PROGRAMAR.INFO
0

Protege tu privacidad en WordPress: Evita peticiones HTTP externas no autorizadas que comprometen tu sitio

Quizá no lo sepas, pero tanto WordPress como muchos plugins, e incluso posiblemente el tema activo en tu sitio, están llevando a cabo constantemente solicitudes HTTP hacia servidores externos con diversos fines.

Por ejemplo, WordPress realiza comprobaciones periódicas en busca de actualizaciones de WordPress, plugins, temas o traducciones, conectándose con https://api.wordpress.org. Los plugins de seguridad comprueban si tu sitio está en listas negras o si usas contraseñas inseguras al consultar sus bases de datos. Otros plugins verifican la licencia que tienes o la versión que estás usando, e incluso pueden recopilar información de tu instalación. Incluso los temas, en ocasiones, realizan este tipo de consultas.

Lo peor de todo es que en la mayoría de los casos estas solicitudes se realizan en segundo plano, sin pedirte permiso ni darte la opción de decidir si quieres que se lleve a cabo esa telemetría, dejándote sin ningún control sobre el proceso.

¿Y cuál es el problema con estas peticiones HTTP externas?

Estas solicitudes HTTP externas pueden tener diversas implicaciones tanto para ti como para tu sitio web, e incluso para tus visitantes...

Por ejemplo, si estás trabajando en desarrollo local y no tienes conexión a internet, estas solicitudes ralentizan tu trabajo al intentar completarse sin éxito. Además, afectan a la gestión administrativa de tu sitio web al consumir recursos en segundo plano. Esto, a su vez, implica que tu servidor esté consumiendo recursos adicionales que en gran parte no aportan nada beneficioso a tu sitio. Además, estas solicitudes pueden ralentizar la carga de tus páginas, lo que afecta a la experiencia de los visitantes.

Otro aspecto preocupante es que estas solicitudes pueden recopilar datos y enviarlos a servidores externos sin que tú puedas controlar ni gestionar esa información, lo que implica una potencial violación de la privacidad de tus usuarios y una falta de cumplimiento de regulaciones como el RGPD (Reglamento General de Protección de Datos) u otras normativas de privacidad.

Lo más inquietante es que, en la mayoría de los casos, no se te informa adecuadamente sobre esta recopilación de datos, su uso o almacenamiento en las políticas de privacidad de los plugins, temas, etc., ni tampoco se te avisa al instalarlos.

¿cómo puedes evitar esta telemetría de consultas HTTP externas en WordPress?

Si estás decidido a evitar que estas solicitudes ocurran en tu sitio web sin tu consentimiento o, al menos, sin que tengas conocimiento de ello, hay varias formas de controlar la situación.

Una de las primeras acciones que puedes tomar es mantener un seguimiento de las solicitudes HTTP externas que se están realizando en tu sitio. Para ello, puedes utilizar un plugin como "Log HTTP Requests".

Este plugin tiene una función específica: registrar todas las solicitudes HTTP externas que ocurren en tu sitio y mostrarlas en la página "Herramientas → Log HTTP Requests". Aunque no ofrece una manera de bloquear estas solicitudes, sí te brinda el conocimiento necesario para poder tomar medidas en consecuencia.

log http requests curso wordpress online — wordpress

Si deseas dar un paso más allá y tener el control no solo de monitorear las conexiones salientes, sino también de bloquear aquellas que no desees, puedes utilizar el plugin Snitch.

Aunque este plugin lleva un tiempo sin actualizarse, aún es efectivo y te permite vigilar y regular todo el tráfico de datos salientes de tu sitio web.

Una vez instalado, desde el menú "Snitch" podrás visualizar todas las conexiones salientes que ocurren en WordPress. Lo interesante es que, al pasar el cursor sobre cualquiera de estas conexiones, se mostrarán enlaces que te permitirán bloquear:

  1. El archivo que está realizando la conexión saliente.
  2. El servidor hacia donde se dirige la petición.

Con esta funcionalidad, Snitch te brinda el poder de controlar qué conexiones salientes deseas bloquear, lo que te permitirá tener un mayor control sobre el tráfico de datos de tu sitio y evitar que determinados archivos o servidores realicen peticiones HTTP externas sin tu consentimiento o conocimiento.

snitch curso wordpress online — wordpress

Vigilar y bloquear peticiones HTTP externas en WordPress puede ser un paso importante para tener un mayor control sobre el tráfico de datos en tu sitio y proteger la privacidad de tus usuarios. Si no te agrada que el plugin Snitch registre todas las llamadas del cron de WordPress por defecto, puedes evitarlo agregando la siguiente constante al archivo wp-config.php:

define('SNITCH_IGNORE_INTERNAL_REQUESTS', true);

Con esto, Snitch dejará de vigilar todas las peticiones internas, incluyendo el cron, y se enfocará únicamente en mostrar las peticiones externas.

Bloquear todas las peticiones HTTP externas (telemetría) de WordPress

Con un plugin:
Si te sientes cómodo utilizando plugins, puedes utilizar "Disable Telemetry", que desactiva cualquier tipo de petición HTTP externa a la API de WordPress. Puedes añadir la siguiente función en tu archivo functions.php:

add_action( 'pre_http_request', __NAMESPACE__ . '\\disable_telemetry_init', 1, 3 );
function disable_telemetry_init( $short, $args, $url ) {
return ( false !== stripos( $url, 'api.wordpress.org' ) );
}

Pero ten en cuenta que este plugin solo aborda la telemetría de WordPress y no cubre otras peticiones externas de plugins populares.

  1. Con una función: Si prefieres una solución más simple, puedes añadir la siguiente línea a tu archivo functions.php:
add_filter( 'pre_http_request', '__return_true', 100 );

Sin embargo, esta función bloqueará todas las peticiones HTTP, incluyendo el cron de WordPress, lo cual puede no ser deseado.

  1. La constante 007: Una opción más efectiva y controlada es añadir las siguientes líneas en tu archivo wp-config.php:
/* Bloquear todas las solicitudes HTTP externas */
define( 'WP_HTTP_BLOCK_EXTERNAL', TRUE );
/* Dominios no bloqueados por la constante anterior */
define( 'WP_ACCESSIBLE_HOSTS', 'dominio1.com, dominio2.com' );

La primera línea bloqueará todas las peticiones HTTP externas sin afectar el cron de WordPress, y la segunda línea te permitirá añadir excepciones para permitir que ciertos servidores realicen telemetría o peticiones externas.

Con estas opciones, podrás tener un mayor control sobre las peticiones HTTP externas en tu sitio WordPress y proteger la privacidad de tus usuarios. ¡Espero que esta guía te haya sido útil para conocer más sobre tu web y tener el control total de lo que ocurre en tu instalación!

Lee: Optimización de Espacio en WordPress

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *