Planeta WordPress » seguridad

Los 3 modos más comunes de hackear WordPress y cómo evitarlo

planetawordpress — Wed, 23 May 2012 17:04:12 +0000

WordPress es ya el CMS más utilizado y popular, y ese poder conlleva una responsabilidad, la de ser también el CMS más atacado por hackers que quieran hacerse con el control de tal o cual web … hecha con WordPress.

Y no te creas que si tu WordPress no es una web popular no sufrirá ataques, pues muchos de los “exploits” que se crean son para hacer webs zombie, y para eso les vale cualquiera.

De todos los modos que hay de hackear una web, los 3 que más se dan en WordPress, las principales vías de entrada para ataques, son las siguientes:

1. Temas y plugins sin actualizar

Instalar y actualizar temas y plugins en WordPress es muy fácil, y con el sistema de avisos de nuevas versiones integrado, salvo situaciones especiales, no hay motivos para no actualizarlos cuando hay nuevas versiones.

Además, la mayoría de las actualizaciones suelen ser por cuestiones de seguridad que podrían poner en peligro tu web, salvo cuando hay un cambio de versión mayor en WordPress, que entonces obliga a cambiar ciertos códigos en algunos plugins y temas. El resto de las ocasiones, especialmente en los temas, es prácticamente obligatorio actualizarlos.

Muchas veces hablamos de la conveniencia – o no – de los plugins y temas de pago, y una de sus ventajas debe ser el aliciente para el desarrollador de estar pendiente de nuevos ataques o “exploits” y actualizar su producto para solucionarlos, algo que con los temas y plugins gratuitos no siempre es así.

Soluciones

Mantén actualizado WordPress a la última versión
Mantén actualizados los plugins WordPress
Mantén actualizados los temas WordPress
Aprende los peligros de los plugins WordPress

Fácil ¿no?

2. Datos de acceso débiles

Actualmente puedes elegir el nombre de usuario administrador al instalar WordPress, y sino cambiarlo nada más terminar la instalación, pero aún hay muchos WordPress con el usuario por defecto de nombre admin, y con eso cualquier intruso ya tiene la mitad de la información para acceder a tu WordPress como administrador.

Si a esto le sumas una contraseña simple, fácil de adivinar o que uses en otros servicios online no siempre seguros, estás más que expuesto a posibles accesos no deseados. Es algo que debes solucionar lo antes posible.

Soluciones

Cambia el nombre de usuario admin lo antes posible
Cambia la URL de login de WordPress como medida adicional
Evita dar pistas a hackers en el login
Limita los intentos de acceso

3. Inyecciones en la base de datos

Este es quizás el método más empleado últimamente para hackear cualquier CMS, WordPress incluido, y lo malo es que no siempre depende de ti que las bases de datos estén seguras, pero al menos hemos de hacer nuestro trabajo para asegurarlas lo máximo posible.

Lo peor es que si un hacker entra en tu base de datos estás perdido del todo, puede hacer lo que sea, no hay límites. Además, luego limpiar una base de datos infectada es un absoluto horror, de lo peor que te puede ocurrir.

Soluciones

Y hasta aquí las 3 maneras más comunes en que suele haber hackeos de WordPress. Vamos a ver si tenemos ayudas genéricas …

Avisos de seguridad de Google

Es horrible cuando visitamos una web y Google nos avisa de que es insegura y puede infectar nuestro sistema, pero para el webmaster es, al menos, un aviso de que algo ha pasado.

Para ello es fundamental que tengas una cuenta en Google Webmaster Tools para gestionar ahí tus webs y poder tener avisos de seguridad e incluso instrucciones de como solucionar intrusiones. Además, Google ya te avisa incluso de cuando tienes que actualizar WordPress.

Luego, en su mismo panel puedes avisarle a Google de que tu sitio está limpio y quitará, tras comprobarlo, el molesto aviso.

¿Cómo evitar problemas de seguridad en WordPress?

Todo esto, como ves está muy bien pero ¿como evito este tipo de intrusiones, hackeos e inyecciones de código?, pues siendo exhaustivo en los básicos, que no me cansaré de repetir:

Mantener WordPress actualizado a la última versión, única garantía de control de vulnerabilidades conocidas.
Instalar solamente plugins seguros, a ser posible desde el repositorio oficial.
Instalar solamente temas seguros, a ser posible desde el repositorio oficial.
Asegura WordPress con plugins especializados
Revisar la sección de seguridad de Ayuda WordPress para comprobar que has realizado todas las acciones de seguridad necesarias.
Suscribirte al feed de Ayuda WordPress para estar informado de las alertas de seguridad.

Servicios WordPress seguros

Ahora bien, si no quieres preocuparte de la seguridad de tu WordPress, siempre puedes recurrir a servicios que te quiten de problemas:

Utiliza un WordPress administrado como WordPress.com, simplemente escribes y te olvidas de todo
Haz backup de todo, tienes muchos plugins que automatizan las copias de seguridad diarias, para casos de desastre
Contrata un hosting especializado en WordPress que haga copia de seguridad automática de tu sitio
Install a premium plugin which automatically creates a full backup and sends it to a storage location of your choice.

Para finalizar, y a pesar de que este tipo de artículos a veces acojonan un poco, WordPress es el CMS más seguro.

Historia y actividades del día de Internet

planetawordpress — Thu, 17 May 2012 09:22:17 +0000

Hoy, 17 de mayo, celebramos el Día de Internet, una iniciativa cuyo origen está al otro lado del charco y que conmemora el momento en el que un grupo de activistas y profesionales de la red organizaron el Internet Day con la finalidad de dedicar una jornada festiva cableando las escuelas. Por su parte, la Unión Europea instauró este día en el año 2004, cambiando el nombre por el de Safer Internet Day con el objetivo de aprovechar y hacer la red más segura y fiable. La iniciativa en España surge desde el pueblo, promovida ésta también en el año 2004 por la Asociación de Usuarios de Internet.

Poco tiempo después, se le proponía a la ONU la designación del 17 de mayo como el Día Mundial de la Sociedad de la Información, y un año después las Naciones Unidas declaraban formalmente esa fecha como Día Mundial de la Sociedad de la Información y Telecomunicaciones, pero la atracción de Internet y de la sociedad civil hace que sea conocido simplemente como El Día de Internet. A este respecto, la esencia de la celebración de este día, la recoge el artículo 121 del Documento de Conclusiones de la Cumbre Mundial de la Sociedad de la Información (Túnez 2005):

Es necesario contribuir a que se conozca mejor Internet para que se convierta en un recurso mundial verdaderamente accesible al público

Desde entonces, los actos festivos, concursos, cursos de alfabetización, declaraciones o debate comparten espacio en la red, la calle y los salones de las instituciones. Como todos los años la lista de actividades se muestra como inmensa, por eso, lo mejor es consultar todas las actividades de España en esta web en la que puedes buscar actividades atendiendo a los criterios que te interesen.

El acto más político del Día de Internet tendrá lugar en el Senado. El Senado español junto con el Comité de Impulso del Día de Internet, formado por más de 47 colectivos sociales, ha convocado a destacados representantes del mundo político, empresarial, mediático, cultural y social para reflexionar sobrecomo Internet puede ayudar emprender, generar empleo y encontrar trabajo a través de la #innovación y seguidamente proceder a la entrega de los Premios de Internet 2012.

Puedes participar a través de Internet o desde tu teléfono móvil vía twitter hasta el 17 de Mayo a través del “Muro de la #innovacion” proponiendo tus propias reflexiones y propuestas. Las más valoradas serán trasladadas al debate.

Por último, este año, el premio a la Trayectoria personal (propuesto por la Asociación de Usuarios de Internet) quiere reconocer la importante contribución de Francisco de la Torre al posicionamiento de su ciudad, Málaga, como destino inversor y generador de empleo para las empresas de nuevas tecnologías a través de la iniciativa “Málaga Valley”, por haberla posicionado como la primera ciudad inteligente en España.

WordPress 3.3.2

JuanManuel — Sat, 21 Apr 2012 05:44:02 +0000

WordPress 3.3.2 ya está disponible y es una actualización de seguridad para todas las versiones anteriores.

Tres bibliotecas externas incluidas en WordPress recibieron actualizaciones de seguridad:

Plupload (versión 1.5.4), que usa WordPress para subir multimedia.
SWFUpload, que WordPress utilizaba anteriormente para subir multimedia y todavía puede estar en uso por los plugins.
SWFObject, que WordPress utilizaba anteriormente para integrar el contenido de Flash y todavía puede estar en uso por los plugins y temas.

WordPress 3.3.2 también se soluciona de:

Limitación en escalar privilegios en la administración del sitio pueden desactivar los plugins en toda la red cuando se ejecuta una red de WordPress en determinadas
Para ver el contenido completo, por favor de compartir este articulo con algún boton de abajo.

WordPress 3.3.2, actualización de seguridad

planetawordpress — Fri, 20 Apr 2012 19:02:41 +0000

Acaba de salir a la luz la actualización de WordPress 3.3.2 que, al ser una actualización de seguridad, es absolutamente recomendable instalar.

Los cambios principales son los siguientes:

Plupload (versión 1.5.4), que WordPress utiliza para subir archivos.
SWFUpload, que WordPress utilizaba antes para subir archivos y puede seguir en uso por parte de plugins.
SWFObject, que WordPress utilizaba antes para incrustar contenido Falsh y puede seguir en uso por parte de plugins y temas.
Solución al escalado limitado de privilegios cuando un administrador de sitio podía desactivar plugins para toda la red al ejecutar una red WordPress en ciertas circunstancias
Soluciona vulnerabilidad XSS al hacer URLs clicables
Soluciona vulnerabilidad XSS en redirecciones tras publicar comentarios en navegadores antiguos, y al filtrar URLs

Igual tarda un poco en aparecer disponible la actualización en español en tu escritorio, si así fuera ya la tienes en WordPress España.

Dos administradores en cada WordPress

planetawordpress — Thu, 19 Apr 2012 19:03:36 +0000

Hoy quiero compartir contigo un pequeño truco que creo que tiene mucho sentido, y es tener 2 usuarios con privilegios de administrador en cada instalación de WordPress.

El motivo es simple, si alguien hackea una cuenta de administrador siempre tendrás otra desde la que acceder para retirar privilegios a la cuenta comprometida, incluso eliminarla, y recuperar el control sobre tu WordPress.

Este pequeño pero útil truco, es válido tanto para instalaciones de WordPress alojado como de WordPress.com

¿Habías caído en esto?, es más, ¿lo hacías?

Dos administradores en cada WordPress

planetawordpress — Thu, 19 Apr 2012 19:03:36 +0000

Hoy quiero compartir contigo un pequeño truco que creo que tiene mucho sentido, y es tener 2 usuarios con privilegios de administrador en cada instalación de WordPress.

Este pequeño pero útil truco, es válido tanto para instalaciones de WordPress alojado como de WordPress.com

¿Habías caído en esto?, es más, ¿lo hacías?

Vulnerabilidad TimThumb

JuanManuel — Sat, 14 Apr 2012 06:34:07 +0000

No olviden actualizar sus temas con TimThumb, mala experiencia propia, ya que pueden hackear todos sitios con WordPress del servidor y cambiar apariencia, contraseñas, usuarios, etc… Para parchar el fallo es muy fácil, solo instala Timthumb Vulnerability Scanner y listo.

Proteger el fichero wp-config.php desde .htaccess

planetawordpress — Sat, 07 Apr 2012 23:03:33 +0000

Uno de los archivos más importantes de una instalación de WorPress, si no el más importante, es el archivo de configuración wp-config.php.

Y, en consecuencia, uno de los objetivos de cualquier indeseable que quiera hackear tu WordPress.

Pues bien, buena noticia, proteger este archivo de accesos no deseados es muy sencillo. Solo debes añadir unas líneas de código al fichero .htaccess de tu instalación de WordPress, estas:


order allow,deny
deny from all

Guardas los cambios y ya está. Por supuesto, si no tienes un archivo .htaccess debes crearlo accediendo con tu aplicación cliente FTP.

BuddyPress 1.5.5, actualización importante de seguridad

planetawordpress — Tue, 27 Mar 2012 17:00:35 +0000

Acaba de salir a la luz la versión 1.5.5 de BuddyPress, una actualización de seguridad que soluciona 14 fallos, incluida una vulnerabilidad potencial de seguridad que afecta a todas las versiones anteriores de la serie 1.5.x, así que a correr a actualizar.

Phising a desarrolladores de plugins WordPress

planetawordpress — Mon, 26 Mar 2012 15:47:22 +0000

Me avisa José Conti que todos los desarrolladores de plugins que publican en el repositorio oficial de WordPress han recibido un email avisando de phising, que traduzco a continuación …

Hola,

Recibes este email porque estás en la lista de autores o colaboradores de un plugin WordPress alojado en wordpress.org/extend/plugins/.

Recientemente se ha enviado emails de “phishing” a varios autores de plugins, diseñados para robar sus datos de acceso. Si recibes o has recibido algún email que aluda provenir del repositorio de plugins, asegúrate de comprobarlo varias veces. Los emails relativos al repositorio siempre se mandan desde una dirección de email de wordpress.org. Si tienes dudas, por favor, responde al email pidiendo confirmación.

No es difícil identificar un email “phishing”:

Todos los clientes de email modernos detectan la mayoría de ellos.
Mal inglés, gramática inglesa pobre.
Texto genérico
Enlace(s) que te tratan de llevar al sitio engañoso

Otra manera estupenda es leer el email como texto. Muchos clientes de email tienen una opción para eliminar todo el HTML y mostrar los mensajes como texto.

Si has recibido un email similar a ese y has hecho clic en algún enlace, podría ser un buen momento para visitar wordpress.org y cambiar tu contraseña. Si no es así, como autor de plugins es una buena idea cambiar tu contraseña regularmente.

Otro tipo de emails a vigilar son los que tengan un aspecto extraño, peticiones genéricas de ayuda, normalmente enviadas a través del formulario de contacto de tu web, y que contengan frases como …

“Desarrollador de WordPress, ¿Como te va? Encantado de contactar contigo”.

Estos serían intentos de obtener direcciones de email (si respondes) para el intento de phishing.

Mantente seguro,

El equipo de WordPress.

Así que ya sabes, no te fíes de cualquier email, menos de los que lleven enlaces. Yo siempre reviso el código fuente de los emails que me son sospechosos.