CCN-CERT AL 01/13 Recomendaciones de seguridad en WordPress

Boletín Alerta CCN-CERT

Recomendaciones de seguridad en WordPress

El CCN-CERT, debido al creciente número de amenazas que explotan vulnerabilidades en WordPress, ofrece una serie de recomendaciones de seguridad con el fin de minimizar los riesgos que plantea la utilización de este Sistema de Gestión de Contenidos (CMS), enfocado a la creación de sitios web (particularmente blogs).

Si no se toman las medidas de seguridad adecuadas, este CMS puede proporcionar a los atacantes un gran número de oportunidades de infección, tanto al usuario como a su blog o Web y, de esta manera, usar dominios legítimos como parte de su infraestructura y así ocultar su actividad entre el tráfico de navegación de la víctima sin levantar sospechas. Un ejemplo de ello, se produjo en abril de este año, cuando WordPress fue víctima de un ataque masivo en el que se utilizó una red de bots de más de 90.000 ordenadores para descifrar las contraseñas de acceso. En este ataque se utilizó el nombre de usuario "admin" (usado muy habitualmente por los administradores de los blogs y webs) y se probaron miles de contraseñas para acceder a sus cuentas.

En este sentido, el CCN-CERT realiza las siguientes recomendaciones para minimizar el riesgo en el uso de WordPress:
  1. Instalar su última versión actualizada para evitar el acceso a través de una vulnerabilidad conocida y corregida en versiones posteriores de la plataforma.
  2. Cambiar el nombre de usuario por defecto de WordPress "admin" y modificarlo por uno difícil de detectar.
  3. Minimizar el acceso. Si se tienen distintos usuarios, es necesario dar solo los permisos imprescindibles que necesiten para realizar sus tareas. Cada acción realizada por cada usuario debe ser siempre claramente rastreable y trazable.
  4. Utilizar una contraseña segura para evitar el acceso indeseado al panel de administración o al ftp del servidor. El CCN-CERT recomienda contraseñas de más de ocho caracteres alfanuméricos.
  5. Hacer regularmente copias de seguridad de archivos y base de datos, con el fin de restaurar todo a su estado original si se sufre un problema de seguridad o de configuración.
  6. Verificar la procedencia de los temas (themes) o plugins descargados. Es recomendable usar solo los que podemos instalar a través de gestor de temas o del gestor de plugins. De esta manera se asegura que son legales y no contienen código dañino.
  7. Desactivar plugins y funciones innecesarias. Si algún plugin tiene algún agujero de seguridad podría ser aprovechado por atacantes para entrar en el sitio. Conviene, por tanto, hacer un inventario preciso de las funciones disponibles y desactivar todas las que son innecesarias. Este proceso debe repetirse regularmente cada vez que una nueva versión del programa sea instalada.
  8. Evitar la exploración de carpetas. Es de suma importancia prohibir que los visitantes puedan acceder y visualizar las distintas carpetas y directorios de WordPress (como wp-admin, por ejemplo). Solo es preciso añadir la línea "Options All -Indexes" al archivo .htaccess para bloquearlo por completo.

Atentamente,

Equipo CCN-CERT

//////////////////////////////////////////////////////////////////////////////////////////

Esta es una lista de notificaciones del CCN-CERT. Por favor, no responda a este correo. Para establecer contacto, por favor, diríjase a Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Este correo ha sido codificado en formato ISO-8859-1. Si no visualiza ciertos caracteres especiales, cambie manualmente la configuración de su cliente de correo.

//////////////////////////////////////////////////////////////////////////////////////////

El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es). Este servicio se creó a finales del año 2006 como el CERT gubernamental/nacional, y sus funciones quedan recogidas en la Ley 11/2002 reguladora del Centro Nacional de Inteligencia, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad.  De acuerdo a todas ellas, el CCN-CERT tiene responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas de la Administración y de empresas pertenecientes a sectores designados como estratégicos.

La misión del CCN-CERT es, por tanto, contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a las Administraciones Públicas y a las empresas estratégicas, y afrontar de forma activa las nuevas ciberamenazas. 

---------------------
Claves PGP Públicas
---------------------
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
--------------------

Fingerprint: 4A7D 155F 38FA 2204 55F8 5E4C A62B AB99 7527 F5AF

Descarga: https://www.ccn-cert.cni.es/index.php?option=com_docman&task=doc_download&gid=113&lang=es

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
------------------------

Fingerprint: 0D4D BD59 ADCB 5466 0FB6 2529 C57E 8849 CE7B 4475

Descarga: https://www.ccn-cert.cni.es/index.php?option=com_docman&task=doc_download&gid=114&lang=es

//////////////////////////////////////////////////////////////////////////////////////////

AVISO DE CONFIDENCIALIDAD:
El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.
© 2013 Centro Criptológico Nacional - C/Argentona, 20 28023 MADRID www.ccn-cert.cni.es

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
Presidencia española. Consejo de la Unión Europea
CNI
CCN
CCN-CERT