Me gustaría cambiar el mundo, pero no encuentro el código fuente

Etiqueta: seguridad

Implementando medidas de seguridad para WordPress 2

Mantener WordPress seguro se ha vuelto algo imprescindible. En los últimos tiempos, los intentos de hacerse o modificar una instalación de WordPress, han ido en aumento. El motivo principal de esta situación, es por el mero hecho que hay cerca de 40 millones de instalaciones self hosted (en servicios de hosting). Esto hace que sea un pastel enorme, mucho más que cualquier otro CMS.

Para tener nuestra instalación segura, hay que seguir una serie de reglas básicas y algunas un poco más avanzadas y que necesitareis servidor propio o VPS para poder realizarlas.

  • Mantenimiento actualizada de WordPress.
  • Mantenimineto actualizados todos los plugin.
  • Mantenimiento actualizados todos los themes.
  • Mantener controlados a todos nuestros usuarios registrados, si es que existen.
  • Realizar Backups diarios.
  • Controlar que no nos cambien ningún archivo.
  • Sacar wp-config.php del directorio web.
  • Tener un buen antivirus en nuestro ordenador y tenerlo actualizado.
  • Usuario NO admin y contraseñas complejas

 

Con todo lo anterior, pondremos muy difícil que nos de ningún susto en nuestra sitio. Pero ojo, no todo es infalible.

Ahora vamos a pasar a desgranar cada uno de los pasos para que sepamos cómo hacerlo y no morir en el intento.

Continue Reading

Asegura tu WordPress

Hace pocos días, ha habido una ola enorme de hackeos de WordPress. Más de 30.000 sitios han sido hackeados modificando más de 200.000 páginas de estos sitios. La intencionalidad de ello y las consecuencias, es lo de menos en este momento. Mi intención es mostraros como asegurar vuestro WordPress para que, en la medida de lo posible, tengáis vuestro WordPress seguro.

Mucho se ha escrito sobre el tema y parece que la gente sigue sin tomárselo enserio o piensa, a mí no me pasará. Por desgracia, este pensamiento está más extendido de lo que debería y seguramente, más de uno leerá esta entrada por que ya está escaldado y ha perdido mucho tiempo acumulado en su sitio.

 

Las reglas básicas para el mantenimiento un sitio de WordPress seguro son:

 

  1. Tener WordPress SIEMPRE actualizado
  2. Usar SOLO plugin del repositorio o plugins Premium (de pago) y que SIEMPRE estén actualizados a la última versión.
  3. Instalar themes desde sitios confiables y NUNCA instalar themes Premium si no son de las páginas oficiales (descargados de otros sitios par no pagar su coste).
  4. No usar NUNCA el usuario admin, usar cualquier otro usuario y si ya lo tenemos, cambiarlo.
  5. Utilizar contraseñas complejas y por supuesto NUNCA nuestra fecha de cumpleaños, aniversario, pins varios, etc….
  6. Realizar copias de seguridad diarias completas y muy aconsejable realizar copia de seguridad de la base de datos 2 veces al día (cada 12 horas).
  7. Utilizar plugins de seguridad.
  8. Mover el archivo wp-config.php al directorio superior, sacándolo del acceso público.
  9. Si tenéis el registro abierto, nunca tener ningún usuario registrado mediante un bot (robot).
  10. Tener el software del servidor siempre actualizado, sobre todo si se actualiza por vulnerabilidades (PHP, MySQL, etc…)
  11. Utilizar Mods de php para aumentar la seguridad del servidor.
Continue Reading

Servidores que no guardan la IP correcta. Gran peligro de seguridad

IP servidores

IP servidoresGracias a mi proyecto WangGuard, he descubierto algunos servidores que por algún motivo no reportan las IP’s correctas de los visitantes.

WangGuard utilizas muchos factores dentro de su lógica para parar determinar si es un usuarios no deseados o sploggers y uno de ellos son las IP, pero me guardo cómo lo utiliza Guiño.

Bien, el caso es que hay servidores que reportan como IP del visitante o usuario que se quiere registrar la propia IP del servidor y eso ¿qué quiere decir? Pues bien sencillo, que las IP que guarda en los Logs del servidor no son válidas, casi con toda seguridad, a cada visita la relaciona con la propia IP del servidor.

Con casi el 100% de seguridad, esto es debido a una mala configuración del servidor. Pondría la mano en el fuego a que estos servidores están utilizando un proxy antes de (por ejemplo) Apache como podría ser Nginx.

En la teoría, esto no debería repercutir en las IP’s pero en unos pocos servidores lo está haciendo. Nginx (en el caso que pongo como ejemplo) puede funcionar como un proxy/pasarela de Apache, esto tiene muchos beneficios, como que Nginx muestra en el navegador todos los archivos estáticos (imágenes, videos, música, etc…) y solo pasa a Apache cuando se debe ejecutar un archivo php o una consulta MySQL.

El resultado de lo anterior es que el servidor tiene una carga muy inferior y en la teoría no son posibles los ataques DDoS (ataque de denegación de servicio).

Pues por una mala configuración o por una configuración errónea por desconocimiento, Nginx no guarda IP y los que es peor, pasa a Apache la IP del mismo servidor.

Si por lo que fuera un día sufriéramos un ataque grave, nunca podríamos averiguar de donde ha venido, nuestro firewall nunca podría bloquear IP atacantes, si por una orden judicial nos pidieran IP, nunca las podríamos dar y así una larga lista de consecuencias.

Si estáis usando una pasarela/proxy antes de Apache o el servidor que uséis, aseguraros que Apache está recibiendo la IP del cliente no del servidor, es un consejo para que podáis proteger bien vuestro servidor y tener la posibilidad de saber de donde ha venido un posible atacante y de esta forma bloquear su IP.

Continue Reading