Foros de daboweb

MULTIMEDIA, Video digital, Grabación, Diseño gráfico, Diseño web, Programación => Webmasters - Diseño Web - Programación - Diseño gráfico => Mensaje iniciado por: DocBrown en 18 de Mayo de 2011, 12:54:24 pm

Título: Seguridad en Wordpress. Varias cuestiones
Publicado por: DocBrown en 18 de Mayo de 2011, 12:54:24 pm

A las buenas.

Tengo un asuntillo en el curro con Wordpress y me surgen unas cuantas dudas en cuanto a temas de seguridad.

Se trata del control de usuarios y acceso a páginas y documentos. Todo el sitio es privado. El tema de qué usuarios pueden acceder a qué lo tengo bien encauzado con el uso de roles. Todo el sitio es privado y se pretende ponerlo bajo https e incluso teniendo que instalar certificados para poder acceder, ya que hay información bastante delicada. ¿Cómo puedo maximizar la seguridad en cuanto a la validación de usuarios?

En cuanto el acceso a documentos, se hace a través de páginas y enlaces a los mismos. En las páginas puedo controlar qué tipo de usuario accede, pero ¿y a los documentos en sí si un usuario no autorizado a ver x documento trata de acceder a él directamente? El servidor es Windows y se instalará (según me comentan de sistemas) un controlador de dominio, así que supongo que se podrán dar los permisos a grupos de usuarios mediante políticas, y sé que hay plugins para validar a los usuarios contra Active Directory ¿Estoy en lo correcto o se me va la pinza? Es que en esto de la seguridad ando bastante pez.

Mil gracias.

Título: Re: Seguridad en Wordpress. Varias cuestiones
Publicado por: Liamngls en 18 de Mayo de 2011, 11:55:53 pm

¿Ese Wordpress va a estar en Internet o solamente en una red local/intranet?

Título: Re: Seguridad en Wordpress. Varias cuestiones
Publicado por: DocBrown en 19 de Mayo de 2011, 10:04:03 am

Va a estar en internet, de ahí todo el tema de seguridad. El objetivo es que los que trabajan en las instalaciones de los clientes puedan acceder a la documentación sin necesidad de VPN

Título: Re: Seguridad en Wordpress. Varias cuestiones
Publicado por: Liamngls en 20 de Mayo de 2011, 04:00:12 am

Supongo que los servidores windows, al igual que apache, permitirá poner contraseña  a los documentos, esa podría ser una forma de hacerlo.

Título: Re: Seguridad en Wordpress. Varias cuestiones
Publicado por: DocBrown en 21 de Mayo de 2011, 04:29:12 am

Ah, pues mira, no se me había ocurrido. Gracias. Se lo comentaré a sistemas a ver qué me cuenta.

Título: Re: Seguridad en Wordpress. Varias cuestiones
Publicado por: Dabo en 01 de Junio de 2011, 02:15:11 am

Además de eso, puedes instalar algunos plugins interesantes como secure wordpress., block bad queries., login lockdown, Recently Registered y Register Plus, proteger el acceso vía htpassw al admin, etc.

Todos usados con éxito  ;-)

Título: Re: Seguridad en Wordpress. Varias cuestiones
Publicado por: DocBrown en 01 de Junio de 2011, 09:06:07 am

Gracias Dabo. Ya he seguido los pasos que recomiendan para mejorar la seguridad: cambiar prefijo de tablas, bloquear acceso a htaccess, he instalado login lock y alguna cosilla más. También he instalado un plugin para validar contra Active Directory que probaremos hoy a ver que tal va.

Una preguntilla. Si protejo wp-admin con htpassw, los usuarios normales no podrán acceder a su perfil salvo que les dé su usuario/contraseña ¿verdad? Es que con login lock les he puesto que cambien la contraseña cada 30 días y tendrían que poder acceder.

Otra cuestión al margen de la seguridad. La instalación está hecha en un servidor propio, que está físicamente en nuestra oficina. ¿Existe la posibilidad de que accedan los externos a través de un nombre de dominio público y los internos a través de la ip interna? Lo digo por el tema de la url en la base de datos.

Edito: Supuestamente si modifico los campos donde aparece http://ip-del-servidor/carpeta-wordpress por /carpeta-wordpress funcionaría todo correctamente independientemente de por donde lleguen las peticiones ¿no? Voy a probar a ver si no revienta todo  :-6

Gracias

Título: Re: Seguridad en Wordpress. Varias cuestiones
Publicado por: DocBrown en 01 de Junio de 2011, 04:14:07 pm

Cita de: DocBrown en 01 de Junio de 2011, 09:06:07 am

Edito: Supuestamente si modifico los campos donde aparece http://ip-del-servidor/carpeta-wordpress por /carpeta-wordpress funcionaría todo correctamente independientemente de por donde lleguen las peticiones ¿no?

Ya me contesto por si a alguien le interesa: efectivamente, de esta forma funciona :)

Título: Re: Seguridad en Wordpress. Varias cuestiones
Publicado por: Dabo en 02 de Junio de 2011, 08:25:05 am

Cierto Doc, en general veo que estás con un nivel de seguridad ya importante, ya nos contarás ;)

Título: Re: Seguridad en Wordpress. Varias cuestiones
Publicado por: DocBrown en 06 de Junio de 2011, 10:09:29 pm

Bueno, de momento me han encargado otra tarea, así que el tema de wordpress queda en reposo hasta nueva orden. Ya os iré contando porque me imagino que a alguien más en el mundo mundial le interesará.

Título: Re: Seguridad en Wordpress. Varias cuestiones
Publicado por: Dabo en 06 de Junio de 2011, 11:07:18 pm

Seguro que sí, ya nos pondrás al día de las noverdades ;)

Título: Re: Seguridad en Wordpress. Varias cuestiones
Publicado por: DocBrown en 14 de Junio de 2011, 11:05:03 am

He activado SSL para que sólo los usuarios con nuestro certificado puedan acceder. Tremendamente útil este tutorial http://helektron.com/tutorial-como-crear-una-autoridad-certificadora-ca-con-openssl/