Cuando hablamos de seguridad en WordPress siempre nos centramos en soluciones, en reparación de vulnerabilidades o, directamente, de inyecciones, pero antes de llegar a ese punto ¿no sería mejor facilitar a cualquier experto en seguridad que nos informe si detecta algún problema de seguridad en nuestro sitio?
Te presento al archivo security.txt.
¿Qué es el archivo security.txt?
El archivo security.txt es un formato estándar de archivo con el que informar a investigadores y expertos en seguridad de cuáles son las vías de contacto y políticas de seguridad de una web.
Se determinó que hacía falta un estándar porque muchas veces los investigadores de seguridad descubren vulnerabilidades en una web y no está en ella definido con quién tienen que contactar para informar, o incluso cómo deben informar.
Actualmente es un estándar aceptado por todas las grandes compañías, como Google, Facebook, GitHub, el gobierno del Reino Unido, y muchas otras organizaciones, como la agencia de seguridad de EEUU para infraestructuras y cibersecuridad, el gobierno francés y el gobierno italiano. Incluso en WordPress.org se utiliza el archivo security.txt, y por supuesto Ayuda WordPress.
¿Dónde hay que crear el archivo security.txt?
El archivo security.txt puede estar alojado en la carpeta /.well-known/ (por ejemplo: https://midominio.com/.well-known/security.txt) o en la carpeta raíz de la web (ejemplo. https://midominio.com/security.txt) de tu sitio.
El archivo debe tener un formato de texto plano y estar alojado preferentemente en sitios con certificado activo (https).
¿Qué debe contener un archivo security.txt?
Hay bastantes campos que puedes añadir a tu archivo security.txt, y son los siguientes:
- Contact (requerido) – Anota aquí una url con algún formulario o indicaciones de contacto, o si lo prefieres, directamente direcciones de email del personal de contacto para asuntos de seguridad (en este caso usa el formato mailto) o incluso un teléfono (en cuyo caso usa el formato tel)
- Expires (requerido) – Indica la fecha de caducidad de las políticas de seguridad de la web, en el formato RFC recomendado. No se recomienda una duración de más de 1 año.
- Encryption – Aquí puedes añadir enlace a una clave PGP de cifrado para facilitar comunicaciones privadas.
- Acknowledgements – Enlace a una página en la que haya agradecimientos a personal, empresas o instituciones relativas a la seguridad.
- Preferred-Languages – Idiomas preferidos para las comunicaciones, separados por comas (ejemplo: es, en)
- Canonical – Enlace permanente del archivo security.txt. Es importante para las firmas digitales.
- Policy – URL donde se encuentren las políticas de seguridad aplicables a la web, propias o estandarizadas.
- Hiring – Enlace a alguna página de tu web en la que contrates a personal de seguridad.
- CSAF – Enlace al archivo
provider-metadata.jsonde tu proveedor de lenguaje de avisos de seguridad, o CSAF (Common Security Advisory Framework)
Si te fijas en la lista, solo los campos de contacto y caducidad son obligatorios, el resto son todos opcionales, pero interesantes en su mayoría.
El archivo security.txt más sencillo sería algo así:
Contact: https://midominio.com/contactar/ Expires: 2024-12-30T23:00:00.000Z
A este formato sencillo puedes añadir tantos campos como consideres.
¿Dónde debe estar situado el archivo security.txt?
Se recomienda que esté situado en la carpeta .well-know o directamente en la carpeta pública de la web, o sea, en una de estas dos rutas:
https://midominio.com/.well-know/security.txt https://midominio.com/security.txt
Donde te sea más fácil, pues algunos servidores limitan la lectura en el navegador de carpetas ocultas, por ejemplo.
Lo importante es que siempre compruebes que esté disponible, que funcione la URL y que cualquier persona pueda acceder al archivo desde su navegador.
¿Cómo se crea un archivo security.xt?
Puedes crearlo manualmente tu cuenta, siguiendo las indicaciones de la web oficial. También, en el sitio de referencia hay un formulario que puedes ir completando para, al final, que se genere el archivo security.txt, para que solo tengas que copiar y pegar el texto generado en tu archivo security.txt previamente creado.
La otra posibilidad, que personalmente considero una exageración, es utilizar algún plugin (hay un par de ellos) WordPress para generarlo, cosa que no recomiendo.
Por qué es importante el archivo security.txt
En algo tan importante como la seguridad web es vital disponer de la mayor cantidad de estándares posibles, y el archivo security.txt supone un método estándar y sencillo para algo tan importante como facilitar la comunicación especialistas en ciberseguridad y propietarios de webs.
Si un experto en seguridad descubre un problema de seguridad en tu web y no tiene como contactarte para informarte simplemente pasará de largo, y quedarás vulnerable.
Igualmente, si no especificas unas políticas de seguridad deseables para tu web algún especialista en seguridad podría, por ejemplo, divulgar públicamente una vulnerabilidad de tu web, cuando lo que preferirías sería que te informase de manera privada y así poder tomar medidas.
Son muchos los motivos poderosos por los que es interesante un archivo security.txt y ninguno el inconveniente como para no crearlo y tenerlo actualizado, así que ya tardas en implementarlo, entre todos ayudaremos con estas pequeñas cosas a hacer una web más segura.
Luego ya, si te consiguen infectar, tocará contactar con profesionales que limpien tu web de malware y virus, pero al menos facilitas incluso esa comunicación y, fomentas la cultura de seguridad, la divulgación responsable y todas las buenas prácticas que nos ayuden a tener webs más seguras.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
No me parece tan mala idea usar un plugin para generar el archivo, por que es más fácil de editar y en caso de una migración es imposible que olvides el archivo.