Esta habiendo un ataque en marcha y tu web puede ser la siguiente en ser atacada.
¿Realidad o Ficción?
Bueno, en realidad tampoco conviene exagerar, pero si, deberías saber que estos días esta teniendo lugar un ataque masivo contra webs hechas con WordPress (nos referimos a Febrero del 2014).
Pero que ya me estés leyendo en fechas posteriores no quiere decir que ya no haya peligro.
No es el único ataque que recibe un CMS tan popular como es WordPress. Y no es el único que los recibe. Otros CMS también tienen lo suyo.
WordPress tiene un núcleo bastante solido, por lo que manteniendolo actualizado estas a salvo de la mayoría de ataques.
El mayor punto débil son los plugins. De ahí que solo los instales desde el repositorio oficial y los mantengas actualizado, y por supuesto usar el mínimo imprescindible.
Y otro punto débil son los temas. Solo usa temas originales desde el repositorio, o premiums de empresas de calidad como StudioPress o Gavick (ambos enlaces de afiliado – ¡Gracias!) y actualiza siempre.
Mantén seguro tu sitio WordPress
Este tema da para hablar largo y tendido, porque consejos y aspectos para tener en cuenta hay muchos, pero básicamente te aconsejo:
- Haz copias de seguridad regularmente. ¿Que aún no te he explicado como hacerlas? Espera que me lo apunto y mañana te cuento.
- Usa un plug-in de seguridad como WordFence Security.
- Contrata un hosting de calidad, que implemente por si mismo medidas de seguridad a nivel de PHP, MySQL y Apache.
Como ya te contare, la parte de las copias de seguridad es sencillo, y es simplemente tener un seguro por si todo va mal, no lo pierdas todo.
Con un hosting de calidad te evitaras muchos tipos de ataques, e incluso revisarán y monitorizaran tu sitio avisándote si hay algo raro. Además también suelen realizar copias de seguridad constantes.
Pero instalar un plug-in de seguridad como WordFence Security te ayudara en muchos aspectos que te detallare más adelante.
¿Pero es el único que funciona bien?
La respuesta es NO.
Tienes otros muchos plug-ins para mejorar la seguridad e incluso suites como a la que hago referencia.
Simplemente yo he elegido este porque me ahorra tener varios plug-ins y funciona bien.
Una alternativa por ejemplo es el plug-in Better WP Security.
Que hace WordFence Security por ti.
Te cuento que inlcuye este plug-in, y porque te vas a ahorrar tantos otros:
[icon type=”glyphicon-ok” icontype=”glyphicon” color=”#09a543″] En primer lugar es gratuito. Pero es realmente completa. Con la versión de pago ($39 al año) consigues análisis remotos y programados, así como soporte premium y alguna cosa más.
[icon type=”glyphicon-ok” icontype=”glyphicon” color=”#09a543″] Trafico en tiempo real de humanos y bots, pudiendo analizar por IPs y más. Bloqueo de GoogleBots falsos. Bloqueo por IPs. Escaneo para cambios de DNS.
[icon type=”glyphicon-ok” icontype=”glyphicon” color=”#09a543″] Limite de intentos de acceso. Ocultación de mensajes de error en página de login. Forzar a contraseñas fuertes. Chequear las contraseñas existentes. Comprobar los mayores consumidores de contenido.
[icon type=”glyphicon-ok” icontype=”glyphicon” color=”#09a543″] Escaneo de archivos malware conocidos, comprobación de integridad de los ficheros de tu instalación. Escaneo los comentarios en busca de URLs sospechosas. Chequeo de los ficheros de temas y plugins. Monitoriza el disco. …
[icon type=”glyphicon-ok” icontype=”glyphicon” color=”#09a543″] Completo Firewall con reglas personalizables. Aunque realmente no hay casi que tocar para configurar, ya que trae reglas predefinidas según los niveles de ataques detectados.
¿Quieres usarlo en tu sitio WordPress?
Pues es realmente fácil.
Dirigete a Plugins/Añadir Nuevo, y busca WordFence Security. El primer resultado que sale, ese con cinco estrellas es el que debes instalar.
Después nos dirigimos a sus opciones para configurarlo.
Veremos una larga vista de opciones. En verdad no hay que tocar tanto:
- Basic Options: Añade tu email para las alertas en “Where to email alerts“
- Basic Options: Elige el nivel de seguridad en Security Level. Ahora te explico cada uno. Este es el primer paso a elegir, ya que una vez lo pongas, si activas lo siguiente se cambiara a custom.
- Basic Options: Dile a WordFence Security de donde coger las IPs. La opción normal es “Use PHP’s built in REMOTE_ADDR…“
- Scans to include: Marca la opción “Scan theme files…” y “Scan plugin files..” para que compruebe tu tema y plugins.
- Other Options: Incluye tu IP en la lista Blanca, donde pone “Whitelisted IP…“. Recuerda que si tienes IP dinamica esta ira cambiando y debieras actualizarla. Este paso no es obligatorio, pero si recomendable para evitar que te bloquee a ti mismo.
- Other Options: Yo tengo marcado “Participe in the Real-Time WordPress Security Network“. Esto lo que hace que si un sitio WordPress es atacado, y WordFence tiene activa esta opción, el resto de sitios que tenga este plugin bloquea a ese atacante.
¡Y listo! Fácil, ¿no?.
Realmente el truco esta en el el nivel de seguridad. Es lo primero a elegir, para que según el nivel se activen unas opciones u otras, y ya luego personalizas con lo que te puse antes.
- Level 0: Desactivas toda la protección de WordFence. Solo se usa para probar si WordFence te esta ralentizando la web o momentos puntuales.
- Level 1: Pretección ligera, solo para sitios locales o intranets.
- Level 2. El nivel normal por defecto que deberías tener.
- Level 3. Sabes que un ataque es eminente, y quieres estar defendido.
- Level 4. Ataque en curso. Es la opción mas fuerte, peor no conviene que este siempre en este nivel ya que puede afectar a tus usuarios.
Recuerda, una vez elegido el nivel y guardado, personaliza el resto que te he dicho, aunque cambie a custom, ya tienes ese nivel configurado.
Tu primer análisis
Una vez guardadas las opciones, ejecuta tu primer escaneo en WordFence/Scan.
Si tienes un tema premium, o no hiciste una instalación de WordPress desde el repositorio, es fácil que te de falsos positivos.
Esto quiere decir que habrá ficheros que detecte modificados, pero puedes ver cuales son esos cambios.
Si apuntan a URLs sospechosas o ves algo raro puedes consultar por foros o blogs, y si son solo cambios tipo nombre empresa, etc.. de tu tema, puedes ignorar esos avisos.
En todo caso WordFence Security puede reparar esos ficheros por ti.
¿Pero alguna pega debe tener?
La mayor pega puede ser que aumenta el tamaño de las bases de datos lógicamente, pero nada que un plugin como WP-Optimize no pueda arreglar.
En general yo no he detectado problemas de rendimiento en el blog.
Javier, ¿necesito saber algo más?
Poca cosa más. Si quieres estar al día de ataques de seguridad puedes suscribirte a mi newsletter, y además de recibir contenidos como este, te mandare las alertas de ataques que conozca a partir de ahora.
No hay comentarios:
Publicar un comentario