Bienvenido a la actualidad WordPress y ciberserguridad (16 mayo 2018)
Actualidad WordPress y ciberserguridad (16 mayo 2018)
Este fin de semana, los días 19 y 20, se celebra la WordCamp Bilbao donde tengo la suerte de participar como ponente. Revisando el programa te diré que hay ponencias increíbles que no me perderé por nada del mundo. ¿No me digas que viendo el programa no te dan ganas de ir?
10:00
Consigue trabajo gracias a la comunidad de WordPress- Ibon Azkoitia
WP-CLI: maneja tu WordPress like a pro – Fernando García Rebolledo
10:40
¡SOS, no tengo visitas! Estrategias para disparar el tráfico de tu WordPress – Vanesa Gómez del Río
Con 3 horas de Growth Hacking SEO para tener resultados – Andoni Martín
————–
11:50
Mi cliente no siempre tiene la razón – Rosa Pérez
La Revolución Gutenberg: Del ‘Post’ al ‘Block’ – Álvaro Gómez
12:30
Sigue estos 10 pasos para convertirte en Freelancer de WordPress – Mauricio Gelves
La 2ª extinción de diseñadores y programadores ¿está aquí? – Caín Santamaría
13:10
¿Cómo se diseña una web y cuánto cuesta? – Ana Cirujano
Link Affinity – Antonio Torres
————–
15:20
¡Te ha pillado el toro! Guía urgente para cumplir la RGPD en tu web – Fernando Tellado
Descubre las posibilidades de WooCommerce – Oscar Abad Folgueira
16:00
Freelance WordPress: cómo tener éxito profesional – Fernando Puente
Teoría del color para temas WordPress – Mónica Martín
————–
17:10
No todos hablamos el mismo idioma – Saray Ortiz
Hola Dorothea – Javier Casares
17:50
¡Proyectos heredados! Pros y contras de una web que no has desarrollado – Tomás Sierra
¿Está muerto el SEO para los negocios? – Marcos Ramajo
WordPress 4.9.6 viene con importantes cambios, principalmente para el cumplimiento de la RGPD. En este artículo de wpnovatos, nuestro amigo Juanma Aranda te lo explica de una manera genial.
¿Sabes que gracias a la RGPD ahora puedes descargar todos los datos que has compartido en las redes sociales? Google, Facebook, Twitter e Instagram ya permiten hacerlo. En los artículos y videos que te dejo a continuación aprenderás cómo puedes descargarlos.
Conoce los tipos de vulnerabilidades que nos podemos encontrar en una aplicación web.
Si aún te preguntas si debes o no actualizar tus plugins, temas o core de WordPress, te animo a que veas este artículo hasta el final y compruebes por ti mismo lo que te puede ocurrir si no lo haces.
En este post iré recopilando los diferentes tipos de vulnerabilidades que nos podemos encontrar en las aplicaciones web. Os dejo una pequeña descripción de cada una de ellas para que se entienda y algunos ejemplos de explotaciones. Para los ejemplos hemos creado unos videos explicativos usando WordPress como gestor de contenidos web.
Tipos de vulnerabilidades
Cross-Site Scripting (XSS)
XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.
Un atacante puede realizar una petición post inyectando un string.
Para entender mejor cómo se explota mira este video explicativo
Multiple Cross-Site Scripting (XSS)
Se realizan múltiples ataques de XSS lo cual permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.
Stored XSS (inyección de código almacenado)
Se trata de uno de los ataques más peligrosos ya que el código que inyecta el atacante se almacena en tu base de datos.
Los ataques almacenados son aquellos en los que el script insertado se almacena permanentemente en los servidores de destino, como en una base de datos, foro de mensajes, registro de visitantes, campo de comentarios, etc. La víctima recupera el script malicioso del servidor cuando solicita la información almacenada. Stored XSS también se conoce como Persistent o Type-I XSS.
Unauthenticated Stored XSS
Un usuario no autenticado o un usuario sin privilegios, que puede enviar un evento, puede insertar código JavaScript en la páginas web a través del navegador.
¿Quieres ver una Prueba de Concepto de cómo explotar esta vulnerabilidad? Pues mira este vídeo donde un usuario sin privilegios, que puede enviar un evento, puede insertar código JavaScript en la miniatura del mapa de Google Maps y la víctima será cualquier usuario que visite la web y vea el mapa.
SQL Injection
Aprovechando un fallo en la programación de la aplicación, un usuario puede ejecutar consultas en el navegador de la víctima. Estas consulta sirven para ver o recopilar información sobre la aplicación atacada y todos sus datos.
CSRF
Authenticated Stored XSS & CSRF
El CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía.
Server Side Request Forgery (SSRF)
Se refiere a un ataque en el que un atacante puede enviar una solicitud elaborada desde una aplicación web vulnerable. La SSRF generalmente se utiliza para atacar sistemas internos detrás de firewalls que normalmente no son accesibles para un atacante desde la red externa. Además, también es posible que un atacante aproveche la SSRF para acceder a los servicios desde el mismo servidor que está escuchando en la interfaz loopback (127.0.0.1)
¿Viste los videos? Fácil ¿verdad? con esto queda demostrado que un usuario sin muchos conocimientos puede crear un grave problema en tu WordPress.
Como ya comenté, iremos añadiendo más vulnerabilidades y más videos explicativos. Manteneos atentos 😉
Si quieres saber qué datos guarda Google sobre mi, este es tu post
Ahora, con la puesta en marcha de la nueva RGPD, muchas aplicaciones y páginas web que recogen datos de los usuarios, han de darte la posibilidad de descargar la información que han recopilado sobre ti a lo largo del tiempo. Las redes sociales más importantes no están exentas de ello y lo saben, por este motivo han añadido una opción para que un usuario pueda descargar sus datos.
Qué datos guarda Google sobre mi
Vamos a ver todas las aplicaciones de Google. ¡Si! como ya sabes, Google no es simplemente una aplicación, es mucho más que eso. Se trata de una serie de aplicaciones de diferentes ámbitos con las que Google puede saberlo todo sobre ti: tus hábitos, prioridades, gustos, viajes, ocio, etc. Todo está al alcance de este gigante y, lo peor, es que somos los usuarios los que se le entregamos esa información.
¿Aún no te lo crees? mira el listado de aplicaciones que Google pone a nuestra disposición (¿o a la suya?):
Mi primer consejo es que te cuides muy mucho de compartir excesiva información por internet porque, nada, repito ¡nada! de lo que ahí haces queda en el olvido. Todo queda registrado en enormes bases de datos para diferentes usos. Cada click, cada búsqueda… ¿aún no estas asustado/a? Vivimos en la era de la información y manejar esa información es el verdadero poder de nuestro tiempo.
Descarga los datos que tiene Google sobre ti.
Para demostrarte esto, si quieres, vamos a aprender a descargar la información que Google tiene sobre nosotros. Para ello he creado un sencillo videotutorial. Espero que viendo toda esa información descargada en tu ordenador, te haga pensar si merece la pena regalarla como lo estamos haciendo.
Nueva campaña de phising de Eroski que simula falsos vales de descuento
Ha aparecido una nueva campaña de Phising de Eroski, esta vez, el email simula ser de dicha empresa y dice ofrecer falsos vales de descuento. El correo contiene una url falsa que te lleva a una web que no pertenece al dominio de Eroski. Si haces clic en esa URL te redirige a una landing Page con un formulario. No te preocupes si accedes a esta web, aún no ha pasado nada malo. El problema viene si rellenas el formulario con el email y la contraseña y lo envías, ya que enviarás el formulario a los ciberdelincuentes y capturarán tus datos.
Solución
No introduzcas ningún dato en el formulario y no hagas clic en el botón “ENTRA”.
Si recibes este tipo de correos, cerciórate bien antes de hacer clic en ningún enlace. Sitúate en el enlace y comprueba en la barra de estado de tu navegador si la url a la que dirige el link pertenece al dominio del supuesto remitente. Ante la duda, no hagas clic en ningún enlace y te ahorrarás muchos quebraderos de cabeza. Infórmate de este tipo de problemas y vulnerabilidades en la página web de la Oficina de Seguridad del Internauta.
Bienvenido a la actualidad WordPress y ciberserguridad (9 mayo 2018)
Actualidad WordPress y ciberserguridad (9 mayo 2018)
La semana pasada la red social Twitter comunicó que más de 330 millones de sus contraseñas habían estado expuestas. El problema fue que estas contraseñas se almacenaban en un archivo en texto plano, lo cual podía ser visible por cualquier persona que tuviera acceso a ese archivo. Aunque Twitter dice que nadie ha tenido acceso, te recomiendo cambiar la contraseña de todas tus cuentas de Twitter YA MISMO.
He recibido varias felicitaciones de suscriptores a mi newsletter por el aviso de seguridad que les envié en cuanto esto ocurrió. Estad seguros que seguiré enviando avisos importantes de seguridad a mi lista de suscriptores el día que ocurran y sea la hora que sea 😉
Pongámonos serios, te haré una pregunta: ¿Está tu web o blog preparado para el Reglamento General de Protección de Datos (RGPD)? Recuerda que el 25 de este mes ya no habrá excusas y todas nuestras webs que recopilen cualquier tipo de información sobre los usuarios que la visitan, deberán cumplir esta normativa. Te voy a recomendar una lectura obligatoria de tutorialwp.online para que cumplas todo esto ya que aún estas a tiempo.
Vamos con algo más agradable y que me tiene muy nervioso. Te recuerdo que ya quedan muyyy poquitas entradas para las WordCamp Bilbao y la WordCamp Irún. Estoy seguro que no te quieres perder estos dos pedazo de eventazos, yo por lo menos no lo voy a hacer y ya tengo el viaje programado y el alojamiento en ambas ciudades. No digas que no te avisé.
Hablando de la WordCamp Irún, estoy encantado con el patrocinio de WpScan. Los que ya me conocéis sabéis que soy un admirador de este software gratuito para la búsqueda de vulnerabilidades en WordPress. Siempre en mis ponencias tengo una cita para Wpscan pues me parece que está muy bien trabajado y a mi, en mi día a día, me viene como anillo al dedo. Si aún no sabes de lo que hablo puedes ver mi charla en la WordCamp Madrid 2017 y te harás una idea.
En la actualidad WordPress, esta semana hemos asistido a la creación de un nuevo proyecto de nuestros amigos de Chiclana-Cádiz.
mowomo.com, nace como resultado de la unión de Cuboit y Blogalizate y cuenta con un equipo experto en WordPress y apasionado por el emprendimiento. Desarrollan plantillas de temas y plugins a medida, muy livianos y sin cargas para que tu web vuele. Sin duda, viendo la gente que se ha juntado en el proyecto, van a tener un gran éxito.
En mis post de esta semana puedes ver “herramientas para limpiar WordPress“, donde te indico varias herramientas online para escanear nuestra instalación en busca de código malicioso (con videotutoriales expli cativos muy muyyy sencillitos). Además, vemos plugins de seguridad para evitar que nos entre malware. Mirad la imagen destacada que me hice con Gimp ¿Quedó chula?
He añadido un par de videos más a mi canal de Youtube aprovechando el artículo de herramientas online. Como siempre, son videotutoriales muy sencillitos sobre Sucuri sitecheck y Virustotal, dos herramientas online para escanear nuestras páginas web en busca de virus, malware y código malicioso.
Manteneros atentos a mi canal pues iré añadiendo videos de más herramientas y configuraciones de plugins de seguridad, explicados para cualquier tipo de usuario.
Además, tengo pensado ir añadiendo trucos de ciberseguridad otro tipo de herramientas para navegar más seguros en internet.
En este post quiero mostrarte una serie de herramientas para limpiar WordPress, que suelo utilizar a menudo. Te las enumeraré sin entrar en mucho detalle sobre su utilización, pero estate atento a este blog, pues crearé videotutoriales de cada una, para que aprendas a manejarlas.
Además veremos algunas otras para comprobar si nos han hackeado. En el primer momento que sospeches que tu sitio WordPress puede estar hackeado, te recomiendo realizar una seria de acciones para comprobarlo y, en el peor de los casos, para desinfectarlo.
Tengo que decir que esto no es una guía de desinfección (si quieres, más adelante crearé una con los pasos que yo sigo para limpiar un WordPress infectado), sino que lo que se pretende es que conozcas una serie de herramientas que puedes utilizar para dejar limpito limpito tu WordPress). Comencemos.
Check list de herramientas de limpieza
Paso 1: Realiza un escaneo de tu sitio.
