Tema: Seguridad en Wordpress. Varias cuestiones

[DocBrown]

A las buenas.

Tengo un asuntillo en el curro con Wordpress y me surgen unas cuantas dudas en cuanto a temas de seguridad.

Se trata del control de usuarios y acceso a páginas y documentos. Todo el sitio es privado. El tema de qué usuarios pueden acceder a qué lo tengo bien encauzado con el uso de roles. Todo el sitio es privado y se pretende ponerlo bajo https e incluso teniendo que instalar certificados para poder acceder, ya que hay información bastante delicada. ¿Cómo puedo maximizar la seguridad en cuanto a la validación de usuarios?

En cuanto el acceso a documentos, se hace a través de páginas y enlaces a los mismos. En las páginas puedo controlar qué tipo de usuario accede, pero ¿y a los documentos en sí si un usuario no autorizado a ver x documento trata de acceder a él directamente? El servidor es Windows y se instalará (según me comentan de sistemas) un controlador de dominio, así que supongo que se podrán dar los permisos a grupos de usuarios mediante políticas, y sé que hay plugins para validar a los usuarios contra Active Directory ¿Estoy en lo correcto o se me va la pinza? Es que en esto de la seguridad ando bastante pez.

Mil gracias.

[Liamngls]

¿Ese Wordpress va a estar en Internet o solamente en una red local/intranet?

[DocBrown]

Va a estar en internet, de ahí todo el tema de seguridad. El objetivo es que los que trabajan en las instalaciones de los clientes puedan acceder a la documentación sin necesidad de VPN

[Liamngls]

Supongo que los servidores windows, al igual que apache, permitirá poner contraseña  a los documentos, esa podría ser una forma de hacerlo.

[DocBrown]

Ah, pues mira, no se me había ocurrido. Gracias. Se lo comentaré a sistemas a ver qué me cuenta.

[Dabo]

Además de eso, puedes instalar algunos plugins interesantes como secure wordpress., block bad queries., login lockdown, Recently Registered y Register Plus, proteger el acceso vía htpassw al admin, etc.

Todos usados con éxito 

[DocBrown]

Gracias Dabo. Ya he seguido los pasos que recomiendan para mejorar la seguridad: cambiar prefijo de tablas, bloquear acceso a htaccess, he instalado login lock y alguna cosilla más. También he instalado un plugin para validar contra Active Directory que probaremos hoy a ver que tal va.

Una preguntilla. Si protejo wp-admin con htpassw, los usuarios normales no podrán acceder a su perfil salvo que les dé su usuario/contraseña ¿verdad? Es que con login lock les he puesto que cambien la contraseña cada 30 días y tendrían que poder acceder.

Otra cuestión al margen de la seguridad. La instalación está hecha en un servidor propio, que está físicamente en nuestra oficina. ¿Existe la posibilidad de que accedan los externos a través de un nombre de dominio público y los internos a través de la ip interna? Lo digo por el tema de la url en la base de datos.

Edito: Supuestamente si modifico los campos donde aparece http://ip-del-servidor/carpeta-wordpress por /carpeta-wordpress funcionaría todo correctamente independientemente de por donde lleguen las peticiones ¿no? Voy a probar a ver si no revienta todo 

Gracias

[DocBrown]

Edito: Supuestamente si modifico los campos donde aparece http://ip-del-servidor/carpeta-wordpress por /carpeta-wordpress funcionaría todo correctamente independientemente de por donde lleguen las peticiones ¿no?

Ya me contesto por si a alguien le interesa: efectivamente, de esta forma funciona

[Dabo]

Cierto Doc, en general veo que estás con un nivel de seguridad ya importante, ya nos contarás

[DocBrown]

Bueno, de momento me han encargado otra tarea, así que el tema de wordpress queda en reposo hasta nueva orden. Ya os iré contando porque me imagino que a alguien más en el mundo mundial le interesará.