Asegurando Wordpress III: configuración de seguridad básica

La protección de directorios, además de otras tareas de configuración básicas, serán esenciales para mejorar la seguridad de Wordpress.


En la anterior entrega de esta serie de notas, se describió el proceso de instalación básica de Wordpress. Durante dicho proceso era necesario tener en cuenta algunos aspectos de seguridad relacionados con cuentas de acceso o datos de configuración iniciales.

Una vez realizada la instalación básica será necesario limitar el acceso a ciertos ficheros y directorios. A continuación vamos a describir el proceso seguido para protegerlos. El orden no es realmente importante, lo fundamental es aplicar la protección a todos ellos.

Para comprender como se aplican los permisos a directorios y archivos, vamos mostrar el contenido del directorio donde está alojado Wordpress. El contenido se puede ver a continuación.



Como vemos en la imagen, hay una columna que muestra los permisos (dentro del recuadro rojo), tanto de los directorios como de los archivos. Antes de comenzar con las operaciones de configuración, hay que indicar que se da por supuesto que el usuario sabe establecer permisos tanto a archivos como a directorios y comprende su funcionamiento, además de disponer de acceso al servidor que aloja el sitio web, con privilegios suficientes.

Directorio raíz y ficheros situados en el directorio raíz de Wordpress
•directorio_raiz – El directorio raíz de Wordpress es aquel que contiene lo que aparece en la imagen anterior. Los permisos del directorio deberán de ser 0755.

•.htaccess – Este fichero, está directamente relacionado con la seguridad y el acceso a los directorios y ficheros. Será explicado en la próxima entrega. De momento, lo importante es que donde se instale Wordpress deberá de existir uno y sus permisos serán 0644.

•readme.html – A pesar de que se trata de un archivo html con información general relativa a Wordpress, conviene protegerlo de forma que no sea posible acceder a él de forma que un atacante pueda ver la versión de Wordpress instalada a través de este fichero. Para ello, establecemos sus permisos a 0440.

•wp-config.php – Se trata de uno de los ficheros más importantes de Wordpress ya que en él se almacenan los parámetros básicos de funcionamiento de Wordpress. Una vez configurado Wordpress, conviene protegerlo. Para ello establecemos los permisos a 0644.

Directorios situados en el directorio raíz de Wordpress
•wp-admin – El directorio wp-admin contiene el conjunto de código relacionado con la administración del sitio Web. Es un directorio que debe de ser protegido. Los permisos de este directorio serán los mismos que el directorio raíz, es decir, 0755.

•wp-content – El directorio wp-content es el directorio en el cual se almacena todo lo que el usuario incorpore a la instalación básica de Wordpress para dotarla de mayor funcionalidad, así como diversos contenidos, como imágenes, etc. Sus permisos serán 0755.

•Wp-includes – El directorio wp-content contiene el grueso del código que hace funcionar Wordpress. Sus permisos serán 0755.

Ficheros index.php y permisos

Para evitar el listado de directorios se usan, entre otras técnicas, el uso de ficheros index.php. Estos ficheros contienen un código muy simple, como el que se muestra a continuación:



Deberemos de disponer un fichero index.php con el código anterior en los directorios que se muestran a continuación y todos ellos tendrán los permisos 0644.

•wp-admin/index.php
•wp-content/index.php
•wp-content/plugins/index.php
•wp-content/uploads/index.php

En la próxima entrega, aprenderemos a utilizar el fichero .htaccess y cómo utilizarlo con Wordpress.

Fuente: http://cert.inteco.es/cert/Notas_Actualidad/asegurando_wordpress_iii_configuracion_seguridad_basica_20120607?origen=boletin

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS