Fecha de publicación: Mar, 15/06/2021 - 13:15

Acerca de Wordpress

Wordpress es un sistema de gestión de contenido (CMS, Content Management System), que permite crear sitios web, su popularidad ha logrado que resulte muy atractivo para los “ciberatacantes”, con el fin de explotar vulnerabilidades.

Asegurando la instalación 

Para mitigar el riesgo de ataques a Wordpress, recomendamos las siguientes buenas prácticas de seguridad:

a) Configurar el control de acceso de usuarios

➢ Ingresar al panel de administración de usuarios del sitio web: https://[mi-dominio.gob.bo]/wp-admin/users.php y eliminar a los usuarios administradores que no se usan actualmente, adicionalmente verificar privilegios del resto de usuarios:

 

Conf. de control de acceso de usuarios

b) Actualizar el core de Wordpress

➢ Ingresar a su sitio web https://[mi-dominio.gob.bo]/wp-admin/update-core.php y hacer click en el botón “Actualizar ahora”.

 

Actualizar Core de WP

2.3. Actualizar plugins 

➢ Previamente instalar y activar el plugin WP-Rollback (https://es.wordpress.org/plugins/wp-rollback/) que será útil en caso que la actualización de algún plugin no sea exitosa.
➢ Realizar un backup de la base de datos.
➢ Ingresar al sitio https://[mi-dominio.gob.bo]/wp-admin/update-core.php y seleccionar todos los plugins y presionar el botón “Actualizar plugins”.

 

Actualizar plugins 01

 

➢ En caso de existir un error durante el proceso de actualización, realizar un ROLLBACK (https://[mi-dominio.gob.bo]/wp-admin/plugins.php).

 

Rollback plugin

 

2.4. Habilitar actualizaciones de seguridad automáticas

➢ Ingresar al panel de administración https://[mi-dominio.gob.bo]/wp-admin/plugins.php y seleccionar todos los plugins.
➢ Seleccionar la acción “habilitar actualizaciones automáticas” y ejecutar “Aplicar”.

 

Actualizaciones automáticas

 

➢ Borrar los themes no usados mediante la URL https://[mi-dominio.gob.bo]/wp-admin/themes.php

2.5. Instalar plugins de seguridad

➢ Instalar y habilitar el pĺugin “Logonizer” (https://wordpress.org/plugins/loginizer/) para proteger el sitio contra ataques de fuerza bruta.
➢ Instalar y habilitar el plugin “WP Hardening” (https://wordpress.org/plugins/wp-security-hardening/)
➢ En el panel de “WP hardening”:

https://[mi-dominio.gob.bo]/wp-admin/admin.php?page=wphwp_harden_fixers

habilitar todas las opciones (12 en total) menos “Change Login URL”:

 

WP Hardening

 

➢ En el panel de “WP hardening”: 

https://[mi-dominio.gob.bo]/wp-admin/admin.php?page=wphwp_harden

Realizar la auditoría de seguridad y corregir todas las observaciones críticas (high), obteniendo como resultado final una pantalla similar a la siguiente:

 

WP Hardening 02

 

➢ Instalar y habilitar “Stop User Enumeration”:

(https://wordpress.org/plugins/stop-user-enumeration/) para detener ataques de enumeración de usuarios, que también no revelará si el nombre de usuario o contraseña ingresado en el formulario de autenticación es la equivocada.


➢ En el panel de “Stop User Enumeration”:

https://[mi-dominio.gob.bo]/wp-admin/options-general.php?page=stop-user-enumeration

Habilitar las opciones para prevenir la enumeración de usuarios.

Stop User Enumeration

3. Referencias

https://www.cgii.gob.bo/es/publicaciones/guia-segura-sitios-web