Autonomía digital y tecnológica

Código e ideas para una internet distribuida

Certificado TSL para conexión segura HTTPS con Let’s Encrypt y certbot

Imago voragine.net
[actualizado el ] • Por

Los certificados TSL permiten conectarse de manera segura a un sitio web usando el protocolo HTTPS (secure HTTP). Son conexiones seguras porque los datos que viajan desde el ordenandor del visitante hasta el servidor donde está alojado el sitio web, y viceversa, están encriptados y nadie puede inspeccionarlos.

El protocolo HTTPS encripta los datos utilizando criptografía asimétrica, que utiliza un par de claves: una pública para cifrar la información y otra privada para descifrarla. El servidor HTTPS difunde su clave pública a cualquier ordenador cliente que quiera conectarse a él, y guarda en secreto su clave privada.

El problema con la criptografía asimétrica es estar seguros de que la clave pública corresponde efectivamente al servidor al que se quiere conectar. De lo contrario existe el peligro de conectarse a un servidor que suplante al original.

Para asegurar la autenticidad de la clave pública de un servidor lo más eficaz es conocer una de las personas que gestionan el servidor, encontrarla presencialmente y que nos dé la clave. En un sistema global como internet en el se visitan servidores que están en otros continentes hubo que buscar otra manera. Es en este punto donde entran en juego las entidades de certificación: organizaciones de confianza que certifican la autenticidad de una clave pública.

Let's Encrypt es la primera entidad de certificación que emite certificados gratuitos y de manera automática. El proceso para obtener un certificado se puede hacer íntegramente desde la línea de comandos usando certbot.

Configurando un acceso SSH más seguro a un servidor: autenticación con clave pública

Imago voragine.net
[actualizado el ] • Por
La autenticación con clave pública para conectarse a un servidor remoto usando el protocolo SSH funciona con dos claves: una pública y otra privada. Para entender el funcionamiento se suele recurrir a la metáfora del candado y la llave. La clave pública funciona como un candado y la privada como la llave. El candado se colocará en el servidor remoto al que se quiere acceder; cuando se intenta acceder se comprobará que la máquina que intenta conectar tiene la llave, la clave privada.

Desactivar la capacidad de editar archivos del theme desde el panel de WordPress

La capacidad de edición de archivos del theme o de los plugins desde el panel de administración de WordPress puede ser una vulnerabilidad importante si un usuario no deseado consigue acceso de administrador al panel, ya que podrá editar los archivos libremente e incluir código malicioso.

En una instalación estándar de WordPress esta capacidad está activa. Para desactivarla podemos incluir la siguiente línea en el archivo wp-config.php:

Cómo ocultar la versión de WordPress de la cabecera de la web: deshabilitando wp_generator

La función wp_head() presente en todas las cabeceras de WordPress incluye una llamada a otra función, wp_generator(), que se encarga de incluir en la sección head del código de la web la versión activa de WordPress.

Hay un gran debate sobre si es un problema de seguridad o no tener visible la versión activa de WordPress. En cualquier caso no tenerla visible no es ningún problema: la etiqueta solo sirve para propósitos estadísticos.

Para no mostrar la versión de WordPress se puede incluir la siguiente línea en el archivo functions.php del theme activo: