Escribí hace un tiempo sobre Let's Encrypt, la primera organización de certificación que emite certificados gratuitos y de manera automática. Contaba entonces cómo obtener certificados Let's Encrypt. Desde entonces la manera de obtener certificados ha cambiado: ahora es más sencillo obtenerlos, renovarlos, anularlos... Hago un repaso aquí de los comandos necesarios para mantener certificados Let's Encrypt.
Para instalar cerbot, la Electronic Frontier Foundation pone a disposición una herramienta web en la que, eligiendo el sistema operativo y el servidor web usado, devuelve la versión de certbot y las instrucciones precisas para instalarla y su uso básico.
Password Store es un gestor de contraseñas para Android compatible con pass, el gestor de contraseñas de línea de comandos sobre el que escribí no hace mucho. Es probablemente la mejor opción para disponer en Android de una base de datos de contraseñas personales generada con pass.
El interés de pass es que permite almacenar las contraseñas en un repositorio git cifrado bajo una clave público privada. Por ello Password Store necesita una aplicación, como OpenKeychain, que permita gestionar contenido cifrado.
pass es un gestor de contraseñas de línea de comandos. Sigue la filosofía UNIX, toda una cultura y unos valores surgidos alrededor del desarrollo del sistema operativo UNIX: minimalismo, modularidad, facilidad de reutilización del código. En la práctica este tipo de desarrollo produce programas que hacen una sola cosa muy bien, programas que se pueden combinar de la misma manera que se usan las bibliotecas en diferentes entornos de programación, programas que utilizan archivos de texto para guardar la información y configuración. Son valores que Linux ha heredado.
El funcionamiento de pass es simple: guarda cada contraseña en un archivo de texto encriptado bajo una clave GPG. La base de datos de contraseñas es a su vez un repositorio git en el que cada nueva contraseña o modificación de una existente se añade mediante un commit que realiza automáticamente pass.
La estructura de archivos de texto hace que interactuar con pass sea muy sencillo, así que hay multitud de clientes que permiten acceder a la base de datos de contraseñas desde navegadores, editores, entornos de programación...
A continuación explico brevemente cómo instalar y configurar pass en Linux Debian, y cómo instalar la extensión passff para acceder a la base de datos de contraseñas desde Firefox.
Los certificados TSL permiten conectarse de manera segura a un sitio web usando el protocolo HTTPS (secure HTTP). Son conexiones seguras porque los datos que viajan desde el ordenandor del visitante hasta el servidor donde está alojado el sitio web, y viceversa, están encriptados y nadie puede inspeccionarlos.
El protocolo HTTPS encripta los datos utilizando criptografía asimétrica, que utiliza un par de claves: una pública para cifrar la información y otra privada para descifrarla. El servidor HTTPS difunde su clave pública a cualquier ordenador cliente que quiera conectarse a él, y guarda en secreto su clave privada.
El problema con la criptografía asimétrica es estar seguros de que la clave pública corresponde efectivamente al servidor al que se quiere conectar. De lo contrario existe el peligro de conectarse a un servidor que suplante al original.
Para asegurar la autenticidad de la clave pública de un servidor lo más eficaz es conocer una de las personas que gestionan el servidor, encontrarla presencialmente y que nos dé la clave. En un sistema global como internet en el se visitan servidores que están en otros continentes hubo que buscar otra manera. Es en este punto donde entran en juego las entidades de certificación: organizaciones de confianza que certifican la autenticidad de una clave pública.
Let's Encrypt es la primera entidad de certificación que emite certificados gratuitos y de manera automática. El proceso para obtener un certificado se puede hacer íntegramente desde la línea de comandos usando certbot.
La capacidad de edición de archivos del theme o de los plugins desde el panel de administración de WordPress puede ser una vulnerabilidad importante si un usuario no deseado consigue acceso de administrador al panel, ya que podrá editar los archivos libremente e incluir código malicioso.
En una instalación estándar de WordPress esta capacidad está activa. Para desactivarla podemos incluir la siguiente línea en el archivo wp-config.php:
define( ‘DISALLOW_FILE_EDIT’, true );
La función wp_head() presente en todas las cabeceras de WordPress incluye una llamada a otra función, wp_generator(), que se encarga de incluir en la sección head del código de la web la versión activa de WordPress.
Hay un gran debate sobre si es un problema de seguridad o no tener visible la versión activa de WordPress. En cualquier caso no tenerla visible no es ningún problema: la etiqueta solo sirve para propósitos estadísticos.
Para no mostrar la versión de WordPress se puede incluir la siguiente línea en el archivo functions.php del theme activo:
remove_action('wp_head', 'wp_generator');