Archivo de la etiqueta: seguridad

Cómo asegurar tu sitio WordPress

Uno de las principales desventajas de utilizar WordPress para tener un blog o sitio propio reside en que es una herramienta pública. Es decir, todo el mundo tiene acceso al código fuente de la misma y, por ende, puede saber o analizar como funciona. Esto implica que cualquiera con un mínimo conocimiento en programación y desarrollo de sitios web pueda encontrar errores o vulnerabilidades que aún no hayan sido corregidas, o siquiera detectadas, de las cuales aprovecharse para dañar el sitio o robar información. Pensando en todo esto decidimos definir los tips a tener en cuenta para poder hacer un poco más seguro su sitio WordPress. En esta primera parte de la serie de notas que publicaremos nos ocupamos de la seguridad básica para tu sitio WordPress. Esto incluye: Mantener WordPress actualizado Las versiones viejas de WordPress presentan errores o vulnerabilidades detectadas que sus desarrolladores no tuvieron en cuenta al momento de lanzarlas. Por esto es fundamental utilizar la ultima versión de WordPress y mantenerlo actualizado permanentemente a su release más estable, así nos aseguraremos de que las vulnerabilidades detectadas han sido corregidas y evitaremos que usuarios malintencionados se aprovechen de ellas. Ocultar la versión de WordPress que utilizas La versión de WordPress le da mucha información a los usuarios malintencionados respecto a las vulnerabilidades que tiene. Ocultar esa información es una buena medida para dificultar los ataques maliciosos y así prevenir que dañen el sitio web. WordPress publica automáticamente la información de versión en el theme, pero se puede remover fácilmente gracias a que utiliza un hook para incluir esa funcionalidad. Para hacer esto se debe incluir la siguiente línea de código en el archivo functions.php del theme utilizado: remove_action('wp_head', 'wp_generator'); Utilizar una contraseña de acceso compleja La mayoría de los usuarios suele utilizar contraseñas demasiado sencillas o que contengan datos personales para poder recordarlas. De esta forma también facilitan el acceso a cualquiera que intente averiguarlas. Es fundamental que un usuario con permisos de administrador defina una contraseña compleja para prevenir dicha situación. Algunas recomendaciones que deberían cumplirse al momento de elegir una contraseña serían: - Debe ser alfanumérica, es decir que contenga tanto letras como números. - Debe estar formada tanto por mayúsculas como minúsculas. - Debe contener caracteres especiales. Por ej: &%$#”!? Limitar la cantidad de intentos de acceso al panel administrativo Para evitar los ataques de acceso por fuerza bruta es recomendable restringir la cantidad de intentos que realiza un usuario para ingresar al panel administrativo y bloquearlos temporalmente luego de una determinada cantidad de intentos fallidos. Esto ayuda a prevenir que alguien descubra nuestra contraseña por prueba y error. Esto se puede hacer fácil y rápidamente con plugins como Login LockDown y Simple Login Lockdown que se ocupará del control de acceso de tu sitio WordPress permitiendo, entre otras cosas, configurar cuantos intentos de accesos se admitirán y el tiempo de espera antes de permitir un nuevo intento. Ocultar los errores de acceso Cuando intentas ingresar a tu sitio WordPress con un usuario o contraseña incorrecta, el formulario de acceso muestra un mensaje de error indicando cual de los datos es el erróneo. Esto brinda información a los usuarios malintencionados sobre que nombres de usuarios son correctos para ingresar al sitio. Se recomienda reemplazar esos mensajes de error por uno genérico y así ocultar dicha información. Para esto hay que agregar el siguiente código en el archivo functions.php del theme de tu sitio: add_filter('login_errors', create_function('$a', "return 'Los datos de acceso son incorrectos.';") ); Reemplaza donde dice Los datos de acceso son incorrectos por el mensaje que desees mostrar. Utilizar el modo seguro para ingreso de usuarios Desde WordPress es posible definir que los accesos de usuarios se realicen en Modo Seguro utilizando el protocolo SSL únicamente para que los datos de acceso viajen encriptados entre el navegador y tu sitio. Es decir que sólo se podrá ingresar con un usuario si utilizando una dirección que comienza con https://. Para habilitar esta opción simplemente debes agregar en tu archivo wp-config.php la siguiente línea de código: define('FORCE_SSL_LOGIN', true); Si además de forzar que los ingresos sean seguros se desea forzar la navegación segura con SSL en toda la sección del panel administrativo, se puede hacer agregando el siguiente código: define('FORCE_SSL_ADMIN', true); Para que tengan efecto estos códigos deben ser agregados al archivo de configuración antes de la siguiente línea: require_once(ABSPATH . 'wp-settings.php'); También debes tener en cuenta que el acceso con modo SSL hace más lenta la navegación en el sitio. Además, si bien ELSERVER.COM sí lo permite, algunos servidores y planes de hosting no tienen habilitado el acceso a través de SSL, con lo cual asegúrate de tener habilitada esa opción en tu servicio de hosting antes de realizar este paso o contratá hoy mismo un plan con nosotros ;) Configurar las claves secretas de autenticación Estas claves se encuentran definidas en el archivo wp-config.php y se utilizan para encriptar de forma más segura tu contraseña y los datos que se transmiten entre el sitio y tu navegador lo que hace más difícil que alguien pueda adivinarlos o acceder a ellos. Para definir estas claves secretas debes editar las líneas del archivo wp-config.php en donde figura lo siguiente: define('AUTH_KEY', 'Agrega aquí tu frase de seguridad'); define('SECURE_AUTH_KEY', 'Agrega aquí tu frase de seguridad'); define('LOGGED_IN_KEY', 'Agrega aquí tu frase de seguridad'); define('NONCE_KEY', 'Agrega aquí tu frase de seguridad'); define('AUTH_SALT', 'Agrega aquí tu frase de seguridad'); define('SECURE_AUTH_SALT', 'Agrega aquí tu frase de seguridad'); define('LOGGED_IN_SALT', 'Agrega aquí tu frase de seguridad'); define('NONCE_SALT', 'Agrega aquí tu frase de seguridad'); Donde dice “Agrega aquí tu frase de seguridad” debes colocar la frase o clave que quieras utilizar, se recomienda que sean claves aleatorias de tal forma que no puedan ser adivinadas fácilmente. Puedes generar las claves aleatorias utilizando el WordPress Key Generator. Simplemente copia las claves que genera y reemplazalas en tu archivo wp-config.php. Cambiar la ubicación del archivo wp-config.php En las últimas versiones de WordPress, más específicamente a partir de la versión 2.6, es posible reubicar el archivo wp-config.php UN (1) nivel más arriba del directorio donde se haya creado la instalación para que no sea accedido públicamente. Por ejemplo, si nuestra instalación está ubicada en /public_html/misitioweb/, entónces el archivo wp-config.php podría moverse de esa carpeta a /public_html/ y WordPress autodetectará en cual de las dos se ubica. Pero por más que se lo coloque en cualquier otra ubicación, WordPress no lo detectará. Cabe aclarar que el archivo de configuración sólo se puede reubicar en la carpeta superior al raíz de la instalación WordPress y NO en cualquier directorio como se menciona en algunos artículos. Si lo colocas en cualquier otra ubicación, WordPress no lo detectará e intentará crear uno nuevo a través del asistente de instalación. Esto genera una falla de seguridad más grave ya que quien ingrese primero al sitio web podrá generar una nueva instalación. Prevenir la inyección de código malicioso Dependiendo de cómo esté configurado el servidor de hosting, existe la posibilidad de que alguien intente sobreescribir las variables globales de PHP a través de la URL de acceso a algunas de las páginas del sitio. Para evitar esto se pueden filtrar los parámetros de las URL a través del módulo Rewrite, agregando la siguiente configuración en el archivo .htaccess del directorio raíz: Options +FollowSymLinks RewriteEngine On RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) RewriteRule ^(.*)$ index.php [F,L] Eliminar los plugins innecesarios Existen muchos plugins que no se encuentran debidamente probados o que no reciben mantenimiento y actualización para las nuevas versiones de WordPress. Estos pueden generar errores, agujeros o filtraciones de seguridad que pueden ser aprovechados por quienes deseen hacer daño y perjudicarán el funcionamiento del sitio. Si tienes plugins instalados en tu sitio que no estas utilizando o de los cuales no sabes qué riesgos de seguridad pueden presentar, la mejor opción es desactivarlos y desinstalarlos completamente desde el menú de gestión de Plugins. Asegurate de que se hayan eliminado todos los archivos de esos plugins en la carpeta /wp-plugins de tu instalación para evitar cualquier filtración posible. Fuente: elserver.com

Advertencia: falsos emails con notificaciones de Facebook vienen con malware

¿Te acaba de llegar un e-mail diciendo que tu amigo de Facebook añadió una nueva foto de ti? No hagas clic y comprueba tu Facebook directamente. Los spammers están haciendo de las suyas, nuevamente. Esta vez enviando e-mails que dicen provenir del gigante de las redes sociales, sin embargo, lo que incluye es un archivo adjunto que instala un malware en tu computador. El asunto del e-mail es la línea típica de “Tu amigo añadió una nueva foto de ti en su álbum” (aunque los cibercriminales pueden alterarlo) y parece provenir de un email como “notificación+kjdm-dj-hud_@facebookmail.com” (de nuevo, esto puede ser cambiado). El archivo adjunto se denomina “New_Photo_With_You_on_Facebook_PHOTOID [random]. Zip” donde “random” es un número generado. En Sophos, quienes reportaron por primera vez del ataque, detectaron el malware como Troj/Agent-XNN. La amenaza de 61KB se copia automáticamente en “C:\Documents and Settings\All Users\svchost.exe” y se añade a sí mismo en el registro de Windows, haciéndose pasar por una actualización de Sun Java. De esta manera, se asegura que el malware se inicie al arrancar el PC. El cuerpo del mensaje es sencillo, pero no creas en lo que dice. Como se puede ver en la siguiente imagen, los spammers incluso han tratado de imitar el diseño azul de Facebook para engañar a las víctimas: Como precaución general, no abrir archivos adjuntos en mensajes de correo electrónico o hacer clic en enlaces en ellos a menos que estés absolutamente seguro de que el remitente es quien crees que es. Fuente: http://lincinews.com/advertencia-falsos-emails-con-notificaciones-de-facebook-vienen-con-malware/