Te preguntarás el “por qué” de este post. He pensado que sería interesante que vieras lo que me encuentro cada día al llegar al trabajo.
Todo el mundo sabe que la seguridad en WordPress es necesaria… ¿seguro? ¿todos son conscientes? 😉
Eres de los que piensan “tengo mi página hecha con WordPress y nunca me han hackeado”. Permíteme decirtelo alto y claro: hackear tu web, tan sólo es cuestión de tiempo. Tranquilo, esta afirmación también tiene sus excepciones siempre y cuando te tomes en serio la seguridad de tu web y la gestiones o te la gestione correctamente un profesional.
Lo primero que quiero enseñarte es lo que me encuentro cada mañana al llegar al trabajo y abrir mi correo electrónico:
Si no lo has hecho ya, quiero que te fijes en la carpeta “Logueos fallados” y, sobre todo, en el número que aparece a su derecha (2470). Se trata de informes de intentos de acceso a todas las webs que administro, generados por los plugins de seguridad instalados en cada uno de los sitios. Teniendo en cuenta que estos informes se recogen desde que salgo del trabajo, hasta que entro a la mañana siguiente (unas 15 horas) y que, el número de webs que administro son varias decenas, este número puede parecer incluso pequeño.
Con esto simplemente quiero mostrarte que, desde el mismo momento que una instalación de WordPress se sube al servidor de producción, está a disposición de los scripts automatizados de usuarios malintencionados y, por lo tanto, ya es atacada.
Detalle de estos informes
Donde podemos ver la fecha y la hora del intento de logueo así como el usuario con el que han intentado acceder que en este caso es “test”.
Este es un informe del plugin “Sucuri”, para recibirlo debemos configurar bien las alertas una vez lo tengamos instalado, pero de ello hablaremos más adelante en otro post.
Nociones básicas de seguridad en WordPress
No me cansaré de repetir las nociones básicas de seguridad para tu instalación de WordPress, de momento, me repetiré con algunos consejos para evitar estos ataques:
NO utilices nunca como nombre de usuario palabras como “admin”, “administrador”, “test” o el “nombre_de_tu_dominio”
Utiliza contraseñas seguras de al menos 12 caracteres incluyendo letras mayúsculas, minúsculas, números y símbolos.
Cambia la ruta de acceso a tu panel de control, no utilices “wp-admin” o “wp-login.php” (más adelante crearé un post sobre cómo realizar esto con plugin y sin plugin).
Limita el número de intentos de logueo fallidos a tu panel de control. Utiliza un plugin específico para ello o un plugin de seguridad que disponga de esta característica.
¿Quieres más consejos de seguridad? Mira estos post:
Modificación de post de nuestros WordPress mediante ataques de “defacement”
Tras varios días de incidencias he decidido escribir este post para que no os preocupéis.
En los últimos días hemos recibido un número indiscriminado de incidencias de webs diciendo que su web había sido hackeada y, efectivamente, así era. Al comprobar los post de sus páginas veían que la última entrada que habían publicado era totalmente diferente, ahora, en el título se leía algo así como “Hacked By XXX”, y el contenido o descripción e incluso la imagen destacada también habían cambiado. La verdad que he visto distintos y variados contenidos pero todos, en el fondo, vienen a ser lo mismo:
El “atacante” inyecta código en nuestra base de datos aprovechando una vulnerabilidad de la REST API implementada en la versión 4.7 de WordPress, consiguiendo modificar el contenido de un post.
¿Esto es grave?
Pues la verdad es que no es muy grave ya que un “defacement” no es más que una modificación o cambio intencionado en nuestras páginas, más concretamente y según “wikipedia”:
“Defacement es una palabra inglesa que significa desfiguración y es un término usado en informática para hacer referencia a la deformación o cambio producido de manera intencionada en una página web por un atacante que haya obtenido algún tipo de acceso a ella, bien por algún error de programación de la página, por algún bug en el propio servidor o por una mala administración de este.”
Sin embargo, nunca sabemos la modificación que pueden realizar y de momento, si simplemente se trata de modificar el contenido del post con la frase “Hacked by XXX”, no hay más problema que lo feo que queda que en una web nuestra o de algún cliente, se pueda leer que la web esta hackeada en lugar de mostrar nuestro bonito y trabajado post.
¿Cómo lo arreglo?
Esta vulnerabilidad existe desde la versión 4.7 de nuestros WordPress y afecta a las versiones 4.7 y 4.7.1. El fallo de seguridad se solucionó en la versión 4.7.2 así que si estás leyendo esto y te ha ocurrido lo que aquí te indico, lo más seguro es que tengas tu instalación de WordPress desactualizada. Lo primero que te recomiendo es que repares el post afectado y actualices a la última versión de WordPress. También te recomiendo que actualices también los temas y los plugins (por descontado).
¿Cómo puedo securizar mi web para que no me vuelva a pasar?
Si eres seguidor de mi blog ya lo sabrás, sino te invito a visitar este post en el que pongo a tu disposición mi presentación en la WordCamp Cantabria 2015, donde te doy unos parámetros básicos para asegurar tu WordPress.
¡Genial! y ¿me aseguras que no me volverá a pasar nada parecido? pues la respuesta por desgracia es un ¡No! rotundo pues nunca estaremos a salvo de ataques al 100% pero sí que podemos ponérselo a los “malos” lo más difícil posible.
Si no quieres preocuparte por la seguridad de tu web y quieres dedicarte simplemente a tu negocio mi consejo es que contrates los servicios de un profesional de Seguridad en WordPress y por una pequeña cuota mensual, despreocuparte de la seguridad y dedicarte a lo que mejor sabes hacer.
Te dejo toda la información sobre el ataque en el siguiente enlace (en inglés) del blog de Wordfence.
Tomás S.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Os traigo unos parámetros básicos de seguridad en WordPress. Esta presentación la utilicé en una meetup de la comunidad WordPress de Cantabria en 2014 y también en una desconferencia de la WordCamp Cantabria 2015.
Desconferencia de Tomás Sierra en la primera WordCamp Cantabria celebrada en el Palacio de la Magdalena de Santander los días 7 y 8 de noviembre de 2015.
¿La WordCamp Cantabria 2015? pues a mi parecer un evento de 10, con ponencias de 10, localización y organización de 10. No voy a decir más porque quiero redactar un artículo más extenso sobre la WordCamp Cantabria y tengo mucho que contar.
No se vosotros, pero yo al menos, aprendí muchísimo estos dos días. Hice comunidad, hice contactos y sobre todo, hice buenos amigos que comparten una de mis pasiones, WordPress. La otra, la seguridad, es la que eché en falta en las ponencias y entonces me acordé que hace un tiempo, dí una charla en una MeetUp para la comunidad de WordPress de Cantabria donde, desde mi humilde punto de vista, intenté explicar a los asistentes lo importante que es mantener nuestras instalaciones de WordPress optimizadas y con correctos parámetros de seguridad. No tenía pensado presentar propuesta para las desconferencias de la WordCamp pero varios asistentes me animaron y al final lo hice. La propuesta recibió 27 votos lo cual os agradezco enormemente, así que yo y mi ilusión empezamos a prepararla.
Parámetros básicos de seguridad en WordPress
Mi obsesión por la seguridad comenzó hace tiempo al leer en un artículo que WordPress era el CMS más atacado de todos y también el más utilizado ¿habrá alguna relación? La casualidad hizo que hablando con un compañero de trabajo surgiera la idea de organizar un congreso de seguridad en Cantabria. Así, a groso modo, nació Sh3llcon, y así nació mi preocupación por la seguridad en WordPress.
Todos sabemos que nuestros WordPress son atacados prácticamente en el mismo momento en el que los subimos a producción, entonces ¿por qué nadie habla de ello?. Complejos (y no tan complejos) scripts escritos en diferentes lenguajes de programación unidos a las características de WordPress hacen que sea extremadamente sencillo atacar con éxito nuestras instalaciones casi desde el segundo cero.
Podría llenar páginas y páginas de razones por las que habría que hablar más de la seguridad en nuestras instalaciones de WordPress pero eso creo que lo dejaré para otra ocasión, de momento aquí os aporto mi granito de arena. A la espera del video (que bastantes habéis preguntado por él) os dejo los slides de mi presentación y como allí dije, coger lo que os interese y lo que os parezca más interesante. Lo que aquí verás son muchas cosas que he ido recopilando a lo largo del tiempo aunque está en continua evolución. Por supuesto que hay muchas maneras de fortificar nuestras instalaciones, cada uno aplica las suyas dependiendo de diversos factores, por eso no quiero que toméis esto como una guía paso a paso de lo que debéis hacer, sino sacar vuestras conclusiones y aplicar lo que haga falta en vuestras instalaciones.
La presentación no tiene copyright ni derechos de autor ni nada parecido, está al servicio de la comunidad así que usarla como queráis, eso si, os agradecería que simplemente citarais la fuente de quien la realizó, más que nada porque sino parece que el tiempo invertido en crearla carece de valor y no es así.
Os dejo el video de la misma charla en una meetup de la comunidad WordPress de Cantabria donde os explico los parámetros básicos de seguridad en WordPress.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Lo que aquí verás son muchas cosas que he ido recopilando a lo largo del tiempo aunque está en continua evolución. Por supuesto que hay muchas maneras de fortificar nuestras instalaciones, cada uno aplica las suyas dependiendo de diversos factores, por eso no quiero que toméis esto como una guía paso a paso de lo que debéis hacer, sino sacar vuestras conclusiones y aplicar lo que haga falta en vuestras instalaciones.
