Te preguntarás el “por qué” de este post. He pensado que sería interesante que vieras lo que me encuentro cada día al llegar al trabajo.
Todo el mundo sabe que la seguridad en WordPress es necesaria… ¿seguro? ¿todos son conscientes? 😉
Eres de los que piensan “tengo mi página hecha con WordPress y nunca me han hackeado”. Permíteme decirtelo alto y claro: hackear tu web, tan sólo es cuestión de tiempo. Tranquilo, esta afirmación también tiene sus excepciones siempre y cuando te tomes en serio la seguridad de tu web y la gestiones o te la gestione correctamente un profesional.
Lo primero que quiero enseñarte es lo que me encuentro cada mañana al llegar al trabajo y abrir mi correo electrónico:
Si no lo has hecho ya, quiero que te fijes en la carpeta “Logueos fallados” y, sobre todo, en el número que aparece a su derecha (2470). Se trata de informes de intentos de acceso a todas las webs que administro, generados por los plugins de seguridad instalados en cada uno de los sitios. Teniendo en cuenta que estos informes se recogen desde que salgo del trabajo, hasta que entro a la mañana siguiente (unas 15 horas) y que, el número de webs que administro son varias decenas, este número puede parecer incluso pequeño.
Con esto simplemente quiero mostrarte que, desde el mismo momento que una instalación de WordPress se sube al servidor de producción, está a disposición de los scripts automatizados de usuarios malintencionados y, por lo tanto, ya es atacada.
Detalle de estos informes
Donde podemos ver la fecha y la hora del intento de logueo así como el usuario con el que han intentado acceder que en este caso es “test”.
Este es un informe del plugin “Sucuri”, para recibirlo debemos configurar bien las alertas una vez lo tengamos instalado, pero de ello hablaremos más adelante en otro post.
Nociones básicas de seguridad en WordPress
No me cansaré de repetir las nociones básicas de seguridad para tu instalación de WordPress, de momento, me repetiré con algunos consejos para evitar estos ataques:
NO utilices nunca como nombre de usuario palabras como “admin”, “administrador”, “test” o el “nombre_de_tu_dominio”
Utiliza contraseñas seguras de al menos 12 caracteres incluyendo letras mayúsculas, minúsculas, números y símbolos.
Cambia la ruta de acceso a tu panel de control, no utilices “wp-admin” o “wp-login.php” (más adelante crearé un post sobre cómo realizar esto con plugin y sin plugin).
Limita el número de intentos de logueo fallidos a tu panel de control. Utiliza un plugin específico para ello o un plugin de seguridad que disponga de esta característica.
¿Quieres más consejos de seguridad? Mira estos post:
¿Te perdiste el ciberdebate? ¿Lo viste y quieres volver a verlo con tranquilidad?
¡No te preocupes! en este post te dejo el video para que lo puedas disfrutar.
El ciberdebate tuvo lugar el martes 28 de febrero de 2017 en el canal de Youtube “Palabra de Hacker“.
Quiero dar las gracias tanto a Yolanda Corral por invitarme a participar, como a Daniel Maldonado y Jorge Coronado por exponer sus puntos de vista. La verdad que pasamos un rato muy agradable hablando de lo que más nos gusta y espero que vosotros también. Asimismo espero que os haya servido para ayudaros y disipar vuestras dudas sobre la seguridad de vuestras instalaciones de WordPress.
Tanto si lo viste en directo como si no te fue posible, ahora puedes volver a disfrutarlo en diferido.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
El canal “Palabra de Hacker” organiza este ciberdebate sobre seguridad en WordPress
Hoy quiero contaros que he tenido la suerte de ser invitado por Yolanda Corral al ciberdebate “Cómo mejorar la seguridad en WordPress”, junto con otros dos profesionales de la materia como Daniel Maldonado (@elcodigok) y Jorge Coronado (@JorgeWebsec).
Estaremos más o menos una hora debatiendo sobre la seguridad en WordPress y contestaremos a todas vuestras preguntas.
Cómo mejorar la seguridad en WordPress
El ciberdebate tendrá lugar el martes 28 de febrero de 2017 en el canal de Youtube “Palabra de Hacker” y será moderado por la propia Yolanda Corral, responsable del canal.
Si queréis más información os animo a visitar la web oficial en este enlace.
(Editado) Aquí os dejo el video
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Modificación de post de nuestros WordPress mediante ataques de “defacement”
Tras varios días de incidencias he decidido escribir este post para que no os preocupéis.
En los últimos días hemos recibido un número indiscriminado de incidencias de webs diciendo que su web había sido hackeada y, efectivamente, así era. Al comprobar los post de sus páginas veían que la última entrada que habían publicado era totalmente diferente, ahora, en el título se leía algo así como “Hacked By XXX”, y el contenido o descripción e incluso la imagen destacada también habían cambiado. La verdad que he visto distintos y variados contenidos pero todos, en el fondo, vienen a ser lo mismo:
El “atacante” inyecta código en nuestra base de datos aprovechando una vulnerabilidad de la REST API implementada en la versión 4.7 de WordPress, consiguiendo modificar el contenido de un post.
¿Esto es grave?
Pues la verdad es que no es muy grave ya que un “defacement” no es más que una modificación o cambio intencionado en nuestras páginas, más concretamente y según “wikipedia”:
“Defacement es una palabra inglesa que significa desfiguración y es un término usado en informática para hacer referencia a la deformación o cambio producido de manera intencionada en una página web por un atacante que haya obtenido algún tipo de acceso a ella, bien por algún error de programación de la página, por algún bug en el propio servidor o por una mala administración de este.”
Sin embargo, nunca sabemos la modificación que pueden realizar y de momento, si simplemente se trata de modificar el contenido del post con la frase “Hacked by XXX”, no hay más problema que lo feo que queda que en una web nuestra o de algún cliente, se pueda leer que la web esta hackeada en lugar de mostrar nuestro bonito y trabajado post.
¿Cómo lo arreglo?
Esta vulnerabilidad existe desde la versión 4.7 de nuestros WordPress y afecta a las versiones 4.7 y 4.7.1. El fallo de seguridad se solucionó en la versión 4.7.2 así que si estás leyendo esto y te ha ocurrido lo que aquí te indico, lo más seguro es que tengas tu instalación de WordPress desactualizada. Lo primero que te recomiendo es que repares el post afectado y actualices a la última versión de WordPress. También te recomiendo que actualices también los temas y los plugins (por descontado).
¿Cómo puedo securizar mi web para que no me vuelva a pasar?
Si eres seguidor de mi blog ya lo sabrás, sino te invito a visitar este post en el que pongo a tu disposición mi presentación en la WordCamp Cantabria 2015, donde te doy unos parámetros básicos para asegurar tu WordPress.
¡Genial! y ¿me aseguras que no me volverá a pasar nada parecido? pues la respuesta por desgracia es un ¡No! rotundo pues nunca estaremos a salvo de ataques al 100% pero sí que podemos ponérselo a los “malos” lo más difícil posible.
Si no quieres preocuparte por la seguridad de tu web y quieres dedicarte simplemente a tu negocio mi consejo es que contrates los servicios de un profesional de Seguridad en WordPress y por una pequeña cuota mensual, despreocuparte de la seguridad y dedicarte a lo que mejor sabes hacer.
Te dejo toda la información sobre el ataque en el siguiente enlace (en inglés) del blog de Wordfence.
Tomás S.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Por tercer año consecutivo he tenido la suerte de ser parte de la organización de Sh3llcon, el congreso de seguridad informática que se celebra cada año en Cantabria. Han sido seis meses de duro trabajo junto a mis compañeros de organización, que se intensificaron sobremanera en las dos últimas semanas.
Para comenzar, quiero hacer una mención especial a nuestra empresa Netkia que, como años atrás, nos ha proporcionado el tiempo y los recursos necesarios tanto humanos como materiales y económicos para poder organizar un evento a la altura de los más grandes. Si, de los más grandes, o así nos lo han hecho llegar la cantidad de felicitaciones que hemos recibido tanto durante como a la finalización del congreso.
En Sh3llcon damos mucho valor a las opiniones de los asistentes, prueba de ello es que cada año añadimos nuevas características al congreso.
Talleres prácticos especializados
Muchas más horas de talleres prácticos, con talleres especializados de hasta 4 horas de duración.
Talleres para público no especializado en seguridad
Talleres de seguridad en la red tanto para adolescentes como para padres y profesionales de la educación, que son los que cada día tienen que hacer frente a estas amenazas casi imperceptibles para los más pequeños.
Foro para empresarios y directivos de empresas
Este año hemos incluido un foro para concienciar a las empresas de la importancia de la seguridad y de la protección de sus datos y la de sus clientes. El foro tuvo una fantástica acogida
Ponencias
Charlas y ponencias de calidad con ponentes de primer nivel, algunos ya son hasta parte de Sh3llcon, pues quieren venir año tras año a aportar sus conocimientos, y nosotros pues… ¡encantados!
El resultado de todo esto han sido más de 700 asistentes entre todos nuestros eventos, algo que ni siquiera podíamos soñar cuando comenzamos a montar Sh3llcon por primera vez.
En definitiva, ya terminó la tercera edición de Sh3llcon, un lugar donde aprender sobre seguridad, hacer contactos y conocer gente que comparte tus inquietudes. Un trabajo duro pero muy gratificante.
Desde la organización, queremos dar las gracias a asistentes, ponentes y patrocinadores porque sin ellos este evento no habría sido posible.
Nos vemos en Sh3llcon 2018
Tomás
Valórame, es gratis, solo te cuesta un click [kkstarratings]
A veces, cuando utilizamos una herramienta de medir la velocidad de nuestros WordPress, como puede ser GTMetrix, Pingdom o Google Page Speed Insight, al fijarnos en la compresión Gzip de archivos CSS y JS, vemos que tienen una terminación del tipo 'nombre-del-archivo.js?ver=x.xx.x' o 'nombre-del-archivo.css?ver=x.xx.x'.
Esto impide que se minifiquen y se compriman esos archivos haciendo que nuestra web cargue más lenta al tener que cargar muchos archivos a la vez.
Añade este código en el archivo “functions.php” de tu tema activo o inclúyelo en tu plugin de funciones personalizadas:
Add the below to your functions.php file
// Remove WP Version From Styles
add_filter( 'style_loader_src', 'sdt_remove_ver_css_js', 9999 );
// Remove WP Version From Scripts
add_filter( 'script_loader_src', 'sdt_remove_ver_css_js', 9999 );
// Function to remove version numbers
function sdt_remove_ver_css_js( $src ) {
if ( strpos( $src, 'ver=' ) )
$src = remove_query_arg( 'ver', $src );
return $src;
}
Y recuerda, si te gusta el artículo comparte y hagamos una comunidad WordPress más grande.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Protege tus archivos importantes de WordPress por htaccess impidiendo el acceso desde el exterior
La protección de archivos desde .htaccess es una de las acciones importantes de seguridad que toda instalación de WordPress debería de tener.
En la primera parte de este artículo sobre seguridad en WordPress a través del archivo .htaccess, vamos a ver como evitar el acceso desde el exterior a usuarios malintencionados que intenten ver los archivos más críticos de nuestras instalaciones WordPress.
Hoy veremos cómo impedirlo con unas sencillas líneas de código en nuestro archivo .htaccess que, como ya sabes, se encuentra en el directorio raiz de nuestra instalación. Este archivo suele estar oculto por lo que si no lo ves deberás habilitar la opción “ver archivos ocultos o de sistema” o pulsando la combinación de teclas CTRL+H
En este ejemplo vamos a proteger los archivos:
wp-config.php: donde se encuentran, entre otras cosas, todos los datos de acceso a nuestra base de datos.
El propio .htaccess: archivo de configuración utilizado por servidores web basados en apache y que configura los ajustes iniciales del servidor.
xmlrpc.php: que puede ser utilizado para realizar ataques de fuerza bruta.
Protección de archivos desde htaccess
El código que debes incluir en tu .htaccess es el siguiente:
# proteger wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# proteger .htaccess
<files .htaccess>
order allow,deny
deny from all
</files>
# proteger xmlrpc.php
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
Puedes utilizar estos códigos para proteger otros archivos como el readme.html o cualquiera que pueda mostrar información importante de nuestra instalación. Pero ten cuidado a la hora de incluir código en el .htaccess ya que puedes provocar errores como la famosa “página en blanco”. Úsalo con responsabilidad.
Si te ha gustado o tienes alguna duda déjame tus comentarios. También puedes sugerirme ideas para futuros tutoriales relacionados con la seguridad en WordPress o con trucos de seguridad en general.
Valórame, es gratis, solo te cuesta un click [kkstarratings]