Para ello vamos a diferenciar dos niveles:
– Un nivel más general, que nos servirá simplemente para comprobar si nuestro sitio tiene código malicioso o simplemente está catalogado como “peligroso” por los principales servicios de seguridad de la red. Para ello vamos a utilizar varios sitios online:
– Sucuri Sitecheck: El escáner de Sucuri que me parece bastante bueno para nuestro objetivo.
Nos indicará si ha encontrado malware y si nuestra web está en alguna lista negra. A continuación te dejo un video explicativo sobre cómo usar esta herramienta o puedes ver el artículo completo.
– Virustotal.com: Otro sitio fantástico para escanear tu web completa o algún archivo concreto que sospeches que puede tener código malicioso.
Para comprender cómo utilizarlo tienes este artículo o puedes ver el video a continuación.
– Otro nivel más específico, se trata de un escáner más detallado de nuestra instalación.
– Para este paso te recomiendo usar el plugin Wordfence. En su versión gratuita tenemos muchísimas cosas esenciales para la seguridad de tu WordPress. Su escaner de malware me parece completísimo. Suelo utilizarlo para escanear sitios en los que sospecho que están hackeados. Te informa de cadenas de código malicioso en archivos de tu instalación y te da la posibilidad de borrarlos directamente, ponerlos en cuarentena o restaurarlos por otros limpios del core original de WorPress. Hablo de todo esto en este video de mi ponencia en la WordCamp Santander 2017.
Herramientas para limpiar WordPress
Paso 2: Limpia tus archivos con código malicioso a través de un plugin.
Como dije anteriormente, te recomiendo Wordfence, ya que tiene un escaner muy bueno con la posibilidad de eliminar los archivos infectados.
Sin embargo, hay veces que el código malicioso está inyectado en la misma base de datos. Aquí ya tenemos un problema más gordo y además, más costoso de solucionar.
Paso 3: Para estar seguro, descarga y escanea
Lo último que nos falta por hacer sería asegurarnos que no hay virus en nuestra instalación, por lo tanto, descarga todos tus archivos y carpetas a tu ordenador y pásales uno o varios antivirus de los que usas habitualmente: Panda, Norton, Avira, Microsoft Security, Avast, etc.
Además, como consejo, pásale una aplicación antimalware como Malwarebytes. Un software gratuito que te escaneará los archivos de manera maás profunda.
Más vale prevenir…
Utiliza un plugin de seguridad para evitar todo esto. Vamos a ver unos pocos muy buenos que son los más descargados del repositorio de WordPress.
Wordfence
Acabamos de hablar de él. Muy bueno y fácil de configurar. Próximamente videotutorial de configuración 😉
All in One WP Security & Firewall
Es el que yo suelo utilizar, fácil de configurar y con muchas opciones. Dispone de un pequeño Firewall que te encantará. En este post te hablo de cómo configurarlo o, si lo prefieres, importes una configuración por defecto que puede servirte en un principio (te aconsejo que revises esas opciones y las adaptes a tu propia instalación). Te dejo un videotutorial para que aprendas a configurar todas sus opciones y tu WordPress esté más seguro.
IThemes Security
Otro pedazo de plugin de seguridad muy muy bueno. Próximamente realizaré un videotutorial para que aprendas a configurarlo.
Sucuri
Otro gran plugin de seguridad que utilicé durante mucho tiempo. Y dirás ¿por que ya no lo utilizas? pues la respuesta está en el video que te dejo a continuación. Para que tu mismo escojas el plugin que más te convenga, te dejo el video del webinar que hice para Siteground junto a Fernando Tellado, en el que enumero los parámetros básicos y esenciales de seguridad en WordPress y además incluyo una tabla comparativa de los plugins más utilizados del repositorio, que son precisamente los que he enumerado en este artículo.
Siempre realiza un Backups de tus datos
Para terminar, te aconsejo que realices una copia de seguridad de tu instalación antes de realizar cualquier modificación (instalación de plugins, actualizaciones, configuraciones, etc.) y después de realizarlas. Puedes utilizar plugins gratuitos como:
Escanea tu web en busca de malware con Sucuri Sitecheck y comprueba de forma rápida si tu página web contiene virus, archivos con código malicioso, está incluida en listas negras de envío de spam, etc.
Escanea tu web en busca de malware con Sucuri Sitecheck
¿Quieres comprobar si tu página web ha sido hackeada? Pues aquí te dejo un sencillo videotutorial para comprobarlo.
Más los consejos y trucos de seguridad en la red. Hoy te traigo otra de las herremientas online para mejorar la seguridad de tu página web que incluye un sencillo y rápido videotutorial de Sucuri Sitecheck, una página web desde la que podrás comprobar el estado de seguridad de tu web desde el punto de vista de las plataformas antivirus más interesantes
Te dejo con el video.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Escanea tu web en busca de malware con Virustotal y comprueba de forma rápida si tu página web contiene virus, archivos con código malicioso, está incluida en listas negras de envío de spam, etc.
Escanea tu web en busca de malware con Virustotal
¿Quieres comprobar si tu página web ha sido hackeada? Pues aquí te dejo un sencillo videotutorial para comprobarlo.
Siguiendo con los consejos y trucos de seguridad en la red que quiero mostrarte, te traigo otra de las herremientas online para mejorar tu página web. Te incluyo un videotutorial de virustotal.com, una página web desde la que podrás comprobar el estado de seguridad de tu web, así como otra serie de información muy interesante.
Te dejo con el video.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Para no correr riesgos, modifica tu contraseña de Twitter inmediatamente.
Más de 330 millones de contraseñas de Twitter podrían estar comprometidas.
Twitter ha descubierto un fallo de seguridad que provocó el almacenamiento de las contraseñas de sus 330 millones de usuarios en texto plano y que podría ser visto por cualquiera que tuviera acceso a ese archivo. La compañía ha explicado que las contraseñas se cifran mediante un proceso que las reemplaza por un conjunto aleatorio de números y letras, pero han descubierto que las contraseñas se almacenaron también en un registro interno de la compañía antes de ser cifradas.
Modifica tu contraseña de Twitter
Todas las cuentas de Twitter se ven afectadas por este error. Actualmente Twitter es una red social que posee más de 330 millones de usuarios, lo que la convierte en una de las más usadas del mundo.
Aunque no existen evidencias que apunten a que las contraseñas hayan sido filtradas o utilizadas por nadie (o eso dicen), Twitter sugiere a todos sus usuarios cambiar la contraseña, así que modifica tu contraseña de Twitter cuanto antes.
Espero que esta información te haya servido.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Repaso de las Vulnerabilidades encontradas en WordPress con fecha 4 mayo 2018
Vulnerabilidades WordPress 4 Mayo 2018
Vamos a hacer un repaso de las vulnerabilidades encontradas en WordPress a fecha 4 de Mayo de 2018. Como siempre los datos los he sacado de la base de datos de wpvulndb.com. La comunidad WordPress, estamos esperando una nueva versión del core de WordPress (4.9.6) donde anuncian cambios en relación a la RGPD.
Vulnerabilidades WordPress 4 Mayo 2018
Estas son las vulnerabilidades encontradas en plugins de WordPress y que se solucionan con la actualización de éstos a su última versión.
Un atacante puede ejecutar código malicioso en el navegador de una víctima para realizar diversas actividades, como robar cookies, tokens de sesión, credenciales y datos personales, entre otros.
Afecta a sitios web de WordPress que ejecutan el complemento “WF Cookie Consent” versión 1.1.3 (las versiones anteriores también pueden verse afectadas).
Solución:
Actualizar a la última versión del plugin (1.1.4)
Se ha descubierto una vulnerabilidad XSS en NextGEN Gallery 2.2.30 y versiones anteriores. La vulnerabilidad es causada por un error porque los atributos de la imagen “Alt” y “Title” no procesan correctamente los datos proporcionados por el usuario.
Solución:
Actualiza a la última versión del plugin donde el paquete de firmas está actualizado.
Form Maker by WD 1.12.22 – CSV Injection
Un atacante puede ver y descargar datos de un formulario en formato csv
Afecta a sitios web de WordPress que tenga instalado el plugin en su versión: 1.12.20 y anteriores.
Solución:
Actualizar a la versión 1.12.24
Hasta aquí el resumen de vulnerabilidades encontradas recientemente. Recuerda compartir este contenido.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
