Actualización 05/06/2018: Seguridad en WordPress – Contraseñas 2018-06-06T01:06:39+00:00

SEGURIDAD EN WORDPRESS: CONTRASEÑAS

La seguridad de tu sitio de WordPress depende enteramente de ti. Tú eres el único que puede proteger tu sitio contra cualquier tipo de ataque. A pesar de todo, hay casos en los que tienes muy poco control sobre las vulnerabilidades que otros usuarios introducen en tu sitio. Específicamente, cuando los usuarios de tu web no respetan las buenas prácticas de la creación de contraseñas, sobre todo aquellos a los que les has dado atribuciones de administrador.

Para ser justos, es realmente complicado que memorices todos los nombres, números, cumpleaños, direcciones, hechos, etc., que tienen importancia para ti. Ahora piensa en la gran cantidad de aplicaciones y páginas web en las que inicias y cierras sesión a diario. Lo último que tú o cualquier persona quiere hacer es tener que memorizar una contraseña única y compleja para cada una de ellas.

Sin embargo las contraseñas son necesarias, están ahí por una razón. Una de las cosas que nunca debe hacer alguien que administre un sitio web es poner en riesgo su información privada o el sitio mismo por no querer colocar contraseñas seguras e inteligentes. Lo mismo aplica para cada uno de los usuarios que crees.

Las contraseñas y WordPress

WordPress siempre ha sido muy explícito en que los desarrolladores y administradores de los sitios web tienen la responsabilidad de garantizar que todos aquellos que entren a su sitio tengan contraseñas fuertes. Adicionalmente, en un esfuerzo por cumplir con el OWASP 10, WordPress ha promulgado una serie de medidas de seguridad a lo largo de los años para proteger de una manera  más eficiente a los usuarios de las prácticas de contraseñas incorrectas. Estas son algunas de ellas:

3.7

En la versión 3.7 de WordPress, se agregó un indicador de fuerza para las contraseñas. Este indicador aparece para darnos el nivel de seguridad de la contraseña cuando configuramos una cuenta existente o creamos una nueva. La idea de esta mejora fue la de motivar a los usuarios a crear contraseñas más complejas.

4.0

Con la versión 4.0 que salió en 2014, WordPress comenzó a cerrar todas las sesiones iniciadas de un mismo usuario en distintos dispositivos al momento de cerrar sesión en uno de ellos.

4.3

En esta versión lanzada en 2015, WordPress agregó una nueva función para ayudar a los usuarios a generar contraseñas más fuertes y seguras.

WordPress también agregó una función de autocompletar que ayuda a los usuarios a crear contraseñas seguras con la sugerencia de WordPress.

Al día de hoy

Recientemente, en las últimas actualizaciones, WordPress ha habilitado las siguientes funciones para contribuir al fortalecimiento de las contraseñas:

  • WordPress administra toda la información de inicio de sesión de los usuario y las cookies de autenticación del lado del servidor.
  • El software central proporciona protección adicional para las contraseñas a través de diversas técnicas.
  • También hay un sistema de permisos que restringe quién tiene acceso a la información privada del usuario, incluyendo las direcciones de correo electrónico de los usuarios que dejan comentarios, así como el contenido que se ha publicado marcado como “privado”.

¿Por qué WordPress se esfuerza tanto con este tema de las contraseñas fuertes? La respuesta es sencilla, una contraseña débil puede llevar a un sitio web a ser vulnerable ante muchos riesgos. El equipo de seguridad de WordPress podría no ser capaz de automatizar completamente las actualizaciones del núcleo y lograr que todos usen los plugins de seguridad y respaldo, pero algo que sí pueden hacer es requerir medidas de seguridad mayores durante la creación de cuentas y los inicios de sesión.

Recomendaciones para el uso de contraseñas en WordPress

Wordfence realizó un estudio en el 2016, que tan solo comprendía un lapso de tiempo de 16 horas, en el cual encontraron resultados bastante alarmantes:

“Durante este tiempo vimos un total de 6.611.909 ataques dirigidos a 72.532 sitios web. Vimos ataques provenientes de 8,941 direcciones IP únicas y el número promedio de ataques por sitio web fue de 6,26 “.

Sin ninguna medida de seguridad adicional, todo lo que se necesita es que una contraseña de usuario débil sucumba a este tipo de ataque de fuerza bruta. Luego de esto, tu sitio, tus usuarios y cualquier visitante que haya llegado a tu web podrían estar expuestos a esta vulnerabilidad.

Estas son 8 cosas que puedes hacer para potenciar la creación de contraseñas fuertes en tu sitio web:

1.- Usa contraseñas complejas

“Para actualizar tu contraseña ingresa una nueva debajo. Tu contraseña debería tener al menos seis caracteres. Para hacerla más segura, usa letras mayúsculas y minúsculas, números y símbolos como ! ” ? $ % ^ & )”

Esta sugerencia puede parecer muy simple. Pero tiene un mensaje directo: Crea contraseñas complejas.

2.- Usa más caracteres

WordPress recomienda una contraseña de al menos seis caracteres. Sin embargo, si quieres asegurarte de que tu contraseña sea lo más impenetrable posible, usa una cantidad de caracteres mayor, no tengas miedo de establecer contraseñas de 10, 15 o 20 caracteres.

3.- Haz una mezcla de caracteres

Puedes llegar a pensar que una larga sucesión de números o una frase larga es suficiente. Pues no lo es. Lo mejor es usar una combinación de letras mayúsculas, minúsculas, números y símbolos en la creación de contraseñas para tu sitio.

4.- Haz actualizaciones frecuentes

Si has empleado cada una de las reglas anteriores en el proceso de generación de contraseñas en tu sitio, estás dando un gran paso. Sin embargo, permitir que una contraseña, sin importar cuán fuerte pueda ser, esté establecida durante mucho tiempo es como dejar de optimizar tu contenido para el SEO: solo son malas noticias. Es por eso que debes exigir a todos los usuarios que actualicen sus contraseñas con frecuencia. Por ejemplo, cada 3 o 4 meses.

5.- Rechaza lo viejo

Hay algunos usuarios que consideran que está bien volver a usar una contraseña que han usado dos o tres actualizaciones anteriores (si cambias y actualizas tus contraseñas). Pero esta no es una buena práctica, debes evitar usar contraseñas anteriores.

6.- Agrega el factor de doble autenticación

Incluso con las contraseñas más fuertes y las mejores prácticas de seguridad que puedan llevar a cabo los usuarios, no eres totalmente inmune a un ataque. Para proporcionar protección adicional, debes usar la autenticación de dos factores. Básicamente, se trata de que los usuarios activen un segundo dispositivo o aplicación (como Google Authenticator) que les generará una contraseña temporal, que luego deberán usar para confirmar su identidad antes de que puedan iniciar sesión en WordPress.

Existen algunos plugins de seguridad que permiten activarle la autenticación de dos factores a tu sitio.

7.- Descarga e instala un plugin de seguridad

Muchos plugins de seguridad no solo supervisan tu sitio y proporcionan parches para las vulnerabilidades detectadas. Sino que también puedes usar estos plugins para limitar el número de intentos de inicio de sesión fallidos como una medida para evitar los ataques de fuerza bruta.

Algunos plugins de seguridad premium también te permitirán auditar las contraseñas de sus usuarios. Si no has sido demasiado extricto para aumentar la seguridad de las contraseñas hasta ahora, este poder definitivamente podría serte muy útil. Wordfence es uno de los plugins de seguridad que está equipado con esta funcionalidad.

8.- Usa un administrador de contraseñas

El mismo WordPress lo sugiere en su guía de contraseñas,

“la mejor forma de crear una contraseña segura es usar un administrador de contraseñas para generar una selección larga y aleatoria de letras, números y símbolos”.

Si bien WordPress ha hecho grandes avances para asegurar el inicio de sesión y fomentar las mejores prácticas de generación de contraseñas, aquí no hay funciones de guardado automático. No es que los usuarios de WordPress no puedan encontrar contraseñas largas y complicadas por sí mismos. El problema es el aspecto de la memorización.

Aquí es donde un administrador de contraseñas, desarrollado por terceros, como LastPass o 1Password es muy útil.

Estas herramientas tienen varias funciones interesantes:

  • Sirven como almacenamiento de nombres de usuario y contraseñas, por lo que solo debes buscar en un solo lugar la información de inicio de sesión de todos los sitios y aplicaciones.
  • También recopilan y aseguran otros datos confidenciales que sueles ingresar en línea con frecuencia, como por ejemplo los datos de tu tarjeta de crédito.
  • Los administradores de contraseñas pueden ayudar a los usuarios a generar contraseñas completamente nuevas y fuertes.
  • Cuando lo activas, un administrador de contraseñas rellenará automáticamente, con tus detalles de inicio de sesión,  los datos requeridos para ingresar a los sitios guardados. Esto se vuelve más conveniente si, por ejemplo, administras varias cuentas de usuario en el mismo sitio.

Pin It on Pinterest