Seguridad en WordPress

¿Por qué debo tener https en mi web?

En esta ultima semana a cundido un poco el pánico con la llegada de Google Chrome 68, la nueva versión del navegador de Google que marca como inseguras todas la paginas que no tengan el protocolo https implementado. Pero exactamente, ¿que significa no tener https:// al inicio de la URL de nuestra web?

Hablando de una manera técnica, es que no se realiza el cifrado SSL/TSL en los datos que los visitantes de nuestra web envíen a través de ella.

¿Por qué debo tener https en mi web?

Para que todos nos entendamos, lo que hace el protocolo https es que cuando un usuario envía algún dato a través de formulario, los datos que se envían se ofuscan y son muy complicados de leer y eso nos garantiza que los datos estarán seguros.

¿De que manera pueden leer los «hackers» nuestros datos?

Existen diferentes técnicas, pero la más distendida es el sniffing. Básicamente es escuchar el tráfico de la red con un programa como WireShark. Con los sistemas de seguridad de los routers y los protocolos actuales, ya no es tan sencillo como antes, pero aún así existen muchas maneras de conseguir esos datos. Por eso mismo es importante tener la encriptacion SSL/TSL activada en nuestro sitio. Para que sea más ilustrativo, he realizado unas capturas de los datos que se envían entre nuestra web y el servidor cuando accedes desde tú /wp-admin si tienes https en tu web o no.

Que envías cuando tienes https

He creado un usuario llamado «UsuarioPrueba» con una contraseña «contraseñaprueba», en una instalación de prueba. En esta primera captura vemos la pinta que tienen los datos de inicio de sesión cuando accedemos a nuestro WordPress.

Captura de pantalla donde se muestran los datos cuando inciamos sesion en un WordPress con certificado SSL activo

Como vemos en la 5ª columna el protocolo es TLS  siendo este el envío de algunos datos desde la web al servidor. Si los inspeccionamos por dentro podemos ver que no conseguimos entender nada, salvo alguna que otra url  que he ocultado con un filtro por seguridad, como se muestra en la siguiente captura.

Datos concretos de la petición de acceso a WordPress con https en nuestra web

Entre ese código ilegible se encuentran datos que están encriptados. Como nuestro usuario y contraseña o cualquier dato que pasáramos a través de un formulario de nuestra web.

Lo que envías sin tener https

Al no tener nuestro SSL/TSL implementado en nuestra web cuando hacemos una llamada a la base de datos y le proporcionamos datos para que realice alguna operación, usamos el protocolo http de toda la vida y en este caso lo que nos encontramos cuando echamos un ojo a los datos es algo muy diferente a lo anterior.

Muestra de los datos de nuestros usuarios enviados a través de POST sin ssl activado en nuestra web

En esta captura nos encontramos cosas bastante interesantes como, que nos dice a que archivo se le está haciendo la llamada con método POST, que es el wp-login.php a través de HTTP/1.1, además podemos ver que posteriormente hace un GET al archivo profile.php que se encuentra dentro del wp-admin. Estos datos no se mostraban antes tan claramente, pero eso no es todo, si pulsamos en la petición que esta marcada en azul, podremos ver claramente los datos de usuario que hemos puesto en nuestro formulario, o sea usuario y contraseña.

Datos de usuario donde se muestran claramente el usuario y contraseña por la peticion

Aquí vemos claramente log=usuarioDePrueba que es nuestro usuario y pwd=contrase%C3%B1adeprueba que si os fijáis tiene unos caracteres extraños de por medio, pero no es más que una «ñ» en formato UTF-8 si buscáis en una página como UTF-8 encodig puedes consultar que carácter es en concreto. Así que ya tendríamos el usuario y contraseña de la persona que hubiera iniciado sesión en su WordPress. No es un ejemplo que pueda pasar comúnmente en la vida real pero es bastante ilustrativo de lo que hace tener https activado en nuestra web.

Solo imaginaros que estos datos fueran los de nuestra tarjeta bancaria o alguno por el estilo. Por eso mismo recomiendo siempre tener mucho cuidado en las redes publicas abiertas que sean sospechosas ya que nunca se sabe quien puede estar escuchando.

La importancia de tener https en nuestra web

En conclusión después de lo mostrado, solo me queda decir que si os da igual que Google os muestre como web insegura, al menos implementéis https por vuestros clientes/usuarios que navegan por vuestra web y confían en que todo es seguro y no les pasara nada a sus datos.

Si nos sabes como implementar un certificado SSL en tu web, puedes pedirnos presupuesto y te lo instalaremos sin problemas en tu WordPress.

Hasta la semana que viene, ¡un saludo! 😀

¡Suscríbete a nuestra newsletter y recibe nuestras ofertas, novedades y descuentos directamente en tu email!