Por norma general WordPress se suele instalar y hacer funcionar sobre Linux, y en este sistema operativo puede haber instalado y funcionando muchos servicios diferentes. Esto, por tanto da pie a pensar en que esa máquina Linux ha de mantenerse segura.
Una de las informaciones más habituales es la de mandar la información de qué servidor web utilizamos. Para ello, por ejemplo en Apache HTTPD podemos cambiar algunas configuraciones.
ServerTokens Prod
ServerSignature Off
TraceEnable Off
Otro de los lugares habituales de fugas de información es PHP. En este caso en el php.ini podemos hacer algunos cambios para proteger posibles fugas de datos.
expose_php = Off
display_errors = Off
track_errors = Off
html_errors = Off
Pero no sólo en estos servicios, también en otros como el SSH puede darnos cierta información. Por ejemplo en Debian y Ubuntu podríamos bloquear los datos en el fichero de /etc/ssh/sshd_config
.
DebianBanner no
También puede surgeir en servicios de correo como Postfix, donde se muestra la información y se puede cambiar por otra en el fichero /etc/postfix/main.cf
.
smtpd_banner = 0
Incluso, se podría revisar también en el servidor de DNS BIND, dentro del fichero de configuración named.conf
.
options {
version "ninguna";
}
Existen muchas otras opciones a revisar, pero el foco es revisar que todos los servicios que se instalan en la máquina y que sean accesibles desde el exterior oculten de forma explícita toda información de sus versiones para hacer más difícil un ataque.
Sobre este documento
Este documento está regulado por la licencia EUPL v1.2, publicado en WP SysAdmin y creado por Javier Casares. Por favor, si utilizas este contenido en tu sitio web, tu presentación o cualquier material que distribuyas, recuerda hacer una mención a este sitio o a su autor, y teniendo que poner el material que crees bajo licencia EUPL.