]]>

Vamos a ponernos en situación … 

Eres de los que se toman en serio la seguridad, y por ello utilizas contraseñas seguras, de esas que es imposible acordarse salvo que uses alguna asociación de palabras y signos extraña. Estás de vacaciones en un hotel y surge una actualización importante de WordPress o tienes que publicar una oferta increíble de tu negocio. Accedes al PC del hotel para acceder a tu WordPress y ¡no me acuerdo de la clave!.

Otra posibilidad … 

Estás en una conferencia, y estás enseñando a – digamos – 200 alumnos las virtudes de WordPress. Y tu, todo chulo, estás dando la charla con tu iPad. Accedes a tu WordPress y ¡ah, horror!, todos ven la contraseña que estás introduciendo porque el teclado del iPad es un chivato y va mostrando letra a letra lo que vas escribiendo (me ha pasado).

¿No sería genial no tener que teclear contraseñas?, porque en estos tiempos, en que accedemos a nuestra red social preferida con un login infinito, que vamos a un diario digital y – como usan Disqus como sistema de comentarios – nos reconoce nada más aparecer y nos permite comentar sin tener que decirle quienes somos, que vamos por la calle y vemos una peli que nos gusta y, gracias a un código QR, podemos ver el trailer en nuestro móvil sin tener que teclear URLs larguísimas … 

¿Por qué tenemos que usar algo tan antiguo como “teclear”?

¡Yo quiero tocar pantallas, deslizar dedos, escanear con mi smartphone!

Ea, ya pasó, tranquilo, que WordPress tiene de todo

¿Te acuerdas que ya vimos como comentar en WordPress con tu eDNI?, pues si prestas atención podrás sorprender a tus amigos, ser el más friki de la “kedada” geek accediendo a tu blog ¡con tu iPhone!.

Porque ¿que sería más chulo que acceder a WordPress escaneando desde tu móvil?, ¡éxito y bocas abiertas garantizadas!.

Pues entonces – como yo – vas a ser muy fan de “No more passwords“, un plugin para WordPress que, una vez instalado y activo, añade a la pantalla de acceso de WordPress un código QR para que accedas escaneándolo con tu smartphone.

La primera vez que lo escaneas, la aplicación de lectura de QRs (o BIDIs) te lleva a la pantalla de acceso de WordPress en tu móvil, metes ahí tu usuario y contraseña y … lo bueno del asunto … tu móvil ya guarda los datos. ¡La próxima vez que escanees la pantalla de acceso de tu WordPress entras directamente!, para sorpresa y envidia de tus amigos y futura esposa.

En este vídeo tienes al “nota” que ha desarrollado esta virguería fardando del tema … 

Lo he probado y estoy deseando alucinar a amigos y alumnos, pero – a pesar de que me quería guardar la sorpresa – no he podido aguantarme y contártelo, para que vayas por ahí fardando de ser el puto amo de WordPress.

]]>

RePress es un plugin que convierte tu WordPress en un Web Proxy, permitiendo la navegación privada allá donde no te lo permitan, un modo genial de evitar la censura en países donde esté bloqueada la navegación por ciertas webs, ofreciendo un sitio creado con WordPress, o una red completa, desde IPs “blancas”, para saltarse la censura.

Este plugin desarrollado por la empresa de alojamiento web GreenHost, lo ha creado para The Pirate Bay, el sitio de intercambio de archivos P2P, y para Wikileaks, de sobra conocido sitio de divulgación de secretos oficiales … no tan secretos.

RePress utiliza phpproxyimproved, un software de código abierto que permite convertir tu sitio en un Web Proxy. Lo único que tienes que hacer es poner una URL, que será la que se use al navegar desde el proxy al sitio bloqueado/censurado.

En la página de ajustes de RePress tienes que darle un “permalink” único, que será el que use para lanzar el proxy, además de una lista de sitios desbloquedos o a desbloquear, nada más.

El único consejo de seguridad es que salgas de tu cuenta, si estás registrado, en el WordPress que sirve de proxy, para evitar ataques XSS (“cross site scripting), pero el mismo plugin te avisa de ello. Después de esto ya te dirige al sitio a través del proxy creado. De paso, el plugin también borra todas las cookies del dominio del WordPress usado como proxy, así que cualquier configuración asociada a cookies se borrará igualmente.

]]>

RePress es un plugin que convierte tu WordPress en un Web Proxy, permitiendo la navegación privada allá donde no te lo permitan, un modo genial de evitar la censura en países donde esté bloqueada la navegación por ciertas webs, ofreciendo un sitio creado con WordPress, o una red completa, desde IPs “blancas”, para saltarse la censura.

Este plugin desarrollado por la empresa de alojamiento web GreenHost, lo ha creado para The Pirate Bay, el sitio de intercambio de archivos P2P, y para Wikileaks, de sobra conocido sitio de divulgación de secretos oficiales … no tan secretos.

RePress utiliza phpproxyimproved, un software de código abierto que permite convertir tu sitio en un Web Proxy. Lo único que tienes que hacer es poner una URL, que será la que se use al navegar desde el proxy al sitio bloqueado/censurado.

En la página de ajustes de RePress tienes que darle un “permalink” único, que será el que use para lanzar el proxy, además de una lista de sitios desbloquedos o a desbloquear, nada más.

El único consejo de seguridad es que salgas de tu cuenta, si estás registrado, en el WordPress que sirve de proxy, para evitar ataques XSS (“cross site scripting), pero el mismo plugin te avisa de ello. Después de esto ya te dirige al sitio a través del proxy creado. De paso, el plugin también borra todas las cookies del dominio del WordPress usado como proxy, así que cualquier configuración asociada a cookies se borrará igualmente.

]]>

Para empezar bien el año nada mejor que conocer varias maneras de mantener bien seguro nuestro WordPress. Para ello he realizado una selección de plugins que ayudarán a tener un WordPress seguro.

Antes de entrar en detalles, debes tener en cuenta siempre estas recomendaciones básicas:

1. Mantener WordPress actualizado a la última versión, única garantía de control de vulnerabilidades conocidas.
2. Instalar solamente plugins seguros, a ser posible desde el repositorio oficial.
3. Instalar solamente temas seguros, a ser posible desde el repositorio oficial.
4. Revisar la sección de seguridad de Ayuda WordPress para comprobar que has realizado todas las acciones de seguridad necesarias.
5. Suscribirte al feed de Ayuda WordPress para estar informado de las alertas de seguridad.

1. Bulletproof security

Este plugin ofrece un entorno de seguridad muy completo, protegiendo tu WordPress de inyecciones de código XSS, RFI, CSRF, Base64, así como de intenteos de hacheo por inyección SQL.

También hace comprobaciones de seguridad del prefijo de la base de datos, seguridad del fichero wp-config.php así como de las carpetas del núcleo de WordPress y ficheros .htaccess.

Es de los más completos, incluyendo además un editor de archivos de sistema.

2. WP Security scan

Antes de empezar realiza un análisis de tu instalación y te ofrece sugerencias para cambiar lo siguiente:

1. Contraseñas
2. Persmisos de archivos y carpetas
3. Seguridad de la base de datos
4. Ocultar la versión de WordPress
5. Protección de la administración de WordPress
6. Quitar información del generador WordPress en el código de tu tema y de los ficheros “core”

Bastante completo, aunque no tanto como el anterior.

3. 6Scan Security

Es una de mis más recientes descubrimientos y me ha sorprendido gratamente.

6Scan hace un escaneo de tu WordPress para tratar de descubrir vulnerabilidades de seguridad – conocidas o no – y tratar de solucionarlas de manera automática.

Sus virtudes y funcionalidades son las siguientes:

• Patrol: El escaner Patrol de 6Scan imita las acciones de un hacker tratando de acceder e infectar tu sitio. Cada página, formulario y script de tu sitio es revised para detectar puntos débiles que puedan, potencialmente, convertirse en agujeros de seguridad. Patrol encuentra y te protege de:
  • Inyecciones SQL
  • Cross-Site Scripting (XSS)
  • Redirecciones de directorios
  • Insercciones de ficheros remotos
  • Y mucho más.
• Bodyguard: Este módulo actúa en tu servitor para tratar de solucionar todas las vulnerabilidades de seguridad encontradas por Patrol.
• Actualizaciones constantes: Algo vital en un software de seguridad.
• Instala y olvida: una vez instalas 6Scan Security no hay que hacer más, el se ocupa de mantener el sitio protegido.
• Invisible: 6Scan Security no afecta al rendimiento del sitio ni interfiere con su funcionamiento normal.

4. WP Secure

Uno de los plugins más veteranos, pero no por ello menos eficiente. Realiza 23 comprobaciones de seguridad en WordPress, y solo tienes 2 ventanas, una primera que te informa de las acciones de seguridad a realizar y otra que procesa todas las acciones para asegurar tu WordPress a tope.

El diseño de la administración del plugin deja mucho que desear pero funcionar funciona perfecto.

5. Ultimate security checker

Otro plugin veterano que hace bien lo que promete. Realiza comprobaciones de ficheros del núcleo de WordPress, así como de distintas vulnerabilidades conocidas.

Con una interfaz espartana hace bien su trabajo. Como “plus”, ofrece en la barra de admin un identificador de los puntos de seguridad de tu sitio, a modo de recordatorio de que puedes hacer algún arreglo para mejorar la seguridad.

Eso si, no ofrece interfaz para solucionar los errores sino enlaces para saber como hacerlo manualmente, quizás su mayor pega.

6. htaccess secure files

Este plugin funciona de manera especializada sobre los ficheros multimedia de WordPress, permitiendo que solo usuarios con determinado perfil, capacidades o IP puedan acceder a los archivos que tu definas.

Para ello crea un fichero .htaccess en la carpeta de cada archivo protegido, que restringe el mismo a los usuarios o roles que hayas definido anteriormente.

Lo mejor es que puedes definir reglas generales en los ajustes del plugin o en cada fichero, al editar cada archivo de la Librería Multimedia de WordPress.

Especializado pero muy completo.

7. WP plugin security check

Este es uno de mis imprescindibles, pues comprueba la parte más débil de nuestra instalación: los plugins de terceros.

Y es que el mayor agujero negro para cualquier instalación de WordPress son los plugins, y este sistema en concreto analiza cada plugin instalado para comprobar si contiene agujeros de seguridad o malas prácticas de programación que puedan comprometer tu instalación de WordPress.

8. Better WP Security

Muy similar a WP Secure, realiza las comprobaciones habituales para asegurar la instalación de WordPress. Una de las funcionalidades que más me gustan es el límite de intentos de acceso, bloqueando la IP del usuario “olvidadizo” o atacante.

Muy completo y actualizado, funcionando también en instalaciones Multisitio.

9. Secure WordPress

Quizás uno de los más utilizados, por la gran cantidad de comprobaciones que hace y por su integración. Es muy completo, como una suite de seguridad que mantiene tu WordPress seguro.

Además de todos los escaneos que realizan algunos de los anteriores también revisa queries que pueden comprometer tu WordPress.

10. WP login security

Si eres muy estricto con el acceso a la administración de tu WordPress WP login security te va a encantar.

Puedes – o no – crear una lista blanca de IPs que pueden accede a tu sitio y, en cada acceso, el sistema comprueba si la IP del usuario que trata de acceder está en esa lista blanca y, en caso contrario, manda un email al administrador del intento de acceso, bloqueándolo entretanto.

Si no has creado una lista blanca el sistema pregunta al Admin si permite el acceso, y recuerda la IP del usuario permitido para próximos accesos.

11. AskApache Password protect

Para locos por la seguridad, este plugin actúa como un muro de contención para cualquier tipo de ataque a tu WordPress pero sin tocar WordPress o su base de datos.

En su lugar usa la autentificación HTTP básica o, a tu elección, la autentificación HTTP Digest, que eliges en los ajustes del plugin.

Lo mejor de AskApache Password Protect es que actúa antes de llegar a tu WordPress, por lo que mantiene libres de accesos indeseados, incluso de spam, tu WordPress.

12. WangGuard

Un viejo conocido del blog, este plugin creado por Jose Conti elimina los indeseables Splogs de nuestra instalación de WordPress multisitio.

En la última versión ha mejorado enormemente su motor de detección, haciendo de este plugin un imprescindible en cualquier BuddyPress y WordPress multisitio, y tan completo que la lista de funcionalidades – incluidas estadísticas – es prácticamente eterna.

13. Private WordPress accesss control

Si quieres controlar el acceso a tu WordPress, o a partes del mismo, este es tu plugin. Desde su pantalla de ajustes puedes controlar que perfiles accederán a categorías, páginas, entradas, tags o incluso feeds.

Muy completo y personalizable.

14. Login lock

Este es otro de mis imprescindibles. Y es que si quieres que WordPress gestione los accesos de administración de manera profesional en este plugin encuentras todo lo necesario.

Puedes controlar los accesos por …

• Límite de tiempo entre intentos de acceso
• Cantidad de intentos de acceso
• Obligar al cambio de contraseña tras un tiempo determinado
• Definir un mínimo de caracteres para las contraseñas
• Exigir contraseñas seguras (con números, letras y caracteres adicionales)
• Evitar contraseñas repetidas
• Forzar el “logout” tras un tiempo definido

Muy completo y fácilmente personalizable en la pantalla de ajustes del plugin. Como te digo, imprescindible si tienes un sitio con muchos usuarios registrados o eres exigente con la seguridad.

15. Antivirus

Ninguna guía de seguridad estaría completa sin un buen antivirus, y WordPress también tiene plugin de antivirus, y bastante completo.

Antivirus realiza comprobaciones de manera habitual, y por supuesto nada más instalarse, en los archivos de tu tema, plugins y base de datos, para encontrar posibles inyecciones maliciosas y limpiarlas.

Si lo deseas, también te envía email con los resultados de la comprobación diaria, y hasta te ofrece alertas antivirus en la barra de Admin.

Bueno, y hasta aquí mis recomendaciones. También te dejo con una lista secciones de artículos de seguridad que he publicado anteriormente, que completarán tu guía de seguridad WordPress:

• Categoría Seguridad
• Etiqueta Seguridad
• Etiqueta htaccess

Y si se te ocurre algo más ahí tienes los comentarios para ampliar la guía.

]]>

A ninguno se nos escapa que WordPress es un CMS que se actualiza a cada necesidad o vulnerabilidad descubierta. Mediante las actualizaciones de seguridad – a pesar de que a algunos les moleste andar actualizando cada dos por tres – mantenemos WordPress seguro y al día.

Pero hay veces en que algunos fallos tardan en acometerse por parte del equipo de desarrollo, y es aquí donde entra Hotfix.

Este plugin es una especie de parcheador de fallos, que mantiene tu WordPress seguro y al día hasta que salga la próxima versión estable de WordPress o actualización que solucione el fallo en cuestión.

Su uso es sencillo: lo instalas, lo activas y funciona solo, aplicando los parches necesarios para mantener tu WordPress a tono.

Si lo instalas ahora, y dependiendo de tu versión de WordPress instalada, lo que soluciona es lo siguiente:

• WordPress 3.3
  • Evita que los estilos de plugins y temas se infiltren en el Escritorio
  • Soluciona un fallo para servidores sin soporte preinstalado de JSON
• WordPress 3.2
  • Incluye soporte de JSON para configuraciones PHP extrañas
• WordPress 3.1.3
  • Soluciona un fallo que hace que post_status funcione mal si se pasa un array
• WordPress 3.1
  • Soluciona un fallo que provoca algunas manipulaciones en queries de taxonomías  (como al excluir categorías), y que hace que no funcionen como deberían.
• WordPress 3.0.5
  • Evita que KSES muestre imágenes recortadas y fallos HTML en los comentarios del Administrador/Editor.

Creo que no hace falta decir que si no estás seguro de necesitarlo mejor no lo instales.

]]>

Aunque ya debes saber que es imposible ser totalmente inmune a los hackers, pues si se empeñan en acceder a tu sitio al final, de un modo u otro, lo más probable es que lo consigan, nuestra labor es ponérselo lo más difícil posible.

Y para, al menos, no facilitarles la labor, lo que hay que evitar siempre es dar pistas, y WordPress da bastantes. Unas ya las conoces, como el usuario de instalación, que hasta hace bien poco siempre era “admin” o el prefijo de la base de datos, y ahora ya puedes personalizar en el proceso de instalación, y es absolutamente recomendable.

Otra pista son los mensajes de error en los intentos de acceso, pero ya vimos como ocultar estas pistas a los hackers. Y luego hay otras, como la ubicación del fichero ‘wp-config.php‘, que también podemos cambiar, y algunas más. Pero quizás la más obvia, con la que estás cada día tratando y lo mismo no te has dado cuenta, es que siempre accedes a administrar WordPress a través de la ruta http://misitio.com/wp-admin/ y accedes a través de http://misitio.com/wp-login.php.

Pues bien, si un hacker quiere buscar vulnerabilidades por las que colarse, lo más obvio será a través de esas rutas, la mayoría de las veces por puertas que algún plugin no actualizado, o con código antiguo, hayan dejado abiertas.

Y un modo sencillo y efectivo de ocultar estas pistas en concreto es el plugin CLAU, o Custom Login and Admin que precisamente hace eso, cambiar las URLs por las que accedes y administras. Además, su configuración está la mar de integrada, incluso para instalaciones multisitio.

Una vez instalado solo tienes que ir a “Ajustes -> Enlaces permanentes“, y ahí, justo abajo, podrás definir las URLs personalizadas para acceder y administrar tu WordPress. Pones la ruta que quieras, guardas opciones y ya está. A partir de ese momento tu url de acceso y administración será del tipo, por ejemplo, http://misitio.com/admin/

Solo un detalle, úsalo con precaución pues aún está en fase ßeta y no se lleva bien con algunos otros plugins, y ya sabes que si te da problemas lo desactivas por FTP.

]]>

Si quieres evitar que los perfiles de usuario por debajo de un rol determinado tengan acceso al Escritorio de WordPress, a cualquier parte de ‘wp-admin’, o los que no accedan desde una IP concreta, puedes hacerlo de varias maneras.

Como siempre, voy a mostrarte unos cuantos modos, con código, por IP y con plugin, vamos a verlo … 

1. Restringir acceso wp-admin con plugin

Hay muchas maneras de proteger el Escritorio pero el plugin que te ofrece más posibilidades es WP Secure, con el puedes limitar el acceso a wp-admin por IP o por tipo de usuario, tu eliges.

2. Restringir acceso wp-admin por IP

Para este método nos valdremos el fichero .htaccess. Primero editamos el existente en la carpeta raíz de tu sitio desde el cliente FTP que uses habitualmente o el navegador de tu proveedor de hosting. Si no existiera lo creas y, en cualquier caso, le añades lo siguiente:

<Files wp-login.php>
Order Deny, Allow
Deny from all
Allow from xx.xx.xx.xx

Allow from xx.xx.xx.xx
</Files>

Donde las xx.xx.xx.xx son las IP que SI pueden acceder. Si no sabes tu IP puedes comprobarlo aquí.

Pero no hemos terminado, ahora vas a la carpeta ‘wp-admin’ y creas (si no existiera) otro fichero .htaccess en su interior. En el añades lo siguiente:

Order Deny,Allow
Deny from all
Allow from xx.xx.xx.xx
Allow from xx.xx.xx.xx

De nuevo las xx.xx.xx.xx son las IPs autorizadas. Guardas los cambios y ya lo tienes

3. Restringir acceso a wp-admin por código

Para terminar, puedes también conseguir lo mismo añadiendo el siguiente código al fichero functions.php de tu tema activo:

<?php
	function restringir_login(){
		global $current_user;
		get_currentuserinfo();

		if ($current_user->user_level <  4) { //si no es admin no entra
			wp_redirect( get_bloginfo('url') );
			exit;
		}

	}
	add_action('admin_init', 'restringir_login', 1);
?>

En este ejemplo todo usuario por debajo del nivel de Administrador (4) no podrá acceder. Así de fácil.

¿Sabes algún modo más?

]]>

A ver, ponte en situación: has creado un sitio, aseguras los máximos de seguridad de tu WordPress, limitas los intentos de acceso, aplicas directivas de seguridad, evitas dar pistas a hackers, incluso blindas tu instalación.

Bien, te dispones a dar acceso a distintos usuarios a tu sitio, les creas contraseñas seguras y, en su primer acceso la cambian por algo como el nombre de su perro, o la fecha de su cumpleaños o los típicos “God”, “contraseña” y cosas así.

Pues bien, si no quieres que la parte más débil en la seguridad informática (el usuario) haga de las suyas puedes quitar de la vista el formulario para el cambio de contraseña, y así te curas en salud.

Solo tienes que añadir el siguiente código al fichero functions.php y todos los usuarios que no sean Administrador no verán y, en consecuencia, no podrán cambiar su contraseña de acceso:

//inhabilitar cambio de claves
if ( is_admin() )
  add_action( 'init', 'disable_password_fields', 10 );
function disable_password_fields() {
  if ( ! current_user_can( 'administrator' ) )
    $show_password_fields = add_filter( 'show_password_fields', '__return_false' );
}

Si alguien quiere cambiar la clave te lo tendrá que solicitar a ti, u otro administrador, con lo que tendrás el control.

Esta pequeña maravilla de código la encontré en WP Engineer

Contenido exclusivo para suscriptores al Feed

¡Gracias por seguirnos a diario!. Premiamos tu fidelidad ofreciéndote habitualmente contenidos exclusivos. Hoy puedes descargar:

Guía Windows Live Writer

]]>

En cada actualización de WordPress siempre surge el mismo debate, que si actualizo, que si no, que si no sé si actualizar, que si me romperá algo o me da miedo.

La cosa es que siempre andamos debatiéndonos entre la duda de si tener un WordPress seguro y, quizás, un poco menos compatible con plugins antiguos, o seguir usando programación obsoleta e insegura (si, vale, esto ya es una declaración de intenciones por mi parte).

Y yo, como siempre, recuerdo que la única versión segura, la única que tiene desarrollo y revisiones es la última, que usar una versión antigua de WordPress es caminar solo, sin compañía ni ayuda.

Pero bueno, como aquí todos tenemos alguna excusa, hoy te dejo a ti que cuentes tus motivos para no actualizar, y para los indecisos pongo algunos posibles motivos, que puedes ampliar con los tuyos en los comentarios si no te llega con los que te ofrezco …