Hoy os traigo una revisión del Plugin BackupBuddy realizada con ayuda de los compañeros de wpvivo.com.
Para mantener la seguridad de tu página web WordPress del nivel más alto, no es necesario sólo utilizar plugins de seguridad (u ocultar tu página de acceso al panel), también tienes que realizar copias de seguridad de toda tu instalación de cualquiera de estas maneras:
Desde tu hosting: hay algunos muy buenos como Siteground que realizan una copia de seguridad diarios por ti, IMPRESIONANTE
Realiza una copia manual de tus archivos y base de datos.
Utiliza algún plugin para hacer copias de seguridad de tus páginas web. Porque si algo va mal, por ejemplo si actualizas tus plugins, plantilla del tema o versión de WordPress y algo se rompe, si tienes un backup, siempre puedas restablecer tu página web desde la última copia creada. Y para esto, muchos usuarios utilizan el plugin premium llamado BackupBuddy de iThemes.com.
Revisión del Plugin BackupBuddy
Con este plugin puedes hacer copias de seguridad de tu base de datos WordPress, de tus archivos, plugins, temas o página web completa con un solo clic. Es muy fácil de usar.
Mis características favoritas de BackupBuddy son:
Las copias se pueden hacer automáticamente (funciona utilizando Cron jobs). Con establecerlo a varias veces por semana nos mantendrá más seguros.
Puedes enviar estas copias directamente a tu cuenta de Dropbox.
BackupBuddy se puede utilizar también para transferir tu página web a nuevo alojamiento web. O si eres un diseñador web, puedes utilizarlo a transferir la página web del desarrollo desde tu servidor de desarrollo hacia el alojamiento web de tu cliente en el entorno de producción.
Como es un plugin premium, su precio es un poco alto (unos 80$), pero iThemes casi siempre tiene descuentos. También se puede comprar el plan Gold que te ofrecerá copias para ilimitadas páginas web. Y además de esto, con una licencia de BackupBuddy también obtendrás acceso a iThemes Sync para 10 páginas web. IThemes Sync es una aplicación para mantener más páginas web WordPress desde un solo lugar. Y también tendrás acceso a Stash Live, lo que es un espacio virtual de iThemes para almacenar tus copias de seguridad.
Es un plugin genial, hace muy buen trabajo y el equipo de iThemes está trabajando duro para mejorarlo con cada actualización.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.
Cross-Site Scripting (XSS)
Un atacante puede realizar una petición post inyectando un string, por ejemplo un alert como el siguiente:
Aprovechando una vulnerabilidad en el código de alguna aplicación, plugin, plantilla de tema, etc., un usuario malintencionado puede introducir una cadena de código javascript para que se ejecute en el navegador.
A continuación te dejo un video explicativo para entender mejor cómo se explota esta vulnerabilidad.
Hoy ya puedo afirmar que seré ponente en WordCamp Irún el día 2 de junio a las 17:50 en la Universidad de Mondragón (Mondragon Unibertsitatea). Hablaré como de costumbre, de Seguridad en WordPress. En este caso utilizaré la potencia del motor de búsqueda de Google para hackear WordPress. Una charla que hace ya tiempo que llevaba pensando y que me gusta especialmente.
Ya tenéis las entradas a la venta por tan solo 20€ en 2018.irun.wordcamp.org/entradas/ Te aconsejo que te des prisa en obtener la tuya porque va a ser una fantástica WordCamp.
Ser ponente en WordCamp Irún
No se cómo expresarlo pero cada vez que hay una nueva WordCamps me hace especial ilusión dar una charla. Ser ponente en WordCamp Irún tiene un sabor especial para mi. Significa formar parte y poder colaborar con la ilusión de todo el equipo de la organización de Irún y en especial de mi amigo Pablo Moratinos, un tío que, no me digáis porque razón, pero tengo un cariño muy especial. No hará ni un año que lo conozco (desde Chiclana 2017). Tan solo ver cómo trabaja para la comunidad y cómo dedica tanto esfuerzo y empeño en todo ello, me hace ilusionarme de nuevo.
Reconozco que he tenido momentos de incertidumbre estos últimos días, con el tema de WordPress, comunidad y todo lo que lo rodea. He necesitado apartarme un poco y centrarme en mis cosas para ver todo desde un ángulo externo, coger impulso de nuevo y empezar con las ganas del que comienza cualquier proyecto ilusionante.
No puedo evitar poner todo mi empeño cada vez que doy una charla, por pequeño que sea el auditorio. Los que me conocéis ya sabéis que me esfuerzo un montón para que la gente aprenda, mucho, poco… ¡algo!. Quizá es cosa de vocación. No supe nada de ésta hasta que me planté delante de un grupo de gente por primera vez y di mi primera charla nervioso como un flan.
Hoy tengo otra ponencia que me ilusiona, en Irún, en Euskadi, y hablando de Seguridad en WordPress.
Simplemente ¡gracias!
Valórame, es gratis, solo te cuesta un click [kkstarratings]
¿Qué hace Facebook con mis datos? ¿Dónde se guardan? ¿Quién puede verlos o quién tiene acceso a ellos? Si no te has preguntado esto alguna vez significa que simplemente “te da igual”. Si, es lo más común entre los usuarios a los que trato de ayudar en estos temas. Quiero que te hagas otra pregunta más, ¿realmente necesito dar toda esa información sobre mi al mundo? Estoy aseguro que no vas por la calle dando voces y gritando dónde trabajas, qué es lo que te gusta y lo que no, cuales son tos deseos e ilusiones, y un sinfín de cosas que sí que haces en Facebook.
Configuración de privacidad
Lo primero que debes de hacer es aprender a configurar la privacidad de tu cuenta, esto es lo que permites que se vea y a quién permites que lo vea. Cada uno es libre de exponer publicamente los datos que quiera ¡faltaría más! por eso no te indicaré cómo deberías configurar tu privacidad, simplemente accede al menú “Configuración” de tu cuenta y modifica las opciones tu mismo.
Descarga los datos que posee Facebook de ti
¡Ah! pero ¿puedo hacer eso? Pues claro que si, de hecho te animo a que lo hagas y verás TODO lo que has interactuado con Facebook: publicaciones, “Me gustas”, imágenes, videos, conversaciones de chat… ¡TODO!
¿Cómo puedes hacerlo? pues fíjate en la imagen anterior, en la zona central, bueno vaaaale, ya te pongo otra imagen para que veas dónde está el enlace
Como supongo que llevarás varios años compartiendo contenido en Facebook, ten un poco de paciencia, pues el archivo será grande y tardará en cargar. No te preocupes, Facebook es tan bueno que te avisará por email cuando el archivo esté listo para su descarga y, además, recibirás una nueva notificación en tu perfil.
Lo que Facebook sabe sobre mi
Facebook como red social “gratuita” utiliza la información que le proporcionas para conocerte un poco más y ofrecerte productos y servicios que puedan adaptarse a tu personalidad. He dicho que es una red social “gratuita”, y la pongo entrecomillada porque esto no es del todo cierto. En este mundo soy de los que piensan que nadie da nada por nada, es por esta razón por la que he entendido bien lo que ofrecen estas redes sociales (lo mismo Facebbok que Twitter, Instagram, etc.) y lo que tu les das a cambio de su servicio. Ahora quiero que tu que estás leyendo esto, lo entiendas.
Facebook almacena información obtenida de tu actividad para ofrecerte publicidad acorde a lo que la red social considera que son tus intereses. Si deseas saber la información que Facebook utiliza sobre ti, accede a tu cuenta y pincha en este enlace para ver tus preferencias, y algo como esto es lo que podrás ver
Te animo a que “enredes” por aquí y veas lo que Facebook sabe de ti y cómo utiliza esa información para enviarte anuncios dirigidos solo para ti. Te sorprenderá ver, por ejemplo, la pestaña “Tu información”, no tiene desperdicio.
Puedes ver lo que Facebook recopila sobre ti, incluso descargar un archivo con toda la información que has compartido en esta red social en este enlace.
¿Quieres eliminar tu cuenta de Facebook permanentemente?
Si te has cansado de Facebook, o has leido este artículo y te ha hecho pensar, o simplemente no quieres que Facebook siga siendo dueño de una parte de tu vida, tienes dos opciones:
– Desactivar tu cuenta, lo cual hace que no la puedan ver el resto de usuarios pero que sigue conservando tus datos.
– La eliminación o borrado permanente de la cuenta y todos sus datos. Obviamente, este proceso de eliminación no es tan fácil de realizar como el de desactivación. Para borrar tu cuenta de Facebook tienes que acceder a este enlace donde deberás, en principio, añadir tu usuario y password. Pero no termina aquí, Facebook se encarga, mediante un tedioso proceso, de que te canses antes de dar de baja definitivamente tu cuenta.
Entonces ¿qué hace Facebook con mis datos?
Piensa que nadie da nada por nada y Facebook tampoco. La red social te ofrece un servicio donde puedes interactuar con tus amigos, familiares, o con quien quieras, también puedes usarla solo para cotillear, que ya sabemos que tu no cotilleas en Facebook pero tenia que decirlo 🙂 Pues bien, la moneda de cambio que tu le das a Facebook no es más que una cantidad ingente de datos personales para que éste los utilice para ofrecerte productos en base a tus “necesidades” e intereses. Digamos que “Facebook te conoce mejor que tu madre”.
La mayoría de estas afirmaciones se pueden aplicar a otras redes como Twitter, instagram, linkedin, etc. A día de hoy no he encontrado ninguna red social que te ofrezca sus servicios por el mero placer de verte contento.
¿Te gustaría navegar sin miedos? ¿Quieres que te avise de peligros de seguridad en internet? Phising, tarjetas de crédito, estafas… déjame tu email y yo te avisaré cada semana de los nuevos peligros de la red.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Aparece nuevo Email Phising del Banco Santander ¡no piques!
Nuevo Email Phising Banco Santander, que posiblemente ya hayas recibido en tu bandeja de entrada.
Como ya sabrás, el “fishing” es una técnica de ingeniería social utilizada por los ciberdelincuentes para obtener información confidencial como nombres de usuario, contraseñas y detalles de tarjetas de crédito haciéndose pasar por una comunicación confiable y legítima. En este caso la fuente es, supuestamente, del Banco Santander.
El email simula ser del Banco Santander pero sus creadores ni siquiera se han preocupado en modificar el email remitente De: Santander (palo@xtra.co.nz) que, como puedes ver, no utiliza el dominio del banco Santander que sería bancosantander.es.
Lo que el atacante busca es que hagas clic en el enlace “Continuar con la actualización” y así llevarte a una página maliciosa que posiblemente secuestre tu navegador o capture cookies de sesión o incluso aparezcas en una página donde te piden los datos de tu tarjeta.
Consejos antifishing:
Comprueba que el remitente es la fuente real. A veces no es tan obvio como en este caso. Suelen cambiar alguna letra o número de los dominios reales: bancosanlander.es en lugar de bancosantander.es
Jamás introduzcas datos bancarios en un formulario que te llegue por email,
¡Recuerda! tu Banco jamás te pedirá que introduzcas ningún dato por email.
Jamás hagas clic en ningún enlace del email.
En caso de duda ve a la oficina más próxima de tu banco y comunícales este asunto.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Informe sobre últimas vulnerabilidades encontradas en WordPress
Estas son las últimas vulnerabilidades encontradas en WordPress.
Si tienes alguno de estos plugins te recomiendo actualizar a su última versión inmediatamente. Espero que este servicio te sirva de ayuda para mantener tu WordPress seguro.
Vulnerabilidades en PLUGINS
Vulnerabilidad –> Unauthenticated Stored XSS
Plugins afectados:
Events Manager v5.8.1.1
Un usuario no autenticado o un usuario sin privilegios, que puede enviar un evento, puede insertar código JavaScript en la miniatura del mapa de Google Maps.
La brecha de seguridad se ha arreglado en la version 5.8.1.2 del plugin
¿Quieres ver una POC de cómo explotar esta vulnerabilidad? Pues mira este vídeo
Vulnerabilidad –> Cross-Site Scripting (XSS)
Plugins afectados:
Duplicator v1.2.32
XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.
Un atacante puede realizar una petición post inyectando un string.
Conoce los detalles y aprende cómo pueden explotar esta vulnerabilidad en el siguiente video
XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.
El fallo de seguridad se ha arreglado en la version 2.4.1 del plugin
Valórame, es gratis, solo te cuesta un click [kkstarratings]