Hace unos días se retiró del repositorio de WordPress un plugin llamado “Display Widgets”. Se detectó en su código una puerta trasera (backdoor) que permitía a un atacante acceder a las instalaciones que tuvieran instalado este plugin y enviar spam desde ahí.
El plugin fue retirado hasta 4 veces del repositorio de WordPress por la misma razón y en el momento de su retirada existían más de 200.000 instalaciones del mismo en WordPress de todo el mundo.
Para entrar más en detalles sobre este plugin os voy a recomendar un podcast muy completito de mi amigo Juanma Aranda (wpnovatos.com) en el que habla de la historia de este plugin y aporta muchos detalles sobre el funcionamiento y el malware que contenía. A mi parecer, aborda el tema de una manera fantástica y apto para usuarios de diferentes niveles de conocimiento. Decir que he tenido la gran suerte de ser invitado por Juanma para participar en este podcast y dar mi opinión sobre las backdoors (Gracias Juanma).
Os lo recomiendo así que… dadle al “Play”.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Ponencia: “¿Seguro que creo webs seguras?”, WordCamp Madrid 2017
Quiero dar desde aquí las gracias a la organización de la WordCamp Madrid 2017 por confiar en mi en su primera edición y permitirme hablaros de seguridad en WordPress, algo que me entusiasma. Estaría encantado si contaran conmigo en futuras ediciones.
Tuve la gran suerte de abrir el congreso en el Track B. El video está empezado y faltan 5 o 6 minutos desde el inicio debido a algún problema con la grabación.
Descripción de la ponencia: En esta charla intenté dar a conocer por dónde nos puede atacar un usuario malintencionado, y aprender a solucionar las vulnerabilidades por nosotros mismos. Algo que debería hacer todo desarrollador de Páginas web con WordPress y que muy pocos lo hacemos. Realizamos una auditoría de nuestra instalación de WordPress en tiempo real utilizando distintas herramientas para buscar vulnerabilidades en nuestras instalaciones. Utilizamos herramientas online y scripts al alcance de cualquiera y que podemos conseguir de forma gratuita por la red. Aprendimos cómo fortificar una instalación de WordPress con “WPHardening“antes de subirla a producción. Y vimos la importancia de tener instalado un buen plugin de seguridad.
Aquí os dejo el video, gracias a los compañeros de WordCamp Madrid. Puedes descargar la presentación haciendo clic aquí.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Te preguntarás el “por qué” de este post. He pensado que sería interesante que vieras lo que me encuentro cada día al llegar al trabajo.
Todo el mundo sabe que la seguridad en WordPress es necesaria… ¿seguro? ¿todos son conscientes? 😉
Eres de los que piensan “tengo mi página hecha con WordPress y nunca me han hackeado”. Permíteme decirtelo alto y claro: hackear tu web, tan sólo es cuestión de tiempo. Tranquilo, esta afirmación también tiene sus excepciones siempre y cuando te tomes en serio la seguridad de tu web y la gestiones o te la gestione correctamente un profesional.
Lo primero que quiero enseñarte es lo que me encuentro cada mañana al llegar al trabajo y abrir mi correo electrónico:
Si no lo has hecho ya, quiero que te fijes en la carpeta “Logueos fallados” y, sobre todo, en el número que aparece a su derecha (2470). Se trata de informes de intentos de acceso a todas las webs que administro, generados por los plugins de seguridad instalados en cada uno de los sitios. Teniendo en cuenta que estos informes se recogen desde que salgo del trabajo, hasta que entro a la mañana siguiente (unas 15 horas) y que, el número de webs que administro son varias decenas, este número puede parecer incluso pequeño.
Con esto simplemente quiero mostrarte que, desde el mismo momento que una instalación de WordPress se sube al servidor de producción, está a disposición de los scripts automatizados de usuarios malintencionados y, por lo tanto, ya es atacada.
Detalle de estos informes
Donde podemos ver la fecha y la hora del intento de logueo así como el usuario con el que han intentado acceder que en este caso es “test”.
Este es un informe del plugin “Sucuri”, para recibirlo debemos configurar bien las alertas una vez lo tengamos instalado, pero de ello hablaremos más adelante en otro post.
Nociones básicas de seguridad en WordPress
No me cansaré de repetir las nociones básicas de seguridad para tu instalación de WordPress, de momento, me repetiré con algunos consejos para evitar estos ataques:
NO utilices nunca como nombre de usuario palabras como “admin”, “administrador”, “test” o el “nombre_de_tu_dominio”
Utiliza contraseñas seguras de al menos 12 caracteres incluyendo letras mayúsculas, minúsculas, números y símbolos.
Cambia la ruta de acceso a tu panel de control, no utilices “wp-admin” o “wp-login.php” (más adelante crearé un post sobre cómo realizar esto con plugin y sin plugin).
Limita el número de intentos de logueo fallidos a tu panel de control. Utiliza un plugin específico para ello o un plugin de seguridad que disponga de esta característica.
¿Quieres más consejos de seguridad? Mira estos post:
¿Te perdiste el ciberdebate? ¿Lo viste y quieres volver a verlo con tranquilidad?
¡No te preocupes! en este post te dejo el video para que lo puedas disfrutar.
El ciberdebate tuvo lugar el martes 28 de febrero de 2017 en el canal de Youtube “Palabra de Hacker“.
Quiero dar las gracias tanto a Yolanda Corral por invitarme a participar, como a Daniel Maldonado y Jorge Coronado por exponer sus puntos de vista. La verdad que pasamos un rato muy agradable hablando de lo que más nos gusta y espero que vosotros también. Asimismo espero que os haya servido para ayudaros y disipar vuestras dudas sobre la seguridad de vuestras instalaciones de WordPress.
Tanto si lo viste en directo como si no te fue posible, ahora puedes volver a disfrutarlo en diferido.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
El canal “Palabra de Hacker” organiza este ciberdebate sobre seguridad en WordPress
Hoy quiero contaros que he tenido la suerte de ser invitado por Yolanda Corral al ciberdebate “Cómo mejorar la seguridad en WordPress”, junto con otros dos profesionales de la materia como Daniel Maldonado (@elcodigok) y Jorge Coronado (@JorgeWebsec).
Estaremos más o menos una hora debatiendo sobre la seguridad en WordPress y contestaremos a todas vuestras preguntas.
Cómo mejorar la seguridad en WordPress
El ciberdebate tendrá lugar el martes 28 de febrero de 2017 en el canal de Youtube “Palabra de Hacker” y será moderado por la propia Yolanda Corral, responsable del canal.
Si queréis más información os animo a visitar la web oficial en este enlace.
(Editado) Aquí os dejo el video
Valórame, es gratis, solo te cuesta un click [kkstarratings]