Estos días ha habido un montón de noticias acerca de la vulnerabilidad HeartBleed y he podido ver como muchos bloggers que utilizan WordPress en sus propios hosts han hecho saltar las alarmas. Vamos a ver qué es realmente HeartBleed y cómo solucionarlo en WordPress.
¿Qué es el bug HeartBleed?
Antes que nada me gustaría aclarar qué es. HeartBleed es un bug que afecta a la librería de encirptación OpenSSL, esta librería se utiliza para encriptar las conexiones de prácticamente toda la red (me recuerda mucho a lo que pasó con java), lo que significa que afecta desde routers de ciertas marcas, hasta compañías como Google, Facebook, Yahoo, etc. Por supuesto si tienes un servidor propio (o alquilado) y tienes este software instalado también puede afectarte, ya que lo que hace este bug es permitir el robo de información protegida por encriptación SSL/TLS.
A grandes rasgos podríamos decir que HeartBleed funciona de la siguiente forma: Un atacante podría leer hasta 64K de la memoria de tu servidor. Esto significa que podría hacerse con contraseñas, claves privadas, usuarios, y cualquier cosa que hubiese en ese espacio de la memoria (que es bastante).
¿Afecta HeartBleed a tu sitio WordPress?
Desde luego el impacto que puede tener en tus sitios WordPress es bastante directo, pero como administrador de este tipo de sitios necesitas saber algo importante.
Si tu WordPress no utiliza HTTPS (es decir que has instalado un certificado SSL en tu web) entonces no deberías preocuparte por este problema.
Por suerte la gran mayoría de administradores de WordPress no utilizan el protocolo HTTPS, así que lo más seguro es que te haya tranquilizado leer la línea anterior.
Cómo solucionar HeartBleed en WordPress
Realmente no es una solución específica para WP, ya que tiene que ver directamente sobre el servidor y el software de encriptación OpenSSL, pero tienes que llevar a cabo un par de acciones en tu cms también. Si usas HTTPS en tu página deberías realizar las siguientes acciones:
- Actualizar el Software
En primer lugar si tu servidor o VPS no es autogestionado, deberías ponerte en contacto con tu proveedor de servidios para ver si han tenido en cuenta la vulnerabilidad. Asegúrate también de que toman medidas al respecto si no lo han hecho y solucionan el problema actualizando OpenSSL. En caso de que tú mismo gestiones el servidor deberás actualizar las librerías. - Generar un nuevo certificado SSL/TLS
Una vez solucionado el paso anterior no has terminado, ya que a pesar de haber arreglado el bug, el atacante podría haberse hecho con tus claves privadas, lo que implicaría que seguirías teniendo un sistema vulnerable. En este caso debes ponerte en contacto con tu proveedor de Certificados SSL/TLS y solicitar que generen unas nuevas claves para tus servicios, de esta forma las antiguas quedarán obsoletas y ya no podrán ser utilizadas. - Cambiar los datos de acceso
Ahora le toca la parte a tu WordPress, ya que lo ideal será que cambies las contraseñas de administración, así como las de los usuarios que tengan algún tipo de permisos que puedan comprometer tu sistema. Ten en cuenta que mientras no hayas solucionado los dos pasos anteriores, cualquier contraseña que pongas seguirá siendo susceptible de ser robada y utilizada, así que primero deberías centrar los esfuerzos en los pasos anteriores.
Una vez hecho esto ya podrás descansar tranquilo, ya que tu sistema volverá a ser seguro.
Si crees que ha quedado algún punto pendiente o ha faltado algún dato o recomendación te ruego dejes un comentario para que todos los usuarios podamos tenerlo en cuenta.
