El Protocolo Seguro de Transferencia de Archivos (SFTP, Secure File Transfer Protocol) y Secure Shell (SSH) son herramientas esenciales para gestionar tu sitio de WordPress de forma remota. Te permiten realizar tareas administrativas, transferir archivos y actualizar tu sitio desde cualquier lugar sin necesidad de estar en el servidor físico que aloja tu sitio.

Sin embargo, esta comodidad conlleva el inconveniente de posibles ciberamenazas. Por ejemplo, utilizar contraseñas débiles o no regular el acceso a estas herramientas puede dejar tu sitio vulnerable a hackers y otros actores maliciosos.

Para combatir estas amenazas, es crucial implementar funciones avanzadas de seguridad SFTP y SSH. Por eso Kinsta ha lanzado funciones adicionales relacionadas con la seguridad para ayudarte a mejorar la seguridad de tu WordPress. Estas funciones incluyen:

  1. Diferentes bases de datos y accesos SFTP/SSH para tus entornos.
  2. Restricciones de inicio de sesión por dirección IP.
  3. Controles de contraseña SFTP/SSH mejorados.
  4. Atajos de conexión SFTP.
  5. Posibilidad de desactivar SFTP/SSH.
  6. Acceso sólo con clave SSH.

Exploremos cada una de estas funciones, con ejemplos prácticos de cómo pueden ayudarte a gestionar y proteger mejor tu sitio.

1. Diferentes bases de datos y accesos SFTP/SSH para tus entornos

Siempre estamos buscando formas de ayudarte a evitar posibles brechas de seguridad. Una de las mejores prácticas es evitar el uso de credenciales de acceso idénticas en múltiples servicios y entornos de sitios web.

Ahora, cada entorno de sitio web alojado en Kinsta tiene una base de datos y unas credenciales de acceso SFTP/SSH únicas. Esto significa que cada entorno staging y el entorno en producción tendrán detalles de acceso separados.

Además, cambiar la contraseña de un entorno no afectará a otro. Este aislamiento garantiza que cualquier cambio en el control de acceso quede contenido dentro del entorno específico, mejorando la seguridad general.

Esta función ayuda a impedir el acceso a los archivos y bases de datos de tu sitio. Por ejemplo, si tienes desarrolladores trabajando en tu sitio, puede que quieras que sólo tengan acceso a tu entorno staging, donde puedes previsualizar su trabajo. Luego, cuando aprueben el trabajo, lo pasas al entorno en producción, donde no tienen acceso a los archivos ni a la base de datos del sitio.

2. Restricciones de acceso por dirección IP

Otra potente función de seguridad que hemos introducido recientemente es la posibilidad de restringir el acceso por dirección IP. Esta función te permite crear una lista de direcciones IP a las que se permite acceder a tu sitio web a través de SFTP/SSH y de los paneles de la base de datos phpMyAdmin.

Imagina que gestionas un sitio de WordPress con un equipo de desarrolladores que necesitan acceder al SFTP del sitio para actualizaciones y mantenimiento. Para este nivel adicional de seguridad del sitio, configuras una lista de permisos para asegurarte de que sólo los desarrolladores o las personas con direcciones IP aprobadas pueden conectarse a través de SFTP.

Si un desarrollador cambia de ubicación o necesitas conceder acceso temporal a una nueva dirección IP, puedes actualizar la lista de permitidos en consecuencia. Esto garantiza que el acceso permanece restringido a fuentes de confianza, protegiendo tu sitio de intentos de acceso no autorizados.

Las listas de IP permitidas se gestionan en la página Información del Sitio en MyKinsta, que se encuentra en Sitios WordPress > nombre del sitio > Información.

Encontrarás un icono de edición en el panel de acceso SFTP/SSH y Base de datos a la derecha de la etiqueta Lista de IP permitidas. Haz clic en ese icono para empezar a añadir o eliminar direcciones IP a las que se permite acceder a tu base de datos phpMyAdmin o conectarse para acceso shell o SFTP:

Haz clic en el icono de edición para gestionar una lista de direcciones IP permitidas para SFTP/SSH y la base de datos
Haz clic en el icono de edición para gestionar una lista de IP permitidas SFTP/SSH y de base de datos.

Si haces clic en el icono de edición de la lista permitida de cualquiera de los paneles, se abrirá un cuadro de diálogo Actualizar lista de IP permitidas como el que se muestra a continuación:

Añadir una dirección IP a una lista permitida en MyKinsta.
Añadir una dirección IP a una lista permitida en MyKinsta.

Puedes crear una lista permitida introduciendo direcciones válidas (Ejemplo: 45.229.77.9/32) en el campo Añadir direcciones IP y haciendo clic en el botón Añadir. También puedes añadir varias direcciones IP a la vez separándolas con comas.

Cuando una lista permitida está activa para SFTP/SSH o base de datos, se mostrará el número de IPs permitidas:

Este campo de la lista de IPs permitidas indica el número de IPs permitidas.
Este campo de la lista de IPs permitidas indica el número de IPs permitidas.

Además, siempre puedes eliminar direcciones de la lista de direcciones IP permitidas haciendo clic en el icono de la papelera situado junto a las entradas individuales o utilizando las casillas de verificación para seleccionar las entradas de la lista y, a continuación, haciendo clic en el botón rojo Eliminar dirección(es) IP.

La ventaja de esta función es que los hackers y actores maliciosos que no estén en la lista permitida no podrán ni siquiera intentar acceder.

3. Controles de contraseña SFTP/SSH mejorados

Poder diferenciar el acceso para todos los entornos y restringir los inicios de sesión por dirección IP son mejoras de seguridad útiles, pero puede que necesites aún más. Por ejemplo, hay situaciones en las que necesitas proporcionar acceso temporal a un desarrollador o a un servicio de terceros. Puede que no te acuerdes de eliminar a esa persona de la lista de IP aprobadas una vez finalizada su tarea. Aquí es donde entran en juego los controles de contraseña SFTP mejorados.

Por defecto, las contraseñas creadas en MyKinsta para el acceso SFTP/SSH no caducan automáticamente. Con nuestras recientes mejoras de seguridad, ahora puedes hacer clic en el icono de edición (lápiz) junto a la etiqueta Caducidad de contraseña para elegir una opción de caducidad automática:

Elegir un periodo de caducidad para las contraseñas SFTP/SSH.
Elegir un periodo de caducidad para las contraseñas SFTP/SSH.

Cuando activas la caducidad automática, el sistema de Kinsta generará una nueva contraseña al final del periodo elegido. Puedes acceder a la nueva contraseña revelándola o copiándola en el panel SFTP/SSH.

Además, ahora tenemos contraseñas más complejas. Las contraseñas predeterminadas o generadas son ahora más complejas, lo que hace que las contraseñas sean más difíciles de adivinar o descifrar. Las contraseñas complejas suelen incluir letras mayúsculas y minúsculas, números y caracteres especiales, lo que las hace significativamente más fuertes contra los ataques de fuerza bruta.

4. Atajos de conexión SFTP

Imagina que gestionas varios entornos de WordPress en Kinsta, como el de staging y el de producción. Cada entorno requiere una configuración SFTP única para el acceso. Sin atajos de conexión, debes introducir y verificar manualmente estos ajustes en tu cliente SFTP cada vez que te conectes.

Con los nuevos accesos directos de conexión SFTP, puedes simplemente descargar los archivos de configuración de cada entorno e importarlos a tu cliente SFTP. Esto garantiza que todos los ajustes son correctos y reduce significativamente el tiempo y el esfuerzo necesarios para establecer conexiones seguras.

En la página Información del Sitio en MyKinsta, que se encuentra en Sitios de WordPress > nombre del sitio > Información, haz clic en el icono de descarga situado junto a la etiqueta Archivos de configuración del cliente FTP para descargar estos documentos como un archivo ZIP. Dentro del archivo, encontrarás archivos como estos:

Contenido de un archivo ZIP de configuración de cliente.
Contenido de un archivo ZIP de configuración de cliente.

Los formatos de archivo anteriores pueden utilizarse para distintos programas cliente; el nombre ya sugiere el cliente perfecto. Por ejemplo:

5. Posibilidad de desactivar SFTP/SSH

Acabas de realizar una actualización importante en tu sitio de WordPress. Como es habitual, es posible que utilices SFTP y SSH para realizar estos cambios. Como de costumbre, es posible que utilices SFTP y SSH para realizar estos cambios. Una vez finalizada la actualización, puedes desactivar el acceso SFTP y SSH hasta la próxima vez que los necesites. De esta forma, aunque alguien intente conectarse utilizando credenciales robadas, no podrá acceder porque los servicios no están en funcionamiento.

Muchos de nuestros usuarios han solicitado esta función en el pasado, y nos complace haberla implementado, minimizando la superficie de ataque en los sitios web.

En la página Información del Sitio en MyKinsta, si SFTP/SSH está activado, verás un botón Desactivar en la esquina superior derecha del panel. Haz clic en el botón y se te pedirá que confirmes la acción:

Se pide a un usuario que confirme la desactivación del acceso SFTP/SSH a un entorno WordPress
Se pide al usuario que confirme la desactivación del acceso SFTP/SSH a un entorno WordPress.

Cuando se desactiva SFTP/SSH para un entorno de sitio web, los detalles de configuración no son relevantes, por lo que todo el panel SFTP/SSH aparece en gris, y un botón Activar sustituye al botón Desactivar:

Con SFTP/SSH desactivado, el botón Activar te permite invertir ese estado.
Con SFTP/SSH desactivado, el botón Activar te permite invertir ese estado.

