Seguridad en WordPress y la RGPD (GDPR)

Estos días se está hablando mucho sobre la RGPD (Reglamento General de Protección de Datos) que se va a aplicar a todos los países de la Unión Europea, pero de aplicación a cualquier usuario que realice una acción sobre un sitio europeo. La cuestión es que si bien es cierto que muchos sitios con WordPress están mejorando sus plugins y creando páginas con información personalizada, hay un elemento del que se habla poco: la seguridad.

Todo el mundo está dedicado a mirar que en todos los formularios hay que añadir un “checkbox” más pidiendo permiso, que en los boletines también, que si una página de términos y condiciones, pero, además de todo eso que es más formal hay una serie de reglas básicas que son la base de toda esta regulación, como la privacidad y seguridad de serie en el proyecto.

Para comenzar, esta regulación no solo afecta a las empresas, sino también a las personas, por lo que el simple hecho de disponer de cualquier tipo de material en Internet has de cumplir. Un blog personal requiere el cumplimiento de la legislación.

Para comenzar ha de haber alguien responsable de “el fichero de datos”. Yo me atrevería a decir que tiene que haber dos personas responsables de los datos: uno de ellos ha de ser un responsable de la empresa o propietario de los contenidos y por otro lado ha de haber un responsable técnico de los mismos. Vamos, el que entra en el panel del WordPress y el que hace los mantenimientos, seguridad y tecnología. Es importante diferenciar ambos casos porque cada uno tiene responsabilidades distintas.

Artículo 20: Derecho a la portabilidad de los datos

Con respecto a la portabilidad de los datos, hay que recordar que el propio WordPress ya dispone de una herramienta para la parte básica que permite la exportación de datos de un usuario, y que aunque no es un formato estándar (cada software tendrá el suyo) sí que hay herramientas que permiten su legibilidad, por lo que en este punto, no hay que hacer grandes cambios.

Artículo 24: Responsabilidad del responsable del tratamiento

Cada empresa ha de tener una especie de código ético al que se han de sumar todos los responsables de los datos. No voy a decir que todos los informáticos / internautas lo tenemos, pero yo personalmente tengo un código ético personal por el que me rijo desde hace muchísimos años en los que, por ejemplo, si estoy trabajando y alguien me da un usuario, contraseña, tarjeta de crédito o similar, nunca queda apuntado, o s´olo durante el tiempo que es necesario, y una vez hecho su uso, lo destruyo o “lo olvido”. Esto quizá debería dejarse por escrito en el caso de las empresas. Además, este código ético ha de revisarse con frecuencia para añadir elementos o modificar los existentes según avance la tecnología.

Artículo 25: Protección de datos desde el diseño y por defecto

Este es quizá uno de los elementos más importantes desde el punto de vista de seguridad. Últimamente se ha puesto de moda esas instalaciones que “con un clic” te instalan un WordPress. Todos los WordPress que yo instalo lo hago directamente desde el servidor, con una lista de tareas que me he creado y que llevan, de serie, todos los elementos para que esa instalación tenga elementos de prevención y seguridad. Básicamente es lo que se explica en WPdanger Code. La instalación por defecto de WordPress es segura, pero no solo es WordPress lo que hay que tener presente y revisado, sino también el servidor. Si quieres saber más sobre esto, o te interesaría que le diera una ojeada a cómo tienes montada la seguridad de tu sitio, no dudes en contactarme.

Artículo 32: Seguridad del tratamiento

Este punto para mi tiene un elemento complejo que es el de la seudonimización de los datos, aunque no el del cifrado. En este caso hay que mirar de configurar los servidores exclusivamente para funcionar con conexiones cifradas, entre otros HTTPS (y no HTTP), SFTP (y no FTP) o SSH. Cualquier conexión que se haga entre usuario y servidor o entre propietario y servidor debería ser bajo un sistema seguro, nunca aceptando los mensajes de conexiones no seguras.

Por otro lado, el sistema de copias de seguridad. Son obligatorias y han de estar siempre accesibles. Así que si no tienes copias de seguridad de tu sitio a varios niveles (en el caso de WordPress es tan sencillo como instalar un plugin de backup). Hay que recordar que las copias de seguridad pueden estar en varios lugares, así que recomiendo siempre una copia local, pero otra en algún servicio externo (tipo Dropbox, OneDrive, GDrive o lo que sea) y si ya quieres, un servicio profesional de copias. Si necesitas ayuda con tus copias de seguridad, puedes contactarme y vemos cómo configurar el sistema.

Por último también es obligatorio el mantenimiento del software para hacer prevención. Creo que poco más a decir… si no tienes tus plugins, themes o core actualizado y no puedes demostrar que pro activamente lo haces (no, no sirven las actualizaciones automáticas de WordPress porque no cumplen con todo) seguramente estás cometiendo una infracción. Hay formas sencillas de mantener los sitios actualizados a un nivel muy barato y que te sirva como mínimo para demostrar que estás haciendo un poco de mantenimiento del sistema.

En este punto, añadiría también algo que no se suele comentar y que sirve para elementos posteriores, que es la instalación de un sistema de seguimiento y control de los cambios que se ejecutan en el propio WordPress. No solo hablo de tener o no activos los logs del servidor web (que no tienen porqué ser suficientes) sino un sistema de monitorización de qué hacen los usuarios cuando están en el panel de administración, o que haga un log de lo que hacen los usuarios cuando navegan por la web, no por saber quién hace qué (que también) sino por saber qué se hace y cómo.

Artículo 33: Notificación de una violación de la seguridad de los datos personales a la autoridad de control

Existe la obligación de informar de un hackeo a las pocas horas de conocerse. Puede que en ese momento aún no sepas cómo ha sido, pero has de investigarlo mínimamente, intentar saber cuál es su alcance, a quién afecta y comunicarlo. Gracias a lo que comentaba en el punto anterior, si tienes un registro de todos los cambios, y puedes demostrar que tienes todo al día, no tiene porqué ir a más. Entregas la documentación que ya tienen estos sistemas y a partir de ahí ya se verá.

Artículo 44: Principio general de las transferencias

Aunque existen ciertos tratados de transferencia de datos entre países, ten presente que si trabajas con un alojamiento web en la nube, físicamente las máquinas deben estar en territorio de la Unión Europea. Esto implica que si actualmente tienes tu sitio web alojado en algún sitio que no controlas o no sabes físicamente, deberías moverlo / migrarlo inmediatamente a un servidor que esté dentro de los países de la Unión Europea. Migrar un WordPress es una tarea en principio sencilla, pero recuerda que cuando lo hagas, el servidor nuevo ha de cumplir los requerimientos mínimos de seguridad. Si no quieres perder ningún tipo de dato y quieres que sea leve, recuerda que hay profesionales que podemos hacer migraciones con un tiempo mínimo de caída.

Como decía al principio, es probable que te estén diciendo que has de contactar con tus clientes para verificar sus datos y la cesión de los mismos, que has de poner páginas nuevas de información, que has de actualizar los términos y condiciones, unos checkbox más en los formularios… pero recuerda que el foco principal de la ley es la seguridad y privacidad, por lo que da igual que recojas bien los datos si luego están desprotegidos.

Categorías WordPress

1 comentario en “Seguridad en WordPress y la RGPD (GDPR)

  1. Excelente artículo Javier. Muchos clientes creen que la seguridad de su web solo viene determinada por un plugin de Seguridad y darle al botón de actualizar de plugins y themes.

    Un saludo.

Deja un comentario