Publicado el

Recomendación técnica sobre «wp-config.php»

Este artículo forma parte de un tutorial más completo, que se llama: ¿Cómo crear un sitio web en WordPress for dummies?, aquí estamos explicando paso a paso las recomendaciones para crear un sitio web en WordPress y cómo impulsarlo con tráfico.

Recomendación técnica sobre wp-config.php

Por defecto los permisos que trae wordpress para el archivo wp-config.php es que el dueño puede leer y escribir (rw- — —), pero a nivel de seguridad, sólo debería estar tildada la opción que el dueño pueda leer solamente (r– — —).

Hagamos la modificación desde Plesk.

Del lado derecho, haga click en el icono de 3 rayas horizontales:

Y hace click en «Change Permissions» para ver y modificar los permisos.

wp-config.php debe tener sólo el permiso de lectura, no de escritura, es decir de esta forma:

Para validar, al hacer click en OK, debe aparecer así en su file manager de Plesk:  

De esta forma está asegurando que sólo usted puede leer el archivo.

Pregunta: ¿Y si necesito modificarlo en el futuro, cómo hago, si ya no tengo el permiso de escritura?

De la misma forma que editamos por Plesk los permisos usted en el momento en que necesite editar, le habilita el permiso de escritura, hace el cambio que necesite como hicimos con wp mail y al terminar recuerde devolver el permiso a lectura por el dueño únicamente.

Hasta este punto usted puede pensar que es un poco extenso hacer todo este proceso, para crear su sitio web, por eso al principio le ponía que si usted es de esas personas que le gusta hacer las cosas por usted mismo, está en el sitio indicado.

En caso que usted prefiera dejar en manos de profesionales el diseño de su sitio web, le recomiendo que vea Net4CMS

WordPress es sistema muy útil, intuitivo, de código abierto, pero a su vez al hacer tantas cosas, es importante conocer bien los aspectos que hay que modificar, ajustar, asegurar para evitar exponer información sensible de la empresa si su sitio web es para la empresa.

Puede continuar con el siguiente artículo: Recomendaciones de seguridad para WordPress

¿Qué le pareció el artículo?, ¿fue útil?, déjenos sus preguntas si no pudo realizar algún paso y con mucho gusto le ayudaremos.

Publicado el

¿Qué es el doble factor de autenticación «2fa» y para qué sirve?

2fa-doble-factor-autenticación-seguridad

El doble factor de autenticación es un mecanismo que envía una segunda clave una vez usted ya ha utilizado su usuario y contraseña para iniciar sesión en algún sitio. Supongamos el banco, una vez usted inicia sesión con su usuario y contraseña, puede pedirle que ingrese un código que le envían por correo, por sms o con un dispositivo electrónico.

Esto aumenta el nivel de seguridad, imagine que una persona escribe sus claves en un cuaderno y alguien vea ese cuaderno, es un problema ¿verdad?.

El 2FA o doble factor de autenticación, aumenta la seguridad en caso que alguien haya descubierto su contraseña, porque adicionalmente tendría que tener acceso a su teléfono, correo o tendría que también tener el dispositivo electrónico.

En los sitios web que creamos para los clientes con Net4CMS le incluimos un componente que valida el 2FA, de forma que el usuario debe agregar otro código que no conoce y que es enviado o generado por su teléfono.

¿Es posible adivinar o predecir el código generado por 2FA?

predecir-2fa-doble-factor-acertar-adivinar

La probabilidad de descubrir en 30 o 60 segundos, un código de 6 dígitos, es muy pequeña. 10x10x10x10x10x10 es la cantidad de combinaciones posibles, en cada casilla son 10 números posibles, del 0 al 9, multiplicado por la cantidad de casillas, serían 1.000.000 de posibilidades. en 30 segundos probablemente mientras la escribe, le de oportunidad de hacer 1 prueba de 1 millón de números, la probabilidad que usted la acierte es realmente escasa. Al pasar los 30 o 60 segundos, se cambia a un nuevo código y vuelve a tener la misma probabilidad de 1 en 1 millón, como la canción de ilan chester.

Hay personas que no les gusta ingresar un código adicional, porque parece un tiempo adicional que hay que invertir para ingresar a sus sitios, pero esto es un costo, por tener mayor seguridad.

Esto también se ha venido implementando a nivel mundial, debido a que muchas personas utilizan claves genéricas, como 123456, o con fechas de cumpleaños, en fin, que son muy fáciles de deducir o que utilizan la misma contraseña para varios servicios. Entonces el 2FA es una protección adicional que es recomendable usar.