La seguridad en tu WordPress

Esta entrada pretende completar la segunda parte de la adaptación de nuestra web en WordPress al RGPD, y es que una vez somos conscientes de que guardamos datos de nuestros usuarios, debemos hacerlo de forma que no se vean comprometidas, su confidencialidad, su disponibilidad, y su integridad, además de asegurarnos que los datos son exactos, no están desactualizados, para ello hay que tomar una serie de medidas de seguridad preventivas, medidas de seguridad reactivas, además de medidas para saber que es lo que ocurre en tu web (auditoría)

La seguridad en un sitio web es fundamental para garantizar la confianza de los usuarios, así como para evitar las brechas de seguridad. Por ello desde que el usuario introduce la dirección de nuestra web en el navegador debemos mostrar que nuestra web es segura y de confianza.  Atendiendo a estos dos puntos, cuando los usuarios registrados en nuestra web deben tener acceso online a los datos de que dispone el responsable respecto a su persona (sistema de registro de usuario), deberán establecerse procedimientos de identificación, autenticación y control de accesos como primera medida de seguridad.

Capas de seguridad recomendadas para una web en WordPress.

El RGPD habla en el artículo 5.1. sobre la seguridad e introduce el concepto de “seguridad adecuada” ¿esto qué significa? Significa que se deben aplicar medidas técnicas y organizativas adecuadas a los tratamientos para: Protegerse contra accesos no autorizados o ilícitos. Protegerse de la perdida, destrucción y daño accidental de los datos. De acuerdo con este principio, como responsable de una web, debes adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Autenticación del Usuario.

Ante la necesidad de aumentar la seguridad de nuestro sitio web, la verificación en dos pasos nos brinda un nivel adicional para escalar y optimizar esta rama que siempre será complicada de resolver, siempre tendremos que recordar que la seguridad es esencial para salvaguardar la integridad de nuestra base de datos. Mediante el buscador de plugin’s introducimos «2FA auth» encontramos varias opciones que nos permite configurar  el acceso mediante un dispositivo móvil, correo o una aplicación de terceros como Google Authenticator como segundo factor de autenticación..

Activar SSL (https) en tu WordPress:

Tanto si usamos comercio electrónico como si no, es obligatorio utilizar el protocolos de seguridad como Secure Sockets Layer (SSL) para la autenticación web y la protección de datos ya que se trata de una conexión segura que cifra toda la información enviada desde y hacia el sitio web. Este es un punto básico en el cumplimiento del RGPD ya que el protocolo SSL permite cifrar los datos de un sitio web garantizando a los usuarios que el sitio al que acceden es legítimo y que aplica una capa de seguridad adicional para evitar exponer datos sensibles. En términos generales, los certificados SSL deben incluir y mostrar (todos o al menos uno) su nombre de dominio, nombre del titular, dirección, ciudad, estado y país. También siempre muestra la fecha de expiración del certificado y por supuesto, los detalles de la autoridad certificadora que expide el certificado.

Nuestro proveedor de alojamiento web debe proporcionarnos la opción de activar un certificado SSL para nuestra web, si no es el caso tenemos la opción de usar certificados proporcionados Let’s Encrypt. ¿Por qué Let’s Encrypt?:

  • Es gratuito: como todo producto open source, su misión es poder ser accesible para cualquier persona. Un requisito para ello es que sea gratis.
  • Es automático: como todo certificado, debe renovarse para seguir comprobando que tu dominio sigue siendo de tu propiedad. Pues con Let’s Encrypt este proceso es automático.
  • Tiene el apoyo de la comunidad de Internet: como Mozilla, Cisco, Google, Facebook, WordPress, etc.

No almacenar datos sensibles o desactualizados:

Atendiendo al principio de minimización y anonimización de datos recomendados en el RGPD, no se deberían almacenar los registros de los clientes, particularmente números de tarjeta de crédito, fechas de caducidad o códigos CW2 (Card Verification Value). Se debe eliminar los registros antiguos de la base de datos y mantener una cantidad mínima de información, suficiente para cargos al usuarios y reembolsos y el posible, de forma que no permita identificar al usuario si está información fuera expuesta o sufriera una brecha de seguridad.

Usar un sistema de verificación de direcciones:

En caso de incorporar opciones ecommerce, siempre utilizar un sistema de verificación de direcciones (AVS) y la verificación del valor de la tarjeta (CVV) para las transacciones hechas con tarjetas de crédito y reducir con ello los cargos fraudulentos.

Más recomendaciones de seguridad para tu WordPress:

  1. Debes tener un software de seguridad que se actualice automáticamente con regularidad y que incorpore un buen cortafuegos.
  2. Elige siempre contraseñas seguras para acceder a WordPress y no utilices nombres de usuario tipo “admin”, es algo básico, pero que no siempre se cumple.
  3. Actualiza tu sistema con los últimos parches: Esto es absolutamente esencial. También los temas, plugins y cualquier otro software que interactúe con WordPress.
  4. Crea copias de seguridad automatizadas y diarias sobre un soporte externo.
  5. Controla los plugins que instalas y asegúrate de que sean seguros.
  6. Mantén a raya el spam, fuente de malware, instala un buen filtro antispam en tu WordPress.

Plugin’s

Como casi todo en WordPress, la mayoría de la soluciones que necesitamos para cubrir nuestras necesidades la encontramos en algún plugin, y en el tema de la seguridad tampoco es una excepción. Veamos una pequeña lista de los más útiles

WP Security Audit Log  Hablamos al principio de que es necesario saber que ocurre dentro de nuestra web, por lo que este plugin de auditoría nos va a ser muy útil. el plugin registra toda la actividad tanto de administración como de navegación de tu WordPress, para saber en todo momento qué pasa, quién lo hace y poder tomar medidas en caso necesario.

 

iThemes Security Por otro lado, también necesitamos un buen plugin de seguridad, que proteja tu sitio y a tus usuarios de ataques y brechas de seguridad y privacidad de los datos. Para ello la recomendación es:, iThemes Security, muy completo y  muy fácil de utilizar.

 

Deja un comentario