Modificación de post de nuestros WordPress mediante ataques de «defacement»
Tras varios días de incidencias he decidido escribir este post para que no os preocupéis.
En los últimos días hemos recibido un número indiscriminado de incidencias de webs diciendo que su web había sido hackeada y, efectivamente, así era. Al comprobar los post de sus páginas veían que la última entrada que habían publicado era totalmente diferente, ahora, en el título se leía algo así como «Hacked By XXX», y el contenido o descripción e incluso la imagen destacada también habían cambiado. La verdad que he visto distintos y variados contenidos pero todos, en el fondo, vienen a ser lo mismo:
El «atacante» inyecta código en nuestra base de datos aprovechando una vulnerabilidad de la REST API implementada en la versión 4.7 de WordPress, consiguiendo modificar el contenido de un post.
¿Esto es grave?
Pues la verdad es que no es muy grave ya que un «defacement» no es más que una modificación o cambio intencionado en nuestras páginas, más concretamente y según «wikipedia»:
«Defacement es una palabra inglesa que significa desfiguración y es un término usado en informática para hacer referencia a la deformación o cambio producido de manera intencionada en una página web por un atacante que haya obtenido algún tipo de acceso a ella, bien por algún error de programación de la página, por algún bug en el propio servidor o por una mala administración de este.»
Sin embargo, nunca sabemos la modificación que pueden realizar y de momento, si simplemente se trata de modificar el contenido del post con la frase «Hacked by XXX», no hay más problema que lo feo que queda que en una web nuestra o de algún cliente, se pueda leer que la web esta hackeada en lugar de mostrar nuestro bonito y trabajado post.
¿Cómo lo arreglo?
Esta vulnerabilidad existe desde la versión 4.7 de nuestros WordPress y afecta a las versiones 4.7 y 4.7.1. El fallo de seguridad se solucionó en la versión 4.7.2 así que si estás leyendo esto y te ha ocurrido lo que aquí te indico, lo más seguro es que tengas tu instalación de WordPress desactualizada. Lo primero que te recomiendo es que repares el post afectado y actualices a la última versión de WordPress. También te recomiendo que actualices también los temas y los plugins (por descontado).
¿Cómo puedo securizar mi web para que no me vuelva a pasar?
Si eres seguidor de mi blog ya lo sabrás, sino te invito a visitar este post en el que pongo a tu disposición mi presentación en la WordCamp Cantabria 2015, donde te doy unos parámetros básicos para asegurar tu WordPress.
¡Genial! y ¿me aseguras que no me volverá a pasar nada parecido? pues la respuesta por desgracia es un ¡No! rotundo pues nunca estaremos a salvo de ataques al 100% pero sí que podemos ponérselo a los «malos» lo más difícil posible.
Si no quieres preocuparte por la seguridad de tu web y quieres dedicarte simplemente a tu negocio mi consejo es que contrates los servicios de un profesional de Seguridad en WordPress y por una pequeña cuota mensual, despreocuparte de la seguridad y dedicarte a lo que mejor sabes hacer.
Te dejo toda la información sobre el ataque en el siguiente enlace (en inglés) del blog de Wordfence.
Tomás S.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
A veces, cuando utilizamos una herramienta de medir la velocidad de nuestros WordPress, como puede ser GTMetrix, Pingdom o Google Page Speed Insight, al fijarnos en la compresión Gzip de archivos CSS y JS, vemos que tienen una terminación del tipo 'nombre-del-archivo.js?ver=x.xx.x' o 'nombre-del-archivo.css?ver=x.xx.x'.
Esto impide que se minifiquen y se compriman esos archivos haciendo que nuestra web cargue más lenta al tener que cargar muchos archivos a la vez.
Añade este código en el archivo «functions.php» de tu tema activo o inclúyelo en tu plugin de funciones personalizadas:
Add the below to your functions.php file
// Remove WP Version From Styles
add_filter( 'style_loader_src', 'sdt_remove_ver_css_js', 9999 );
// Remove WP Version From Scripts
add_filter( 'script_loader_src', 'sdt_remove_ver_css_js', 9999 );
// Function to remove version numbers
function sdt_remove_ver_css_js( $src ) {
if ( strpos( $src, 'ver=' ) )
$src = remove_query_arg( 'ver', $src );
return $src;
}
Y recuerda, si te gusta el artículo comparte y hagamos una comunidad WordPress más grande.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Os traigo unos parámetros básicos de seguridad en WordPress. Esta presentación la utilicé en una meetup de la comunidad WordPress de Cantabria en 2014 y también en una desconferencia de la WordCamp Cantabria 2015.
Desconferencia de Tomás Sierra en la primera WordCamp Cantabria celebrada en el Palacio de la Magdalena de Santander los días 7 y 8 de noviembre de 2015.
¿La WordCamp Cantabria 2015? pues a mi parecer un evento de 10, con ponencias de 10, localización y organización de 10. No voy a decir más porque quiero redactar un artículo más extenso sobre la WordCamp Cantabria y tengo mucho que contar.
No se vosotros, pero yo al menos, aprendí muchísimo estos dos días. Hice comunidad, hice contactos y sobre todo, hice buenos amigos que comparten una de mis pasiones, WordPress. La otra, la seguridad, es la que eché en falta en las ponencias y entonces me acordé que hace un tiempo, dí una charla en una MeetUp para la comunidad de WordPress de Cantabria donde, desde mi humilde punto de vista, intenté explicar a los asistentes lo importante que es mantener nuestras instalaciones de WordPress optimizadas y con correctos parámetros de seguridad. No tenía pensado presentar propuesta para las desconferencias de la WordCamp pero varios asistentes me animaron y al final lo hice. La propuesta recibió 27 votos lo cual os agradezco enormemente, así que yo y mi ilusión empezamos a prepararla.
Parámetros básicos de seguridad en WordPress
Mi obsesión por la seguridad comenzó hace tiempo al leer en un artículo que WordPress era el CMS más atacado de todos y también el más utilizado ¿habrá alguna relación? La casualidad hizo que hablando con un compañero de trabajo surgiera la idea de organizar un congreso de seguridad en Cantabria. Así, a groso modo, nació Sh3llcon, y así nació mi preocupación por la seguridad en WordPress.
Todos sabemos que nuestros WordPress son atacados prácticamente en el mismo momento en el que los subimos a producción, entonces ¿por qué nadie habla de ello?. Complejos (y no tan complejos) scripts escritos en diferentes lenguajes de programación unidos a las características de WordPress hacen que sea extremadamente sencillo atacar con éxito nuestras instalaciones casi desde el segundo cero.
Podría llenar páginas y páginas de razones por las que habría que hablar más de la seguridad en nuestras instalaciones de WordPress pero eso creo que lo dejaré para otra ocasión, de momento aquí os aporto mi granito de arena. A la espera del video (que bastantes habéis preguntado por él) os dejo los slides de mi presentación y como allí dije, coger lo que os interese y lo que os parezca más interesante. Lo que aquí verás son muchas cosas que he ido recopilando a lo largo del tiempo aunque está en continua evolución. Por supuesto que hay muchas maneras de fortificar nuestras instalaciones, cada uno aplica las suyas dependiendo de diversos factores, por eso no quiero que toméis esto como una guía paso a paso de lo que debéis hacer, sino sacar vuestras conclusiones y aplicar lo que haga falta en vuestras instalaciones.
La presentación no tiene copyright ni derechos de autor ni nada parecido, está al servicio de la comunidad así que usarla como queráis, eso si, os agradecería que simplemente citarais la fuente de quien la realizó, más que nada porque sino parece que el tiempo invertido en crearla carece de valor y no es así.
Os dejo el video de la misma charla en una meetup de la comunidad WordPress de Cantabria donde os explico los parámetros básicos de seguridad en WordPress.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Lo que aquí verás son muchas cosas que he ido recopilando a lo largo del tiempo aunque está en continua evolución. Por supuesto que hay muchas maneras de fortificar nuestras instalaciones, cada uno aplica las suyas dependiendo de diversos factores, por eso no quiero que toméis esto como una guía paso a paso de lo que debéis hacer, sino sacar vuestras conclusiones y aplicar lo que haga falta en vuestras instalaciones.
