WordPress 3 Ultimate Security Book

Libro de Seguridad sobre WordPressWordPress 3 Ultimate Security es el libro que Olly Conelly ha publicado en Junio de 2011. Ha sido editado por Packt Publishing y se presenta en multiformato, o sea, que puede ser adquirido tanto por ebook como en papel.

El autor es un reputado administrador de sistemas, webmaster de vpsbible.com y con un canal de seguidores en twitter respetable (@the_guv). Es por ello, que la revisión de la obra se ha llevado a cabo conjuntamente con John Eckman y Kevin Kelly, dos pesos pesados en el desarrollo de aplicaciones y comunidades open source.

El libro, que puede considerarse como la Biblia de la Seguridad para WordPress, se distribuye en 11 capítulos, cada uno de ellos con sus respectivas explicaciones teórico-prácticas:

  1. So What’s The Risk? es un capítulo introductorio que relata al detalle todas las acciones que puedan comportar un riesgo para el servidor y el CMS. Se describen desde las amenazas físicas, últimas técnicas de blackhat, ingeniería social y todo tipo de malware enumerado.
  2. Hack or be Hacked se centra en la metodología hacker, configuraciones dns, seguridad de los nombres de dominio,etc…Lo interesante de esta parte es que cuenta al detalle todas las herramientas disponibles para proceder a auditorías de seguridad tanto de servidores (Nessus,GFI,Qualys,Nexpose,..) como de páginas web (Wikto,HackersTarget,…).
  3. Securing the Local Box está más centrado en el área local y todas las configuraciones disponibles que debemos emplear para que Windows quede totalmente blindado antes amenazas, puesto que el trabajo principal en el desarrollo y pruebas con WordPress se realiza en este tipo de ambiente. Lo mejor: explica paso por paso las cuentas de usuarios, copias de seguridad y cifrados disponibles, configuración de firewalls como Comodo, ZoneAlarm, DefenseWall y uso de múltiples suites habituales de seguridad que a veces no comprendemos.
  4. Surf Safe o navegación segura es un capítulo que todavía no se adentra en el propio cms, sino que insiste en asegurar perimetralmente nuestra área local si trabajamos con Wireless, cliente de email o webmail. En sí, es un minilibro dentro de un libro que explica los protocolos de passwords y configuraciones wifi (WPA,WEP,TKIP,AES,WPA2,ocultaciones de SSID, filtros MAC,…) y posteriormente se centra en navegadores, PGP, proxies, VPN, certificados SSL,…
  5. Login Lock-Down es el capítulo que abarca lo referente al servidor donde está alojado nuestro wordpress y una de nuestras prioridades fundamentales como webmasters. Alojamiento en shared hosting o compartidos, creación de certificados SSL en VPS o en un servidor dedicado, uso de SSH y SFTP, asegurar phpmyadmin y descripción de todos los módulos de Apache (mod_auth donde se encuentra el .htaccess y el fichero passwd, mod_access,…). Tanto a nivel de usuario medio como avanzado es algo que debemos conocer. Nos cuidan la casa, pero debemos saber cómo de bien está cuidada y qué es lo que tenemos dentro,¿no?.
  6. Must-Do WordPress Tasks son las tareas obligatorias que deben realizarse en WP. Y son básicas y las hemos explicado en este blog: asegurar la entrada del administrador, guía de copias de seguridad, corrección de permisos en los ficheros y privilegios, ocultación de información del cms, reforzar el sistema de tablas, denegaciones de acceso a través de wp-config.php y su protección, y la edición correcta del fichero .htaccess. Muy recomendable todo esto si eres un desarrollador y deseas protocolizar tu método de trabajo para tus clientes.
  7. Galvanizing WordPress es el corazón principal de este libro. Habla de prevención, protección y formas de actuar. Es una referencia de todas nuestras relaciones en el CMS (links, comentarios, feeds, APIs, plugins instalados – errores y revisiones de código, jQuery, seguridad de los themes, etcétera). Lo mejor es la parte que se destina a reforzar aún más la seguridad de wordpress con el fichero .htaccess (bloqueos, reglas de denegación, anti DDoS, hotlinking, tipos de bots y filtrado y configuraciones de plugins firewall y antimalware en wordpress).
  8. Containing Content hace referencia a otro tipo de seguridad: la legal. Habla sobre el scraping, el abuso de content-friendly, temas de licencias, colaboraciones y copyrights. Establece medidas de prevención hotlinking y cuestiones sobre el robo de tu contenido y cómo afrontarlas (cordialmente, legalmente, DMCA,…).
  9. Serving Up Security es el capítulo referente al control panel de nuestro hosting. Se analiza al detalle el tipo de panel y sus características. El riesgo de los permisos y los ficheros ocultos y cómo pueden emplearse técnicas de sniffing para averiguar más de nuestro hosting. Por eso, es importante establecer una reglamentación que minimice cualquier riesgo. Además de profundizar sobre los system users, también lo hace sobre los ficheros SUID y SGID, y cuestiones de integridad que tengar que ver con el MD5 y criptografía GnuPG. Pero realmente, la gran utilidad del capítulo es, sin lugar a dudas, el tutorial para establecer, modificar y leer los logs del sistema (CLF).
  10. Solidifying Unmanaged nos adentra en el sector más avanzado que tiene que ver con el acceso SSH y su seguridad. Nos enseña a entrar por SFTP a través de OpenSSH y definir un espacio de trabajo seguro. Además de esto, se verán las configuraciones para algunos ficheros de vital importancia y que afectan en menor o mayor medida a WordPress como lo son el PHP.ini, phpMyAdmin y la base de datos MySQL. El capítulo ayudará a parchear nuestro PHP y a instalar SuPHP. Se adentra en el tema de las iptables y ayudará a configurar el firewall CSF como un módulo más en nuestro panel de control. Aprenderemos a cómo usarlo y escanear las vulnerabilidades que se presenten. A partir de aquí, relata modelos más avanzados con Netstat, cierre de puertos, uso de inetd o xinetd, etc..
  11. Defense in Depth es el último capítulo también en modo avanzado. Habla de la grSecurity en Kernel. Términos como la protección de memoria con PaX, el control de usuarios con RBAC y la integración de las alertas con OSSEC. Quizá el mejor contenido que exista en este nivel avanzado tiene que ver con los ataques DdoS que se protegerá con mod_evasive. También ModSecurity tiene cabida en el capítulo y las técnicas de auditoría que se emplean con Snort.

Desde luego, un completo e interesante manual que además de los 11 capítulos viene acompañado de 4 apéndices que desglosamos a continuación:

  • Apéndice A: Instalación y Uso de plugins de Seguridad para WordPress. Ofrece un listado de lo que debemos instalar para un perfecto acorazamiento de nuestro CMS.
  • Apéndice B: Problemas con WordPress (instalaciones de plugins,incompatibilidades, re-instalaciones, plugins infectados, inyecciones de código en plugins, chequeo fundamental de archivos principales,…)
  • Apéndice C: Es una completa política de seguridad desglosada por partes para cualquier sitio y qué todo webmaster, administrador de sistema, diseñador, internet marketer deberá establecer en su Business Plan y en el trabajo del día a día.
  • Apéndice D: Referencias y Enlaces de interés.

WordPress 3 Ultimate Security está disponible en Amazon para su venta a un precio de $49.99 (34.40 EUR) La verdad, es que si necesitas tener un concepto de seguridad tanto teórico como práctico de wordpress e incluso para otras plataformas, este libro es el complemento perfecto seas un novato en el tema, o bien, seas un usuario avanzado o profesional que necesite un completa guía de actuación o un protocolo para tu empresa. Recomendado al 100% por SeguridadWordpress.es.

Ultimate WordPress 3 Security 2011

Buy Ultimate WordPress 3 Security 2011 from Amazon

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *