Navegando por la red me he encontrado un script en Python al que han llamado WPHardening y sirve para fortificar una instalación de WordPress. Quizás a alguien le interese este script, pero lo cierto es que no hace nada que no podamos hacer de forma manual.
Por decirlo de alguna manera, este script tiene la simple curiosidad de que es un script que automatiza algunas de las tareas para fortificar WordPress. El script está disponible a través de su página en GitHub y ahí encontrarás instrucciones de instalación y de uso.
Tareas de fortificado que puede realizar el script WPHardening.
Lo primero de todo, aclarar que WPHardening funciona en modo consola y siempre tendremos que indicar con el modificador -d la localización de la instalación WordPress.
Por ejemplo, puedes ejecutar el comando python wphardening.py -d /ruta/www/wordpress -v para verificar que la instalación de WordPress está en la ruta indicada.
Las posibilidades que nos brinda WPHardening son las siguientes:
- Puede verificar los permisos de archivos y carpetas para que conseguir una estructura de permisos más segura. Básicamente, lo que hace el script es asignar permisos
644 a ficheros y 755 a directorios.
- Permite eliminar ficheros que no están en uso.
- Crea un archivo robots.txt, pero a esta opción no termino de verle la utilidad.
- Permite eliminar aquellos ficheros que revelan la versión de WordPress que estamos usando.
- Verifica que no tenemos la librería TimThumb instalada (suele ser parte de temas y plugins). Esta librería tiene múltiples vulnerabilidades y es recomendable no usarla.
- Crea archivos index. Esta opción evita que se pueda navegar por el contenido de las carpetas usando archivos index que mostrarán la pantalla en blanco.
- Podemos deshabilitar la REST API.
- Posibilidad de añadir las reglas de protección conocidas como 6G-Firewall al archivo
.htaccess. Esta opción puede traer incompatibilidades y debe quedar claro que no se trata de ningún firewall.
- Descarga automática de plugins de seguridad.
Opinión personal sobre este script.
Debo reconocer que es un proyecto interesante, pero personalmente estos scripts no me gustan, ya que no garantizan nada. Creo que es más conveniente invertir tiempo averiguando técnicas de fortificación y cómo implementarlas nosotros mismos, que confiar nuestra seguridad a una herramienta con automatismos.
Para terminar, debo añadir que este script ya hace tiempo que no se actualiza y quizás no sea compatible con las última versiones de WordPress.
