Planeta WordPress

Mucho hemos hablado de como asegurar WordPress pero cuando uno de mis blogs de cabecera en seguridad informática: Security by default, hace recomendaciones lo menos es tomarlas en cuenta. Personalmente me ha interesado mucho Plecost, que no conocía y que, además de hacer fingerprinting de la base de Wordpress que disponemos, reconoce los plugins y sus versiones y es capaz de mostrarnos vulnerabilidades con enlaces CVE incluidas en caso de encontrar algún plugin vulnerable. Interesantísimo.

Contenido exclusivo para suscriptores al Feed

¡Gracias por seguirnos a diario!. Premiamos tu fidelidad ofreciéndote habitualmente contenidos exclusivos. Hoy puedes descargar:

Guía Domina tu Blog

Hay muchas maneras de ocultar la versión de WordPress a miradas indiscretas. Ya hemos hablado de borrar el fichero readme.html y añadiendo la función remove_action, pero son soluciones incompletas en realidad pues no eliminan, por ejemplo, las referencias al número de versión, de tus feeds RSS. Cualquier hacker lo sabe ¿por qué no tu?

Una solución mucho más limpia, segura, efectiva y elegante es añadir el siguiente código al fichero functions.php de tu tema activo:

De este modo el número de versión de WordPress no se mostrará en ninguna parte de WordPress, será totalmente opaco.

Hace unas semanas, hablamos en el tutorial de seguridad sobre la instalación de WordPress y en el segundo punto recomendábamos cambiar el prefijo de las tablas de WordPress y no utilizar el prefijo predeterminado, “wp_“, para poner las cosas más difíciles a los usuarios malintencionados.

Esto es muy fácil de hacer si estás haciendo una nueva instalación de WordPress, pero como nos decía @Juan en los comentarios, no es tan fácil hacerlo si ya tienes tu blog instalado y en funcionamiento. Es por esto que hoy he querido hablar de WP Prefix Table Changer, un plugin que nos facilitará muchísimo esta tarea.

Este plugin es práctico por dos razones. Primero, si tienes el prefijo cambiado, cualquier atacante tendrá que adivinar dicho prefijo, cosa que puede ser realmente difícil dependiendo del que pongas. Por otra parte, muchos servicios gratuitos de hosting proporcionan una sola base de datos: en caso de que quieras tener más de un blog WordPress, será imprescindible cambiar dicho prefijo. Esto puedes cambiarlo en la instalación, pero siempre va bien poderlo cambiar si ya tienes el blog instalado y funcionando.

Como ya debéis haber visto, estamos tratando con la base de datos, así que es imprescindible que antes de empezar hagas una copia de seguridad. En general, cuando utilices plugins que cambien cosas importantes o cuando estés manipulando tu sitio, te recomiendo que hagas backup tanto de la DB como de los archivos del servidor FTP: mejor prevenir que curar. Puedes hacerlo utilizando WordPress Database Backup.

Seguidamente, sólo tienes que descargar el WP Prefix Table Changer, instalarlo y ejecutarlo. ¡Fácil!

Fuente: BlogSecurity

Uno de los problemas más importantes que se presentarán en tu blog cuando vaya creciendo es el SPAM. El hecho de que WordPress sea un software tan extendido hace que muchos usuarios malintencionados y bots quieran intentar utilizar tu instalación como fuente de enlaces y tráfico hacia sus sitios web. La forma más fácil de evitarlo es utilizando el plugin antispam Akismet, que viene por defecto en tu instalación de WordPress.

Puedes utilizar dicho plugin para protegerte de forma muy sencilla. Para poder usarlo, debes tener una API Key de WordPress, que puedes obtener registrándote en WordPress.com. Vamos a dar por hecho este paso, ya que es fácil registrarse en dicha página. Si alguien tiene alguna duda, que pregunte en los comentarios y responderé sin ningún problema.

Empecemos con la configuración: tenemos que ir, como siempre, a la pestaña de “Plugins” de nuestro panel de administración de WordPress. Si no tenemos activo el plugin, sólo tendremos que activarlo y al final de la caja “Plugins” de la izquierda encontraremos un apartado de “Configuración de Akismet“.

Allí encontraremos un pequeño menú de configuración. Sencillamente, tendremos que introducir la clave API que nos hayan proporcionado en WordPress.com y marcar si queremos descartar automaticamente comentarios marcados como spam en entradas anteriores a un mes. En dicha página también podemos comprobar el estado de los servidores de Akismet, para saber si todo está funcionando correctamente.

Como hemos visto, es muy sencillo y nos proporcionará una buena seguridad frente a comentarios de SPAM en nuestro blog. En casos extremos, puede que sólo este plugin no sea suficiente, así que puedes probar con SI CAPTCHA Anti-Spam.

Cada día actualizo mi WordPress 3.0-dev en busca de nuevas características, pero esta que les traigo había pasado desapercibida ya que es perceptible solo en el proceso de instalación. Y me refiero a algo muy básico que WordPress por fin incluirá: definir nuestra propia contraseña y nombre de usuarios.

¿Que significa esto? De partida, el fin para el inseguro usuario "admin" y, lo segundo, el poder definir nuestras propia contraseña y evitarnos el lío de tener que cambiarla una vez finalizado el proceso de instalación.

¿Que te parece esto? Por que, personalmente, me viene de mil maravillas esto

Contenido exclusivo para suscriptores al Feed

¡Gracias por seguirnos a diario!. Premiamos tu fidelidad ofreciéndote habitualmente contenidos exclusivos. Hoy puedes descargar:

Guía para Administrar Wordpress

Thomas Mackenzie alertó de un problema donde los usuarios registrado pueden consultar los elementos de la papelera de otros usuarios. Si no quieres que otros usuarios de tus bitácoras puedan consultar lo que tiran otros a la basura es muy importante proceder con esta actualización a WordPress 2.9.2.

Puedes actualizar desde Herramientas-> Actualizar o a través de FTP, como más gustes.

Descargar WordPress 2.9.2
vía: blog wordpress

Original Post / Entrada Original: Carrero.es. Si quieres Juegos Gratis disfruta aquí o decora tu casa.

Actualización a Wordpress 2.9.2

Ya está disponible una actualización de seguridad: WordPress 2.9.2. Lo que soluciona es un fallo mediante el cual un usuario registrado puede recuperar entradas de la papelera aunque sean de otros usuarios. Si es tu caso actualiza para solucionar este fallo.

Hace un par de semanas hablábamos sobre ¿Cómo saber si nuestro blog está hackeado? y descubrimos diferentes formas, manuales y automáticas, para saber si nuestro blog había sufrido algún tipo de inyección de código malicioso sin nosotros saberlo. Ahora toca ver qué hacer si hemos detectado dicho ataque.

¿Qué hago si ya he detectado que tengo inyección de código?
Lo primero que deberíamos hacer es asegurarnos que el usuario malicioso no ha accedido a nuestro blog usando nuestro usuario de administración. Lo mejor que podemos hacer (tras repasar los consejos de seguridad) es cambiar nuestras contraseñas. Seguidamente, actualizaremos (si no lo tenemos) el WordPress a su última versión.

Tras las comprobaciones iniciales, deberemos eliminar el código de nuestra página web. Es muy probable que el usuario malintencionado sólo haya modificado los archivos de nuestra plantilla, así que lo mejor que podemos hacer es abrir nuestro theme con el editor que nos proporciona WordPress y revisar todos los archivos por si vemos algún texto raro. Habitualmente, se repetirá el mismo texto en casi todos los archivos y casi siempre estará ubicado en la parte final de nuestro archivo. Sólo tenemos que borrar dicho código (¡sin borrar nada más!) y ya tendremos nuestra página arreglada.

Es importante que, a parte de quitar el código malicioso, tengas en cuenta todos los consejos de seguridad que hemos ido explicando, ya que nos interesa especialmente que no nos vuelva a pasar en un futuro.

Google Webmaster Tools

Una vez eliminado el código malicioso de nuestro WordPress, debemos conseguir que Google nos indexe de nuevo, que elimine las palabras clave que no correspondan y los enlaces inadecuados. De esta forma, cuando ya tengamos nuestro blog limpio, deberíamos entrar a las herramientas para webmasters de Google y solicitar una reinclusión de nuestro sitio. Una vez en la página, debemos hacer clic debajo de Ayuda con (Help with) dónde pone Reconsideración del sitio (Site reconsideration). Se nos abrirá una página explicativa, y tenemos que escoger la opción Pedir reconsideración de mi sitio (Request reconsideration of your site). En la última página que se nos abrirá tendremos que seleccionar el sitio web que nos han hackeado, aceptar las condiciones y explicarles cuál ha sido el problema que hemos tenido para que Google no nos indexara correctamente.

Espero que, si alguna vez tenéis algún problema con vuestro WordPress, este tutorial os sirva. Comentad si tenéis algún problema.

No es nada fuera de lo habitual el hackeo de páginas web, y el hecho de que WordPress sea un sistema tan utilizado hace a las personas malintencionadas fijarse en este tipo de software. Es por eso que, si no tienes el blog bien protegido, podría pasarte que lo atacaran.

Muchas veces puedes no enterarte de que te han hackeado el sitio, ya que los usuarios malintencionados sólo muestran enlaces al robot de Google sin que los visitantes “normales” de nuestra web puedan notar nada. Esta técnica es conocida como cloaking.

Una de las formas manuales de detectar que nuestra web ha tenido una inyección de código malicioso es entrar en Google y buscar nuestro propio sitio web. Desde el buscador, accederemos a la caché: éste es el contenido que el buscador ha indexado de nuestra web. Si vemos algo diferente, habitualmente todo de texto que no es nuestro al final de nuestra página, es que hay algún tipo de hackeo.

Otra forma que podemos utilizar son las herramientas para webmasters de Google. Es un tema que trataremos más a fondo, pero centrémonos en el hackeo: si nuestro sitio tiene inyección de código, veremos como “palabras más encontradas por Google” algunas raras que no corresponden a nuestro contenido original.

Una forma automática es configurar las alertas de Google Alerts para que nos informen sobre contenidos raros en nuestro sitio. Para hacerlo, iremos a la página de Google Alerts y realizamos una búsqueda similar a “viagra OR cialis OR levitra OR Phentermine OR porn site:nuestrositio.com“. Configuraremos las alertas según convenga para que nos informe en nuestro correo cuando haya resultados nuevos sobre esas palabras en nuestro sitio.

Ahora ya sabemos cómo detectar si nuestro WordPress ha sufrido un ataque hacker de inyección de código. El próximo día hablaremos de cómo solucionarlo y qué hacer para que Google nos vuelva a indexar correctamente.

Fuentes: Ismael El-Qudsi, Adseok

Una de las muchas funcionalidades interesantes de WordPress son los plugins. Nos permiten ampliar las posibilidades de nuestro blog añadiendo funcionalidades y opciones que WordPress no trae. Aún así, si nos referimos a seguridad, debemos tener cierto cuidado, ya que cualquier plug-in puede introducir bugs de seguridad en nuestra instalación de WordPress.

Es por este motivo que se recomienda, en general, utilizar el mínimo de plugins posibles. Coge tu lista de plugins y pregúntate: ¿este plugin realmente es esencial para mi blog? Todos los plugins nos dan funcionalidades extra, pero seguro que algunos podrías ahorrártelos fácilmente. Y aquellos que sigas queriendo mantener instalados, debes tenerlos actualizados a su ultima versión para ahorrarte problemas.

Para controlar tu WordPress y comprobar que no esté fallando nada, puedes instalar algunos plugins de seguridad:

1. WordPress Database Backup: Siguiendo con el anterior artículo del tutorial de seguridad, plugin imprescindible para realizar tus copias de seguridad periódicamente sin preocuparte.
2. WP Security Scan: escanea tu instalación de WordPress para buscar vulnerabilidades de seguridad y sugerirte acciones para corregirlas. Escanea passwords, permisos de archivo, seguridad de la base de datos, protección de la administración de WordPress, etc.
3. Semisecure Login Reimagined: incrementa la seguridad del acceso (login) a tu blog utilizando una combinación de claves públicas y privadas de encriptación para esconder tus passwords de vistas ajenas. Se requiere JavaScript y es especialmente útil si no dispones de SSL.
4. Invisible Defender: Añade dos cajas de texto adicionales e invisibles a todos los formularios del blog, cosa que nos permite evitar muchos de los bots de SPAM y otras técnicas de ataque.
5. Theme Authenticity Checker: Nos permite escanear el código fuente de nuestro theme, siendo de esta forma capaz de encontrar inyecciones de código malicioso o ataques similares, mostrando donde está el código problemático para poderlo eliminar fácilmente.
6. WP Antivirus: Antivirus para WordPress que permite encontrar ficheros sospechosos, es una solución fácil y efectiva de proteger tu blog frente a exploits y inyecciones de SPAM. Aquí tienes la reseña de WP Antivirus en TodoWP de Marcelo Lynch.

Hay muchos más plugins disponibles por Internet, seguro que muchos muy buenos, pero creo que con estos puedes tener una buena instalación segura. Si conoces algún otro interesante, ¡coméntalo y así todos aprendemos!

Fuentes: Bitelia, anieto2k, bitsignals.