Continuando la evolución de WPdanger

Cuanto más tiempo le dedico a la seguridad de los WordPress, más me doy cuenta de la dejadez de muchos de sus usuarios. Y es que cuando comencé con WPdanger todo venía un poco del mal trago que tuve que pasar con un proyecto que me toca de cerca y que prácticamente se había dejado. Y eso que era un WooCommerce.

Según ha pasado el tiempo y he podido ver análisis de cientos de sitios, voy viendo que sí, que cada vez más usuarios mantienen al día sus sitios pero que, aún siendo la recomendación más dada -mantén al día tu WordPress, los plugins y plantillas- parece que no vemos que no es suficiente.

Esto que he ido viendo en algunas WordCamp como la de Santander o la de Zaragoza me ha hecho lanzar WPdanger Code, el sitio en el que publico algunos bloques de código y artículos con recomendaciones.

Pero, aún así, no es suficiente. Es cierto que estar al día es muy acertado pero ¿por qué dejar ver qué tiene tu sitio, qué plugins utilizas? Y ahí es donde me entran las dudas… no sé si es que los que usamos WordPress no tenemos claro que hay que proteger nuestro hosting (y algunas configuraciones propias de WordPress) o es que simplemente tenemos ya la idea en la cabeza de que “como WordPress es seguro, estar con todo actualizado es suficiente”.

La primera versión de WPdanger era bastante sencilla… simplemente hacía el análisis, te mostraba lo que tenías, y poco más. Poco después añadí ciertas funcionalidades extras como la integración básica del “Project Tide” de WordPress (para analizar la calidad del código de plugins y themes, y que creo que va a sacar las vergüenzas a muchos desarrolladores), el análisis de un antivirus, el sitio con documentación y códigos para aumentar la prevención… aún así, sigo viendo de forma recurrente algunos sitios que van haciendo análisis y no acabo de ver una evolución en cuanto a protección. Lo ideal es que WPdanger te dijera que “no sabe nada de tu sitio”.

Estos últimos días he dedicado bastante tiempo a montar un VPS sin nada, ponerle un WordPress con una decena de plantillas destacadas y una veintena de plugins habituales y hacer un primer análisis. En aquel momento (aunque estaba todo al día) me detectaba lo que no está escrito. Haciendo tunning del servidor, comenzando a ocultar algunos elementos desde el exterior (desde la configuración del nginx, y seguramente también se podría hacer desde los .htaccess) fui dejando de ver la lista de plugins, la lista de plantillas (exceptuando la que tenía puesta), y comencé solo a ver elementos “detectados de forma agresiva”. Eso es buena señal, si el sistema solo detecta elementos haciendo “ataques” contra el sitio y no de forma pasiva, quiere decir que alguien que use herramientas sencillas y necesite poco tiempo para detectar ataques, lo va a tener complejo porque tendrá que aplicar muchos más recursos.

Tras la presentación en la meetup de Barcelona y el taller de seguridad en Zaragoza he tomado la decisión de comenzar a ofrecer servicios de prevención para aquellos que usan WordPress, creo que a unos precios asumibles para alguien mediano o que ha sufrido algún tipo de ataque. Para bien o para mal, aunque tengo medio paquetizado todo, lo más probable es que tengan que ser servicios personalizados, ya que en general cada WordPress es un mundo… aún así, me he prometido intentar mantener el servicio lo más estándar posible.

Otra cosa que me he encontrado bastante últimamente es el asunto de los “plugins de seguridad”. Es curioso porque los plugins como Sucuri o Wordfence son de los plugins que tienen más incidencias y vulnerabilidades documentadas… lo que hace que un sitio en general seguro pueda convertirse en inseguro por poner en marcha estos plugins… ¿realmente es necesario tener un sistema como ese? Yo suelo ser partidario de eliminar puntos de fallida, y soy muy dado a tener un Firewall en modo WAF fuera del propio sistema, lo mismo que tener el correo en un sitio, las DNS en otro, el hosting en uno distinto…

Al final, y en resumen, la cuestión es… tienes un WordPress y ¿vas a dejar la seguridad de tu sitio en manos de la Comunidad o de tu Hosting, o vas a ser un poco proactivo en intentar promover sistemas de seguridad activa? Obviamente la comunidad aporta muchísimo, pero requiere que pongas de tu parte (no va a venir alguien que contribuye a actualizar tu sitio), y lo mismo tu hosting, que puede poner medidas de seguridad, pero va a tener que dejar el sistema lo más estándar posible y no va a poner medidas extremas que puedan hacer incompatible tu configuración de WordPress.

Al fin y al cabo, como en todo, si buscas seguridad, privacidad y todo lo demás, has de comenzar por ti mismo (o dejarte que te asesoren bien).

Deja un comentario