Esto es especialmente útil si sólo utilizas ocasionalmente estos protocolos para mantenimiento o actualizaciones.

6. Posibilidad de utilizar SFTP/SSH sólo con una clave SSH

Por defecto, las contraseñas y los pares de claves SSH pueden autenticar el acceso SFTP/SSH a los entornos de WordPress en Kinsta. Sin embargo, muchos de nuestros clientes han expresado su preocupación por la seguridad del acceso con contraseña y prefieren la solidez de la autenticación con clave SSH.

Con nuestras recientes mejoras de seguridad, ahora puedes desactivar la autenticación por contraseña y confiar únicamente en las claves SSH.

¿Por qué utilizar claves SSH? Las claves SSH son pares de claves criptográficas que se utilizan para autenticar a un usuario. Las claves SSH son prácticamente imposibles de descifrar, a diferencia de las contraseñas, que se pueden adivinar o descifrar. Esto las convierte en un método de autenticación mucho más seguro.

También puedes añadir una capa de seguridad estableciendo una frase de contraseña para tu clave SSH. Esto significa que aunque alguien acceda a tu clave privada, seguirá necesitando la frase de contraseña para utilizarla, lo que supone una protección adicional.

Haz clic en el icono de edición (lápiz) situado junto a la etiqueta Métodos de autenticación para desactivar o volver a activar la autenticación con contraseña. Verás este mensaje:

Elegir si se permite la autenticación SFTP/SSH mediante contraseña.
Elegir si se permite la autenticación SFTP/SSH mediante contraseña.

La autenticación mediante contraseña está siempre disponible mientras SFTP/SSH esté activado. Puedes seleccionar o deseleccionar la opción Contraseña y luego hacer clic en el botón Guardar cambios.

¿Cuál es el objetivo final de estas mejoras de seguridad?

En Kinsta nos tomamos muy en serio la seguridad. El objetivo final de estas mejoras de seguridad es proporcionar un marco de seguridad completo y robusto para tu sitio de WordPress.

Al implementar estas funciones avanzadas de SSH y SFTP, pretendemos alcanzar varios objetivos clave:

  1. Reducir las vulnerabilidades: Cada una de estas mejoras aborda vulnerabilidades específicas asociadas con el acceso remoto, la gestión de contraseñas y los intentos de inicio de sesión no autorizados. Al reforzar estas áreas, reducimos significativamente los posibles vectores de ataque que podrían explotar los actores maliciosos.
  2. Mejora de la protección: Estas funcionalidades trabajan juntas para crear múltiples capas de seguridad. Desde el uso de contraseñas complejas y de caducidad automática hasta la implementación de restricciones de inicio de sesión por dirección IP y autenticación SSH basada en claves, cada capa añade una barrera contra el acceso no autorizado.
  3. Mejorar la gestión: La seguridad no debe ir en detrimento de la facilidad de uso. Funciones como los accesos directos de conexión SFTP y la posibilidad de gestionar los métodos de autenticación a través de MyKinsta facilitan a los administradores del sitio la implementación y el mantenimiento de prácticas de seguridad sólidas sin sacrificar la comodidad.
  4. Garantizar la flexibilidad: Al proporcionar opciones como la desactivación del acceso SFTP/SSH y la configuración de credenciales independientes para los entornos staging y activos, ofrecemos una flexibilidad que satisface diversas necesidades operativas a la vez que mantiene altos niveles de seguridad.
  5. Generar confianza: Saber que tu sitio de WordPress está protegido por estas medidas de seguridad avanzadas te permite centrarte en la creación y el mantenimiento de tu sitio sin preocuparte constantemente por posibles amenazas a la seguridad.

Resumen

Estas funciones de seguridad avanzadas proporcionan una sólida protección a tu sitio de WordPress, garantizando tu tranquilidad y permitiéndote centrarte en lo que realmente importa: construir y mantener tu sitio.

Además de estas nuevas mejoras, aprovechamos herramientas como Google Cloud y Cloudflare para cortafuegos, protección DDoS y SSL wildcard gratuito.

Auditores independientes también han confirmado el cumplimiento de las normas de seguridad de los Controles de Sistemas y Organización (SOC). Puedes solicitar acceso al informe SOC 2 Tipo II de Kinsta desde nuestra página Informe de confianza.

Empieza a utilizar nuestro entorno seguro encontrando el mejor plan de alojamiento web.

Joel Olawanle Kinsta

Joel is a Frontend developer working at Kinsta as a Technical Editor. He is a passionate teacher with love for open source and has written over 300 technical articles majorly around JavaScript and it's frameworks.