Se ha encontrado una vulnerabilidad crítica en el plugin Easy WP SMTP.
Vulnerabilidad crítica en el plugin Easy WP SMTP.
Aunque la vulnerabilidad se encuentra en la versión 1.3.9 del plugin hace algunos días que los ciber delincuentes están utilizándola para infectar miles de instalaciones de WordPress.
Empieza la historia
Hace unos días me encontré que una instalación de WordPress con la que trabajo normalmente. Tenía una redirección a páginas con spam y publicidad de productos de dudosa procedencia. Esta instalación de WordPress tengo que decir que estaba actualizada a la última versión del core de WordPress, todos sus plugins estaban actualizados a su última versión y las plantillas de los temas que utilizaba también estaban actualizados a la última versión.
Todos los parámetros de seguridad que había aplicado en esa instalación estaban correctos, lo he hecho muchas veces y sé que esto estaba como tenía que estar, sin embargo, la instalación había sido hackeada y no sabía porqué.
A pesar de que el core de WordPress es bastante seguro, lo primero que pensé es que había una vulnerabilidad en el core puesto que todo estaba actualizado correctamente. Escaneé la instalación con diversos servicios online y plugins de seguridad en busca de código malicioso y con ninguno encontré nada. He de decir que para ello utilizo servicios como Virustotal o Sucuri Sitecheck Y plugins como Wordfence, All in one WordPress Security and FireWall (que ya sabeis que me encanta) y algún otro más.
Utilización de un firewall
Al no encontrar nada y descartar que habían entrado robando la contraseña del administrador de la instalación (puesto que utilizo acciones de seguridad como el doble factor de autenticación, el acceso al panel de control oculto y el acceso a archivos críticos de WordPress desde el exterior estaba capado) decidí añadir un plugin de seguridad como Ninja FireWall y esperar a ver si ocurrían acontecimientos sospechosos.
Efectivamente, tras instalarlo, empecé a observar movimientos sospechosos desde IPs de diversos países que no eran España y, por supuesto, no era yo. Todas llamaban a un archivo admin-ajax.php que como sabrás es utilizado por WordPress para diversas funciones importantes y lo que es peor, un usuario no autenticado puede hacer (desde fuera) peticiones Ajax a ese archivo para ejecutar la vulnerabilidad en el código del plugin.
¿Qué puede ocurrirnos?
Con estas peticiones se puede inyectar código, objetos PHP, incluso cambiar los roles o mejor dicho, las capacidades de acción que tienen los usuarios de WordPress de manera que un simple usuario suscriptor podría tener capacidades de administrador y no darnos ni cuenta. Esto ya suena bastante grave ¿verdad?
Estas tranquilos, la vulnerabilidad fue solucionada con la versión 1.3.9.1 del plugin. Si aún tienes la versión anterior, la 1.3.9, te recomiendo que actualices inmediatamente si no quieres tener sorpresas muy desagradables.
Consejos de seguridad para comprobar que no ha sido jaqueado
Comprueba que no hay nuevos usuarios en el menú usuarios de tu panel de administración.
Comprueba que la dirección de e-mail del administrador es correcta.
Cambia todas las contraseñas tanto de tus usuarios como del acceso ftp y el acceso a la base de datos.
Cambiar la contraseña del servidor SMTP.
Realiza todos los cambios que se te ocurran principalmente de accesos que utilizas normalmente y que nunca hayas cambiado.
Espero que antes de terminar de leer este post ya hayas actualizado el plugin y esto se haya quedado en una simple anécdota no por ello poco importante.
Presentación de diapositivas de mi taller “Alta Seguridad en WordPress” en las jornadas de “Hack & Sec” de la escuela Ciberalisal de Santander, donde vimos la manera de securizar nuestras páginas web hechas con WordPress.
Alta Seguridad en WordPress
WordPress es el CMS más usado a nivel mundial y por lo tanto, también el más atacado. Veremos las principales riesgos de seguridad a tener en cuenta en WordPress.
Puedes descargar la presentación “Alta seguridad en WordPress” haciendo clic aquí o en la siguiente imagen
Si te ha gustado déjame tus comentarios. También puedes sugerirme ideas para futuros tutoriales relacionados con la seguridad en WordPress o con trucos de seguridad en general.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Hace tiempo escribí este otro post donde te hablaba de este fantástico plugin de seguridad para WordPress. Además, te dejé una configuración básica del mismo para que pudieras aplicar unos sencillos parámetros de seguridad a tu WordPress sin más trabajo que el de copiar y pegar. Después de varios meses desde aquel post, el plugin se ha actualizado bastante, incluyendo un montón de nuevas funcionalidades interesantísimas para proteger aún más tu página WordPress.
Pues bien, hoy te traigo un videotutorial algo más largo de lo que os tengo acostumbrados pero la ocasión lo requiere. Se trata de una configuración completa, paso por paso de este fantástico plugin.
Configuración básica de All in One WP Security & Firewall
A raiz del post anterior, muchos me habéis preguntado que para que servía esta o aquella funcionalidad, si es necesario activarla, cómo se modifican las notificaciones por email, y un montón de dudas que os he ido resolviendo una a una a medida que me llegaban. Pues aquí tenéis una explicación de cada una de las secciones y pestañas de configuración del plugin para así entenderlas y configurarlas por nosotros mismos.
Actualización del plugin
A raiz de las últimas actualizaciones, el plugin All in One WP Security & Firewall tiene un montón de configuraciones que te explico en el siguiente videtutorial. Utiliza un sencillo sistema de puntuación para indicarnos cómo de fuerte es la seguridad de nuestra página.
¿Qué tal? la configuración es algo laboriosa ¿verdad? sin embargo, ¿sabías que una vez esté realizada podemos utilizarla (casi en su totalidad) para otras instalaciones? ¿Quieres saber como exportar esta configuración para otros sitios que tengas hechos con WordPress? Pues échale un vistazo a este otro post donde te indico, paso por paso, como exportar toda esta configuración para que jamás tengas que realizar el proceso dos veces.
¿Merece la pena?
En mi modesta opinión, merece la pena configurar el plugin a tu gusto, tan solo una vez, para luego poder exportarla a todas tus páginas. Como te dije, es mi plugin de seguridad favorito (hasta el momento) y creo que merece la pena realizar una buena configuración, tu lo agradecerás evitándote quebraderos de cabeza y los ciberpiratas no lo tendrán nada fácil para hackear tus webs 😉
Si tienes alguna duda sobre su funcionamiento o utilización ponte en contacto conmigo.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Realiza una copia de seguridad de tu página WordPress con el plugin Duplicator
¿Qué os puedo contar de Duplicator? es un fantástico plugin con el que puedes:
Realizar copias de seguridad (backups) de tu instalación de WordPress en tan solo segundos.
Migrar Tu página web a otro alojamiento.
La versión gratuita de este plugin es más que suficiente para realizar una copia de seguridad de una instalación que no ocupe más de 512Mb. Para instalaciones mayores deberemos comprar la versión Pro del mismo, la cual tiene, además, unas características especiales como es el guardar las copias de seguridad en la nube, en servicios como:
Amazon S3
Dropbox
Google Drive
FTP y SFTP
OneDrive
Directorio personalizado
El proceso es sencillo, Se crea un duplicado mediante el botón “Crear nuevo” y el plugin crea dos archivos:
Un archivo .ZIP con todos los directorios y archivos de tu instalación, así como un volcado de la Base de Datos.
Un archivo “installer.php” que deberas utilizar para migrar tu instalación de un servidor a otro.
Te dejo el video a continuación con todos los detalles para que veas lo sencillo que es
Si tienes alguna duda sobre su funcionamiento o utilización ponte en contacto conmigo.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Realiza una copia de seguridad de tu página WordPress con el plugin All in One WP Migration
All in One WP Migration es un fantástico plugin para realizar copias de seguridad (backups) de tu instalación de WordPress en tan solo segundos.
La versión gratuita de este plugin es más que suficiente para realizar una copia de seguridad de una instalación que no ocupe más de 512Mb. Para instalaciones mayores deberemos comprar la versión Pro del mismo, la cual tiene, además, unas características especiales como es el guardar las copias de seguridad en la nube, en servicios como Google Drive, Amazon S3, Dropbox, OneDrive, Box, Mega, etc.
Además la versión Pro te permite guardar las copias de seguridad en un espacio FTP que tu decidas, permitiéndote así la posibilidad de alojar las mismas copias de seguridad de tus archivos en diferentes ubicaciones.
Fácil, sencillo y para toda la familia
La manera de realizar estos backups es bastante sencilla, así como la forma de restaurar estas copias en el caso de que algo haya ido mal como perdida de datos, hackeos o fallos a la hora de realizar modificaciones o actualizaciones en la instalación.
Te dejo el video a continuación para que veas lo sencillo que es
¿Fácil eh? pues ahora ya no tienes excusa para realizar copias de seguridad cada vez que hagas actualizaciones de plugins, temas o del propio core de WordPress. Con este plugin los backups son muy rápidos de realizar, no te llevará más que unos segundos y además estarás protegido en el caso de que alguna de las actualizaciones que realices falle y la página no se vea.
All in One WP Migration, una opción rápida para realizar y restaurar copias de seguridad de tu WordPress.
Si tienes alguna duda sobre su funcionamiento o utilización ponte en contacto conmigo.
En este post quiero mostrarte una serie de herramientas para limpiar WordPress, que suelo utilizar a menudo. Te las enumeraré sin entrar en mucho detalle sobre su utilización, pero estate atento a este blog, pues crearé videotutoriales de cada una, para que aprendas a manejarlas.
Además veremos algunas otras para comprobar si nos han hackeado. En el primer momento que sospeches que tu sitio WordPress puede estar hackeado, te recomiendo realizar una seria de acciones para comprobarlo y, en el peor de los casos, para desinfectarlo.
Tengo que decir que esto no es una guía de desinfección (si quieres, más adelante crearé una con los pasos que yo sigo para limpiar un WordPress infectado), sino que lo que se pretende es que conozcas una serie de herramientas que puedes utilizar para dejar limpito limpito tu WordPress). Comencemos.
Check list de herramientas de limpieza
Paso 1: Realiza un escaneo de tu sitio.
Para ello vamos a diferenciar dos niveles:
– Un nivel más general, que nos servirá simplemente para comprobar si nuestro sitio tiene código malicioso o simplemente está catalogado como “peligroso” por los principales servicios de seguridad de la red. Para ello vamos a utilizar varios sitios online:
– Sucuri Sitecheck: El escáner de Sucuri que me parece bastante bueno para nuestro objetivo.
Nos indicará si ha encontrado malware y si nuestra web está en alguna lista negra. A continuación te dejo un video explicativo sobre cómo usar esta herramienta o puedes ver el artículo completo.
– Virustotal.com: Otro sitio fantástico para escanear tu web completa o algún archivo concreto que sospeches que puede tener código malicioso.
Para comprender cómo utilizarlo tienes este artículo o puedes ver el video a continuación.
– Otro nivel más específico, se trata de un escáner más detallado de nuestra instalación.
– Para este paso te recomiendo usar el plugin Wordfence. En su versión gratuita tenemos muchísimas cosas esenciales para la seguridad de tu WordPress. Su escaner de malware me parece completísimo. Suelo utilizarlo para escanear sitios en los que sospecho que están hackeados. Te informa de cadenas de código malicioso en archivos de tu instalación y te da la posibilidad de borrarlos directamente, ponerlos en cuarentena o restaurarlos por otros limpios del core original de WorPress. Hablo de todo esto en este video de mi ponencia en la WordCamp Santander 2017.
Herramientas para limpiar WordPress
Paso 2: Limpia tus archivos con código malicioso a través de un plugin.
Como dije anteriormente, te recomiendo Wordfence, ya que tiene un escaner muy bueno con la posibilidad de eliminar los archivos infectados.
Sin embargo, hay veces que el código malicioso está inyectado en la misma base de datos. Aquí ya tenemos un problema más gordo y además, más costoso de solucionar.
Paso 3: Para estar seguro, descarga y escanea
Lo último que nos falta por hacer sería asegurarnos que no hay virus en nuestra instalación, por lo tanto, descarga todos tus archivos y carpetas a tu ordenador y pásales uno o varios antivirus de los que usas habitualmente: Panda, Norton, Avira, Microsoft Security, Avast, etc.
Además, como consejo, pásale una aplicación antimalware como Malwarebytes. Un software gratuito que te escaneará los archivos de manera maás profunda.
Más vale prevenir…
Utiliza un plugin de seguridad para evitar todo esto. Vamos a ver unos pocos muy buenos que son los más descargados del repositorio de WordPress.
Wordfence
Acabamos de hablar de él. Muy bueno y fácil de configurar. Próximamente videotutorial de configuración 😉
All in One WP Security & Firewall
Es el que yo suelo utilizar, fácil de configurar y con muchas opciones. Dispone de un pequeño Firewall que te encantará. En este post te hablo de cómo configurarlo o, si lo prefieres, importes una configuración por defecto que puede servirte en un principio (te aconsejo que revises esas opciones y las adaptes a tu propia instalación). Te dejo un videotutorial para que aprendas a configurar todas sus opciones y tu WordPress esté más seguro.
IThemes Security
Otro pedazo de plugin de seguridad muy muy bueno. Próximamente realizaré un videotutorial para que aprendas a configurarlo.
Sucuri
Otro gran plugin de seguridad que utilicé durante mucho tiempo. Y dirás ¿por que ya no lo utilizas? pues la respuesta está en el video que te dejo a continuación. Para que tu mismo escojas el plugin que más te convenga, te dejo el video del webinar que hice para Siteground junto a Fernando Tellado, en el que enumero los parámetros básicos y esenciales de seguridad en WordPress y además incluyo una tabla comparativa de los plugins más utilizados del repositorio, que son precisamente los que he enumerado en este artículo.
Siempre realiza un Backups de tus datos
Para terminar, te aconsejo que realices una copia de seguridad de tu instalación antes de realizar cualquier modificación (instalación de plugins, actualizaciones, configuraciones, etc.) y después de realizarlas. Puedes utilizar plugins gratuitos como:
