usuario de administrador de Wordpress y la contraseña. Al igual que ocurría antes con el parámetro de prefijo, usar el nombre de usuario por defecto supone un riesgo, para evitarlo, se recomienda usar un nombre de usuario aleatorio, o construido con alguna regla. En cualquier caso, nunca se debe de usar el nombre por defecto. En cuanto a la contraseña, es fundamental utilizar una contraseña robusta y distinta de las anteriores. Una vez introducidos todos los datos que se solicitan en la pantalla anterior, procedemos a finalizar la instalación.
Una vez finalizada la instalación, nos mostrará un mensaje como el que se ve a continuación, y el formulario de acceso, para poder comenzar a trabajar con el CMS, con lo que la instalación está realizada.
Como recordatorio a lo que se ha explicado en los anteriores apartados, INTECO-CERT recomienda no utilizar parámetros de configuración por defecto, salvo si estos pudieran afectar al funcionamiento de la aplicación.
Fuente: http://cert.inteco.es/cert/Notas_Actualidad/asegurando_wordpress_ii_configuracion_inicial_servicio_hosting_20120529?postAction=getLatestInfo
Primeros pasos
Como vimos en la primera entrega de esta serie, el primer paso es seleccionar un proveedor del servicio de hosting adecuado, a continuación se procederá a la contratación del servicio, lo cual puede realizarse a través de Internet, incluido el pago, para lo cual será necesario tomar precauciones, como en cualquier transacción u operación comercial que se realice a través de la red.
Una vez formalizado el contrato, el proveedor proporcionará una cuenta de acceso al panel de gestión del servicio de hosting. A través de esta cuenta se gestionan todos los aspectos relativos al servicio, por lo que es muy importante usar una contraseña que cumpla con los requisitos básicos de seguridad y sea guardada adecuadamente. Como vamos a ver a lo largo de esta entrega, será necesario disponer de varias cuentas, por lo que es recomendable utilizar alguna herramienta para la gestión de contraseñas.
Llegados a este punto vamos a suponer que se ha configurado un dominio, el espacio web correspondiente y se dispone de acceso FTP al espacio del hosting. Al igual que antes, en el caso de la contraseña de acceso por FTP (File Transfer Protocol), es conveniente usar una contraseña robusta y deshabilitar el servicio de FTP cuando no se use, para evitar posibles intentos de acceso a través de este servicio.
Otro aspecto más a la hora de configurar el CMS Wordpress, será crear una nueva base de datos, en este caso, sobre MySQL, que es el motor de base de datos que usa. Para ello, al igual que antes, será necesario crear una cuenta de acceso a la base de datos, por lo que es fundamental usar una contraseña robusta para dicha cuenta.
Instalación
Al realizar la instalación es importante descargar la última versión estable de Wordpress. Hay que evitar instalar versiones RC (Release Candidate) o no estables, salvo que se lleven a cabo actividades relacionadas con el desarrollo de aplicaciones o funcionalidades para Wordpress.
Una vez descargada la última versión estable del código, se copia al espacio de hosting, en el raíz de la carpeta que alojará el sitio, por ejemplo, mediante el servicio FTP. Para iniciar la instalación únicamente hay que ir al navegador y escribir el dominio, previamente contratado, desde el cual se va a realizar la instalación:
Al introducir la dirección en el navegador, aparecerá un mensaje de error indicando que aún no se ha realizado la instalación y nos informa que va a comenzar el proceso, y para ello es necesario crear un fichero denominado wp-config.php.
Al pulsar sobre crear el archivo de configuración se nos piden una serie de datos que serán incluidos en dicho fichero y que son necesarios para que Wordpress pueda funcionar. Los mostramos a continuación:
De los datos que se solicitan, los más importantes desde el punto de vista de la seguridad son la contraseña de la base de datos de MySQL, que habremos configurado previamente y como se ha indicado debe de cumplir los criterios mínimos de seguridad.
Por otro lado, el parámetro que establece el “Prefijo de tabla” también es muy importante. Este parámetro establece el prefijo con el cual serán creadas todas las tablas de la base de datos de Wordpress. Por defecto es “WP_” y si no se cambia, se corre el riesgo de ser vulnerable a ataques de inyección de código o consultas que explotan algún tipo de vulnerabilidad. Para evitarlo, se pone un prefijo aleatorio, por ejemplo, con tres o cuatro letras, un número o una combinación. En la imagen siguiente vemos un ejemplo de cómo quedaría el formulario con los datos indicados.
Una vez es enviado el formulario con los datos, se realiza la comprobación de los mismos y a continuación, si todo es correcto se nos muestra un mensaje indicando que no ha habido ningún problema y se puede iniciar la instalación.
En la siguiente pantalla se solicitan más datos, algunos de ellos fundamentales desde el punto de vista de la seguridad, los vemos a continuación:
Se solicita el nombre de usuario de administrador de Wordpress y la contraseña. Al igual que ocurría antes con el parámetro de prefijo, usar el nombre de usuario por defecto supone un riesgo, para evitarlo, se recomienda usar un nombre de usuario aleatorio, o construido con alguna regla. En cualquier caso, nunca se debe de usar el nombre por defecto. En cuanto a la contraseña, es fundamental utilizar una contraseña robusta y distinta de las anteriores. Una vez introducidos todos los datos que se solicitan en la pantalla anterior, procedemos a finalizar la instalación.
Una vez finalizada la instalación, nos mostrará un mensaje como el que se ve a continuación, y el formulario de acceso, para poder comenzar a trabajar con el CMS, con lo que la instalación está realizada.
Como recordatorio a lo que se ha explicado en los anteriores apartados, INTECO-CERT recomienda no utilizar parámetros de configuración por defecto, salvo si estos pudieran afectar al funcionamiento de la aplicación.
Fuente: http://cert.inteco.es/cert/Notas_Actualidad/asegurando_wordpress_ii_configuracion_inicial_servicio_hosting_20120529?postAction=getLatestInfo
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios