- Desde
- 11 Mar 2010
- Mensajes
- 1.816
Hola amigos, en esta ocasión vengo a ocupar un tema que nos preocupa a tod@s, pues la mayoría usamos Wordpress como CMS para construir nuestros sitios y existen múltiples puntos conflictivos que si no se tratan podrían ocasionarnos más de un quebradero de cabeza, motivo que me ha impulsado a escribir esta Guía definitiva para la Protección y Desinfección de Wordpress.
Esta guía está basada en mi experiencia con esta plataforma y el testeo de las herramientas que utilizo, ni son las únicas que hay, ni puede que sean las mejores para todo el mundo, pero son las que yo recomiendo porque me proporcionaron los mejores resultados.
Además de las herramientas que aconsejo para prevenir infecciones en Wordpress y eliminarlas, os daré algunos consejos de configuración para que podáis reforzar la seguridad de vuestro sitio y como podéis detectar los puntos críticos susceptibles a vulnerabilidades, así que sin más preámbulos ¡Comenzamos!
Prevenir y eliminar infecciones en Wordpress
Prevenir infecciones es quizás el punto más importante, pues si evitamos que se produzcan no tendremos que ocuparnos de ellas ni desinfectar el sitio.
La vía principal por la que estas infecciones se producen es mediante la instalación de Themes y Plugins nulled, esto lo sabéis, pero aún así hay gente que prefiere ahorrarse unos pocos Euros (o dólares) y arriesgar sus sitios.
Mi consejo es que os olvidéis de descargar contenido de sitios como MafiaShare y similares porque vienen con regalo, también hay otros themes que aunque no sean nulled agregan código encriptado (normalmente en base64) si no sabéis que hacer con esto os recomiendo que tampoco lo instaléis porque no sabes lo que te vas a encontrar, en el mejor de los casos enlaces a sitios spamers penalizados por los buscadores, en otros casos, funciones que habiliten puertas traseras para una posterior infección.
Si aún así decides omitir mi consejo y piensas descargarte temas de dudosa procedencia, te diré que hacer para que lo analices sobre la marcha. Mi consejo en este punto cuando bajes algo (un theme o plugin) desde fuentes externas (Wordpress.org) lo analices con la herramienta Virus Total que escaneará el archivo con varios antivirus diferentes y te informará sobre posible código malicioso en su contenido.
Si el paso anterior fue correcto y supuestamente el archivo está limpio, antes de instalar un tema deberías instalar este pluginpara detectar código encriptado y enlaces spam.
Para analizar el tema con este plugin, subiremos el tema que queremos analizar Pero no lo activamos, luego nos vamos nuevamente a la sección Apariencia>temas y pulsamos para ver los temas que tenemos y el estado en que se encuentran, si todo está ok se mostrará un cartel en verde como el de la foto y en caso contrario nos indicará que ese tema tiene código encriptado y haciendo clic sobre la opción podremos conocer la ruta en que se ubica.
Os aconsejo también revisar los “staticks links found” porque muchos desarrolladores suelen incluir enlaces “invisibles” en colores que se mezclan con el tema y no son obvios para los visitantes, pero sí para los buscadores y están penalizados.
¿Aquí acaba la historia?
Quieto amigo, si te cansaste de leer guarda el post en favoritos porque acabamos de empezar, es cierto que los plugins y los temas son una de las principales fuentes de infección porque la gente los descarga a diestro y siniestro sin mirar nada, pero un código malicioso puede alojarse en muchos sitios por ello deberemos revisar periódicamente nuestras webs para detectar posibles amenazas y vulnerabilidades.
Una herramienta que recomiendo para esto es Exploit Escaner un plugin para WP que analiza las tablas de tu base de datos en busca de código sospechoso, además de revisar los plugins que tengas activados y busca archivos alojados en el directorio del sitio que resulten inusuales para la instalación.
Su funcionamiento es muy sencillo, lo instalamos y accedemos a él mediante el menú que se creará en nuestro panel (Exploit Scaner) y podremos ver una pantalla como esta
Si hacemos clic en scan analizará todas las áreas anteriormente mencionadas y nos mostrará las alertas en caso de posibles amenazas, pero también podemos buscar directamente archivos de la base de datos con registros db.
Mi consejo es que lo utilicéis cuando tengáis poco tráfico porque tarda bastante e incluso aunque tengas pocos plugins instalados y puede saturar el servidor ( en caso de que tu sitio tenga tráfico importante y uses shared hosting, caso contrario no hay problema)
Otra forma para blindar y proteger nuestro WP consiste en limitar el número de accesos mediante plugins como Limit Login Atempt de esta forma podremos frenar ataques de fuerza bruta o de diccionario en el que se empleen combinaciones aleatorias para probar la contraseña.
Better Wordpress Security es un plugin gratuito que podríamos considerar un todo en uno para proteger nuestro blog porque incluye una amplia recopilación de funciones contra diferentes tipos de ataques.
Entre sus funciones principales se encuentra añadir un número limitado de logins (si instalas este no hace falta que instales también el anterior) y renombrar al administrador (indispensable hacer un backup antes)
Siempre es recomendable añadir un nombre de administrador diferente al de admin que trae por defecto Wordpress para evitar la ejecución de scripts preconfigurados para el brute force a sabiendas de que muchos usuarios no lo cambian. Si no sabías este dato o se te olvidó cambiarlo con este plugin lo podrás hacer en un par de clics.
Otras funciones interesantes consisten en evitar la ejecución de ficheros PHP desde la carpeta de archivos y analizar las librerías jQuery para detectar la versión instalada y si ésta fuera vulnerable.
El funcionamiento de este plugin se basa en cuatro módulos que consisten en omitir toda la información que resulta evidente en una instalación de WP (como el mencionado admin anteriormente) y lo sustituye por nombres o rutas alternativas para evitar su explotación como la ruta wp-content que es una de las más explotadas a la hora de atacar un blog.
Todas estas cosas las podemos hacer manualmente, pero para los que no tengan demasiados conocimientos sobre seguridad en WP resulta un método rápido y eficaz de optimizar nuestro sitio sin entrar en configuraciones.
Además de prevenir los ataques mediante las modificaciones anteriormente mencionadas, Better WP Security también bloquea bots y ataques de fuerza bruta pudiendo recibir notificaciones por correo en caso de ataques, además integra un módulo de respaldo y otro de recuperación·
Para revisar todas estas áreas iremos pasando por cada uno de los módulos y siguiendo las indicaciones pestaña por pestaña hasta completar el proceso.
Diferentes tipos de Amenazas en Wordpress
Si te encontraste en alguna de las dos primeras situaciones puedo aconsejarte un par de herramientas que funcionan muy bien para limpiar tu WP y la base de datos sin quedarte ciego en el intento.
Wordefence Es con diferencia el mejor plugin de seguridad que he probado para WP, incluso incluye protección contra el bug Heartbleed (corazón sangrante) que tanto revuelo ha causado semanas atrás. Algunas de las muchas opciones que trae:
Os dejo un Vídeo(No lo inserto directamente porque es de Vimeo y no se si el foro lo admite) sobre como se utiliza (la instalación es igual que cualquier plugin)Si alguien tiene problemas con el idioma o queréis ampliar la información sobre este plugin, dejármelo en los comentarios y haré un tutorial aparte, pues es con todas las opciones que tiene bien merece tener su propio manual.
Como habréis observado, este plugin podría sustituir a muchos de los anteriores, no obstante, os aconsejo que no os quedéis sólo con lo que explico aquí e investiguéis por vuestra cuenta, pues si de primeras os doy un plugin que lo hace todo ya no vais a querer mirar nada más y tenemos que saber como funciona la plataforma donde estamos trabajando si queremos proteger nuestro trabajo.
Si la infección ha sido importante os aconsejo que al menos durante un tiempo reviséis los posibles cambios en vuestros archivos y si no tenéis tiempo de hacerlo manualmente este plugin también os puede ayudar e incluso notificar en tiempo real cuando se produzca algún cambio no autorizado.
Anti malware Es otro plugin capaz de eliminar una amplia variedad de archivos infecciosos en tiempo récord (sólo si se encuentran en el directorio wp-content) Lo bueno es que no requiere configurar nada, un scan y adiós malware.
Bullet Proof Security es un plugin que ofrece una suite de seguridad completa y está enfocado especialmente a reforzar la seguridad en las bases de datos (además de otras opciones en WP que también se incluyen en los plugins anteriores) El motivo por el que lo recomiendo al final es porque no es para novatos, tiene demasiadas opciones y puede resultar un poco pesado en cuanto al consumo de recursos se refiere. Particularmente lo he usado en ocasiones puntuales y como herramienta complementaria de otros plugins.
Resumen y consideraciones generales
Espero que la guía os haya resultado útil para conocer un poco más las vulnerabilidades de Wordpress y como reforzar la seguridad de vuestros sitios, recordad que esto es sólo un punto de partida y la mejor forma de adquirir el conocimiento es investigando por vuestra cuenta. Obviamente no es necesario que instaléis todos los plugins y los mantengáis todos activados, pues algunos pueden usarse sólo en momentos puntuales y desactivarlos cuando no se necesiten o incluso desinstalarlos si sabemos que no los vamos a necesitar más.Cualquier duda o sugerencia dejármelo saber en los comentarios. :encouragement:
Esta guía está basada en mi experiencia con esta plataforma y el testeo de las herramientas que utilizo, ni son las únicas que hay, ni puede que sean las mejores para todo el mundo, pero son las que yo recomiendo porque me proporcionaron los mejores resultados.
Además de las herramientas que aconsejo para prevenir infecciones en Wordpress y eliminarlas, os daré algunos consejos de configuración para que podáis reforzar la seguridad de vuestro sitio y como podéis detectar los puntos críticos susceptibles a vulnerabilidades, así que sin más preámbulos ¡Comenzamos!
Prevenir y eliminar infecciones en Wordpress
Prevenir infecciones es quizás el punto más importante, pues si evitamos que se produzcan no tendremos que ocuparnos de ellas ni desinfectar el sitio.
La vía principal por la que estas infecciones se producen es mediante la instalación de Themes y Plugins nulled, esto lo sabéis, pero aún así hay gente que prefiere ahorrarse unos pocos Euros (o dólares) y arriesgar sus sitios.
Mi consejo es que os olvidéis de descargar contenido de sitios como MafiaShare y similares porque vienen con regalo, también hay otros themes que aunque no sean nulled agregan código encriptado (normalmente en base64) si no sabéis que hacer con esto os recomiendo que tampoco lo instaléis porque no sabes lo que te vas a encontrar, en el mejor de los casos enlaces a sitios spamers penalizados por los buscadores, en otros casos, funciones que habiliten puertas traseras para una posterior infección.
Si aún así decides omitir mi consejo y piensas descargarte temas de dudosa procedencia, te diré que hacer para que lo analices sobre la marcha. Mi consejo en este punto cuando bajes algo (un theme o plugin) desde fuentes externas (Wordpress.org) lo analices con la herramienta Virus Total que escaneará el archivo con varios antivirus diferentes y te informará sobre posible código malicioso en su contenido.
Si el paso anterior fue correcto y supuestamente el archivo está limpio, antes de instalar un tema deberías instalar este pluginpara detectar código encriptado y enlaces spam.
Para analizar el tema con este plugin, subiremos el tema que queremos analizar Pero no lo activamos, luego nos vamos nuevamente a la sección Apariencia>temas y pulsamos para ver los temas que tenemos y el estado en que se encuentran, si todo está ok se mostrará un cartel en verde como el de la foto y en caso contrario nos indicará que ese tema tiene código encriptado y haciendo clic sobre la opción podremos conocer la ruta en que se ubica.
Os aconsejo también revisar los “staticks links found” porque muchos desarrolladores suelen incluir enlaces “invisibles” en colores que se mezclan con el tema y no son obvios para los visitantes, pero sí para los buscadores y están penalizados.
¿Aquí acaba la historia?
Quieto amigo, si te cansaste de leer guarda el post en favoritos porque acabamos de empezar, es cierto que los plugins y los temas son una de las principales fuentes de infección porque la gente los descarga a diestro y siniestro sin mirar nada, pero un código malicioso puede alojarse en muchos sitios por ello deberemos revisar periódicamente nuestras webs para detectar posibles amenazas y vulnerabilidades.
Una herramienta que recomiendo para esto es Exploit Escaner un plugin para WP que analiza las tablas de tu base de datos en busca de código sospechoso, además de revisar los plugins que tengas activados y busca archivos alojados en el directorio del sitio que resulten inusuales para la instalación.
Su funcionamiento es muy sencillo, lo instalamos y accedemos a él mediante el menú que se creará en nuestro panel (Exploit Scaner) y podremos ver una pantalla como esta
Si hacemos clic en scan analizará todas las áreas anteriormente mencionadas y nos mostrará las alertas en caso de posibles amenazas, pero también podemos buscar directamente archivos de la base de datos con registros db.
Mi consejo es que lo utilicéis cuando tengáis poco tráfico porque tarda bastante e incluso aunque tengas pocos plugins instalados y puede saturar el servidor ( en caso de que tu sitio tenga tráfico importante y uses shared hosting, caso contrario no hay problema)
Otra forma para blindar y proteger nuestro WP consiste en limitar el número de accesos mediante plugins como Limit Login Atempt de esta forma podremos frenar ataques de fuerza bruta o de diccionario en el que se empleen combinaciones aleatorias para probar la contraseña.
Better Wordpress Security es un plugin gratuito que podríamos considerar un todo en uno para proteger nuestro blog porque incluye una amplia recopilación de funciones contra diferentes tipos de ataques.
Entre sus funciones principales se encuentra añadir un número limitado de logins (si instalas este no hace falta que instales también el anterior) y renombrar al administrador (indispensable hacer un backup antes)
Siempre es recomendable añadir un nombre de administrador diferente al de admin que trae por defecto Wordpress para evitar la ejecución de scripts preconfigurados para el brute force a sabiendas de que muchos usuarios no lo cambian. Si no sabías este dato o se te olvidó cambiarlo con este plugin lo podrás hacer en un par de clics.
Otras funciones interesantes consisten en evitar la ejecución de ficheros PHP desde la carpeta de archivos y analizar las librerías jQuery para detectar la versión instalada y si ésta fuera vulnerable.
El funcionamiento de este plugin se basa en cuatro módulos que consisten en omitir toda la información que resulta evidente en una instalación de WP (como el mencionado admin anteriormente) y lo sustituye por nombres o rutas alternativas para evitar su explotación como la ruta wp-content que es una de las más explotadas a la hora de atacar un blog.
Todas estas cosas las podemos hacer manualmente, pero para los que no tengan demasiados conocimientos sobre seguridad en WP resulta un método rápido y eficaz de optimizar nuestro sitio sin entrar en configuraciones.
Además de prevenir los ataques mediante las modificaciones anteriormente mencionadas, Better WP Security también bloquea bots y ataques de fuerza bruta pudiendo recibir notificaciones por correo en caso de ataques, además integra un módulo de respaldo y otro de recuperación·
Para revisar todas estas áreas iremos pasando por cada uno de los módulos y siguiendo las indicaciones pestaña por pestaña hasta completar el proceso.
Diferentes tipos de Amenazas en Wordpress
- Superficiales Son aquellas que afectan al sitio de manera superficial como los molestos Hacked by en los que suelen subir ficheros al index para bloquear el acceso al sitio y mostrar la típica imagen siniestra de sitio onwed. Otra típica de estas son las redirecciones a otras páginas, inclusión de enlaces spam y similares, aunque sean muy molestas no son serias y restableciendo el index.php e index.html, plantillas, cambiar el pass etc tenemos el sitio funcionando en dos minutos. En este punto las herramientas que puse antes te pueden ayudar para detectar por donde te vino la infección y prevenirla para que no pase de nuevo.
- Moderadas Son aquellas que afectan a más directorios además del wp-content (caso 1), son más difíciles de localizar debiendo revisar todos los archivos de todos los directorios en busca de ficheros infecciosos porque si los dejamos y sólo eliminamos lo superficial puede quedarse abierta una puerta trasera que nos reinfecte de nuevo. En otros casos se hace extensible también a la base de datos y tenemos que limpiarla también.
- Expansivas Este tipo de amenaza la llamo así porque se expande más allá de la instalación de WP afectando también al hosting y pudiendo comprometer a otras instalaciones en el caso de hostings compartido pudiendo ocasionar verdaderos desastres, lo que podría considerarse la peor pesadilla de un webmaster, pero como esta guía se limita a WP no me voy a meter aquí, quizás en otra ocasión porque este post me está quedando más largo que la Biblia.
Si te encontraste en alguna de las dos primeras situaciones puedo aconsejarte un par de herramientas que funcionan muy bien para limpiar tu WP y la base de datos sin quedarte ciego en el intento.
Wordefence Es con diferencia el mejor plugin de seguridad que he probado para WP, incluso incluye protección contra el bug Heartbleed (corazón sangrante) que tanto revuelo ha causado semanas atrás. Algunas de las muchas opciones que trae:
- Implementa la verificación en dos pasos Añadiendo tu número de móvil ¿Os suena de algo?
- Bloqueo de ataques en tiempo real
- Scan de vulnerabilidades
- Cotejamiento de amenaza con una BD de 44000 archivos
- Cortafuegos
- Restricción de IP
- Analiza posibles puertas traseras
- Comprueba fortaleza de contraseñas
- Control del tráfico en tiempo real (buena alternativa o complemento de Analitics)
- Monitoriza el espacio de disco (para prevenir ataques DDoS)
- Permite programar analíticas en franjas de menor tráfico (para evitar colapsos)
- Y más cosas...
Os dejo un Vídeo(No lo inserto directamente porque es de Vimeo y no se si el foro lo admite) sobre como se utiliza (la instalación es igual que cualquier plugin)Si alguien tiene problemas con el idioma o queréis ampliar la información sobre este plugin, dejármelo en los comentarios y haré un tutorial aparte, pues es con todas las opciones que tiene bien merece tener su propio manual.
Como habréis observado, este plugin podría sustituir a muchos de los anteriores, no obstante, os aconsejo que no os quedéis sólo con lo que explico aquí e investiguéis por vuestra cuenta, pues si de primeras os doy un plugin que lo hace todo ya no vais a querer mirar nada más y tenemos que saber como funciona la plataforma donde estamos trabajando si queremos proteger nuestro trabajo.
Si la infección ha sido importante os aconsejo que al menos durante un tiempo reviséis los posibles cambios en vuestros archivos y si no tenéis tiempo de hacerlo manualmente este plugin también os puede ayudar e incluso notificar en tiempo real cuando se produzca algún cambio no autorizado.
Anti malware Es otro plugin capaz de eliminar una amplia variedad de archivos infecciosos en tiempo récord (sólo si se encuentran en el directorio wp-content) Lo bueno es que no requiere configurar nada, un scan y adiós malware.
Bullet Proof Security es un plugin que ofrece una suite de seguridad completa y está enfocado especialmente a reforzar la seguridad en las bases de datos (además de otras opciones en WP que también se incluyen en los plugins anteriores) El motivo por el que lo recomiendo al final es porque no es para novatos, tiene demasiadas opciones y puede resultar un poco pesado en cuanto al consumo de recursos se refiere. Particularmente lo he usado en ocasiones puntuales y como herramienta complementaria de otros plugins.
Resumen y consideraciones generales
Espero que la guía os haya resultado útil para conocer un poco más las vulnerabilidades de Wordpress y como reforzar la seguridad de vuestros sitios, recordad que esto es sólo un punto de partida y la mejor forma de adquirir el conocimiento es investigando por vuestra cuenta. Obviamente no es necesario que instaléis todos los plugins y los mantengáis todos activados, pues algunos pueden usarse sólo en momentos puntuales y desactivarlos cuando no se necesiten o incluso desinstalarlos si sabemos que no los vamos a necesitar más.Cualquier duda o sugerencia dejármelo saber en los comentarios. :encouragement:
Última edición:
