Ha sido hasta la fecha nuestra meetup más secretista y es que no podía ser menos al tratar sobre un tema tan delicado: nuestra seguridad. Miguel Gesteiro, un miembro de la comunidad Vigo Tech vino a contarnos a todos aquellos que no teníamos cena de Navidad o que calentar los sables láser antes del estreno de Star Wars una historia de verdadero terror con WordPress. Y, sobre todo, a cómo evitar ser nosotros protagonistas de una historia similar. O si lo somos, que tenga final feliz. Sobre todo para nuestra cartera. Y para nuestra web, claro, también.

La charla comenzó con la historia de terror basada en hechos reales en las que una mañana un administrador de sistemas empezó a recibir llamadas por culpa de una web que no sólo no funcionaba sino que estaba infectada… ¡Dios mío! ¿Qué hacer cuando hay una intrusión? Miguel nos dio una serie de pasos que se resumen en análisis, contención, recuperación y sobre todo, coordinación.

WordPress tiene tres pilares, su core, que tiene un equipo de seguridad que se preocupa de que no tenga problemas, los plugins y los temas. Por estos dos últimos, sobre todo por los plugins es por donde suelen llegar la mayoría de problemas.

Al final, toda instalación tiene una serie de puntos débiles y aunque a nivel de sistema tenemos que tener cuidado con WordPress (siempre en la última versión) y con el propio servidor que hemos contratado (lo barato sale caro), con lo que más ojo hay que tener es con nuestra propia pereza y el factor humano: contraseñas débiles, plugins y temas de dudosa procedencia, malos usos…

Miguel nos contó al detalle qué ocurrió en esa historia de terror, cómo un plugin llamado Helo, Dolly había provocado una reacción en cadena terrible. Y nos explicó cómo arregló el desaguisado, que hubiera sido más sencillo si el cliente hubiera seguido unas sencillas recomendaciones como tener backups externos diarios.

Finalmente nos dio una serie de recomendaciones para tener nuestros WordPress lo más seguros posibles:

  1. Prepararse para lo peor. Seguir las recomendaciones del Codex de WordPress para ello: copias de seguridad, contraseñas seguras, cambiar la URL de administrador, vigilar los permisos de los archivos, instalar sólo plugins de desarrolladores de fiar, actualizar a las últimas versiones…

  2. Monitorizar nuestra web. Que no nos enteremos de que algo malo pasa cuando Google nos ha marcado como un sitio peligroso.

  3. Tener un plan. Aunque el plan sea llamar a un especialista lo antes posible. O tener por escrito el «análisis, contención, recuperación» del principio.

Después de una larga ronda de preguntas en las que cada uno pudo solventar sus dudas sobre la seguridad, los profesionales de la misma y diferentes herramientas, dimos por finalizada la charla y nos subimos a la Praza da Verdura a continuar con la charla WordPressera hasta tarde.

Si tenéis alguna duda podéis ponerla en los comentarios o, aún mejor, pasar por la próxima meetup y hacérnosla en persona, estaremos encantados de seguir compartiendo conocimiento.