¿Es WordPress vulnerable e incumple el RGPD?

noviembre 22, 2021junio 15, 2022

Vamos a centrarnos en WordPress como CMS. Y empiezo negando la mayor: WordPress no es inseguro. Es cierto que recibe una enorme cantidad de ataques y que, al ser un software de código abierto, está muy expuesto a vulnerabilidades, pero también es cierto que al ser el software más usado como CMS, también es el más atacado, motivo por el cual se ha ganado esa mala fama. Sin embargo, los ataques exitosos sobre WordPress no tienen tanto que ver con la plataforma en sí, sino con la falta de sentido común de quien lo gestiona.

Si WordPress no fuese un software seguro, no sería el CMS más usado en el mundo con más del 60 % ni tampoco lo usarían grandes marcas como:

The Walt Disney Company (https://thewaltdisneycompany.com)
Wired (https://www.wired.com)

People (https://people.com/)

Medidas de seguridad

A continuación, te enumero algunas medidas de seguridad que hay que tener en cuenta:

Hosting
- SSL
- CDN segura
- Backups diarios
- Monitorización de caídas
PHP
- Tener el WordPress con la última versión estable de PHP instalada en nuestro servidor.
Segurizar .htaccess
- Bloquear el acceso al .htaccess
- Bloquear el acceso a wp-includes
- Proteger ciertos ficheros como: wp-config.php, error_log, readme.html, license.txt, etc.
- Proteger el acceso a themes y plugins
- Proteger el protocolo XMLRPC
- Protegernos de los ataques XSS
- Desactivar índices
WordPress
- Core
  - Mantenerlo actualizado siempre. Sé que las actualizaciones son muy recurrentes y con ciclos de tiempos muy cortos, pero es necesario.
  - Evitar programar más allá del propio theme.
- Themes
  - Mantener actualizados los themes.
  - Solo tener instalado el theme que usemos y, por si este fallase, el último theme oficial de WordPress.
  - Eliminar themes que no usemos.
  - Securizar con el fichero «functions.php».
- Plugins
  - Mantener actualizados todos los plugins.
  - Cuantos menos plugins usemos, mejor.
  - Usar algún plugin de seguridad. Para ello estudia bien qué necesitas cubrir y cuál encaja mejor con esas necesidades.
  - Eliminar todos aquellos plugins que estén desactivados.
- Traducciones
  - Mantenerlas también actualizadas.
- wp-config.php
  - Revisar que están establecidas las Authentication Unique Keys.
  - Revisar que se usa un prefijo de base de datos diferente al que viene por defecto wp_. Ojo, hay que prestar atención a este cambio, debería hacerlo un técnico.
  - Desactivar la edición de ficheros de WordPress.
  - Desactivar el modo debug.
  - Forzar el uso del protocolo SSL para el login y el admin.
- Comentarios
  - Revisar las opciones de moderación de comentarios.
Usuarios
- Definir una buena política de roles de usuario.
  - Solo debería haber uno o dos administradores por sitio web.
  - El resto de usuarios podrían tener un rol de editor, autor, etc.
  - Asignar usuarios realmente conociendo el nivel de acceso que necesita cada uno.
- Cambiar el nombre de usuario, por defecto «admin», por otro más complejo.
- Uso de contraseñas fuertes.
  - Esto es una contraseña que incorpore más de doce caracteres con letras, números y signos intercalados.

junio 4, 2021

Cookie	Tipo	Duración	Descripción
__cfduid	1	4 weeks	The cookie is set by CloudFare. The cookie is used to identify individual clients behind a shared IP address d apply security settings on a per-client basis. It doesnot correspond to any user ID in the web application and does not store any personally identifiable information.
cookielawinfo-checkbox-analytics	0	1 year	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given the consent to the usage of cookies under the category 'Analytics'.
cookielawinfo-checkbox-functional	0	1 year
cookielawinfo-checkbox-marketing	0	1 year	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given the consent to the usage of cookies under the category 'Marketing'.
cookielawinfo-checkbox-necessary	0	1 year	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given the consent to the usage of cookies under the category 'Necessary'.
viewed_cookie_policy	0	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Tipo	Duración	Descripción
_ga	0	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, camapign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assigns a randoly generated number to identify unique visitors.
_gat	0	1 minute	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.
_gat_gtag_UA_177215337_1	0	1 minute	Google uses this cookie to distinguish users.
_gid	0	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
attribution_user_id	0	1 year	Se utiliza con los formularios y mensajes emergentes del sitio web. Los datos se utilizan con fines estadísticos o de marketing.
GPS	0	30 minutes	This cookie is set by Youtube and registers a unique ID for tracking users based on their geographical location
YSC	1		This cookies is set by Youtube and is used to track the views of embedded videos.

¿Es WordPress vulnerable e incumple el RGPD?

Medidas de seguridad

Related Articles

La batalla entre Estadísticas o RGPD

Enlaces de interés para la aplicación de mailchimp y RGPD

Herramientas «GDPR Cookie compliance». Servicios VS. Plugins.