TodoWordPress

Hace unas semanas, hablamos en el tutorial de seguridad sobre la instalación de WordPress y en el segundo punto recomendábamos cambiar el prefijo de las tablas de WordPress y no utilizar el prefijo predeterminado, “wp_“, para poner las cosas más difíciles a los usuarios malintencionados.

Esto es muy fácil de hacer si estás haciendo una nueva instalación de WordPress, pero como nos decía @Juan en los comentarios, no es tan fácil hacerlo si ya tienes tu blog instalado y en funcionamiento. Es por esto que hoy he querido hablar de WP Prefix Table Changer, un plugin que nos facilitará muchísimo esta tarea.

Leer más »

Hace un par de semanas hablábamos sobre ¿Cómo saber si nuestro blog está hackeado? y descubrimos diferentes formas, manuales y automáticas, para saber si nuestro blog había sufrido algún tipo de inyección de código malicioso sin nosotros saberlo. Ahora toca ver qué hacer si hemos detectado dicho ataque.

¿Qué hago si ya he detectado que tengo inyección de código?
Lo primero que deberíamos hacer es asegurarnos que el usuario malicioso no ha accedido a nuestro blog usando nuestro usuario de administración. Lo mejor que podemos hacer (tras repasar los consejos de seguridad) es cambiar nuestras contraseñas. Seguidamente, actualizaremos (si no lo tenemos) el WordPress a su última versión.

Tras las comprobaciones iniciales, deberemos eliminar el código de nuestra página web. Es muy probable que el usuario malintencionado sólo haya modificado los archivos de nuestra plantilla, así que lo mejor que podemos hacer es abrir nuestro theme con el editor que nos proporciona WordPress y revisar todos los archivos por si vemos algún texto raro. Habitualmente, se repetirá el mismo texto en casi todos los archivos y casi siempre estará ubicado en la parte final de nuestro archivo. Sólo tenemos que borrar dicho código (¡sin borrar nada más!) y ya tendremos nuestra página arreglada.

Leer más »

No es nada fuera de lo habitual el hackeo de páginas web, y el hecho de que WordPress sea un sistema tan utilizado hace a las personas malintencionadas fijarse en este tipo de software. Es por eso que, si no tienes el blog bien protegido, podría pasarte que lo atacaran.

Muchas veces puedes no enterarte de que te han hackeado el sitio, ya que los usuarios malintencionados sólo muestran enlaces al robot de Google sin que los visitantes “normales” de nuestra web puedan notar nada. Esta técnica es conocida como cloaking.

Una de las formas manuales de detectar que nuestra web ha tenido una inyección de código malicioso es entrar en Google y buscar nuestro propio sitio web. Desde el buscador, accederemos a la caché: éste es el contenido que el buscador ha indexado de nuestra web. Si vemos algo diferente, habitualmente todo de texto que no es nuestro al final de nuestra página, es que hay algún tipo de hackeo.

Leer más »

Una de las muchas funcionalidades interesantes de WordPress son los plugins. Nos permiten ampliar las posibilidades de nuestro blog añadiendo funcionalidades y opciones que WordPress no trae. Aún así, si nos referimos a seguridad, debemos tener cierto cuidado, ya que cualquier plug-in puede introducir bugs de seguridad en nuestra instalación de WordPress.

Es por este motivo que se recomienda, en general, utilizar el mínimo de plugins posibles. Coge tu lista de plugins y pregúntate: ¿este plugin realmente es esencial para mi blog? Todos los plugins nos dan funcionalidades extra, pero seguro que algunos podrías ahorrártelos fácilmente. Y aquellos que sigas queriendo mantener instalados, debes tenerlos actualizados a su ultima versión para ahorrarte problemas.

Leer más »

Tras dos posts sobre seguridad, 1. Consejos básicos: tus contraseñas y 2. Seguridad básica: instalación de WordPress, hoy toca hablar sobre las copias de seguridad. Tu blog empezará con poco contenido y quizá no veas razonable hacer copias de seguridad muy a menudo, pero dentro de unos meses seguro que tendrás muchos posts, páginas, tutoriales, reseñas… lo que sea, que seguro que querrás tener bien guardado.

Habitualmente WordPress no falla, no perdemos datos cuando instalamos plugins o themes, ni cuando actualizamos alguno de sus componentes. No obstante, siempre que hagamos algún cambio importante en nuestro blog deberíamos tener copia de nuestra base de datos y de nuestros archivos de servidor. Un error típico y fácil es hacer copia solamente de la base de datos, y dejarnos sin copiar las imágenes y archivos que tengamos almacenados en nuestro blog.

Leer más »

Hoy seguiremos nuestro tutorial sobre Seguridad en WordPress con el segundo apartado, Seguridad básica: instalación de WordPress. La instalación de WordPress es la base de nuestra seguridad y, aunque es extremadamente fácil de hacer, lo mejor es tomársela  con calma y prestar atención a todos sus detalles, que no siempre son tenidos en cuenta.

1. Usuario de la base de datos: lo ideal es crear un usuario destinado exclusivamente a nuestro blog, con permisos exclusivos para trabajar con las tablas de WordPress. Es por eso que no debemos utilizar nunca el usuario root. En general, los permisos que daremos al usuario destinado a acceder a la base de datos de nuestro blog serán SELECT, INSERT, UPDATE, DELETE (para datos) y CREATE, ALTER, DROP (para estructuras), pudiendo descartar el CREATE y el DROP si comparte su base de datos con otros proyectos.
2. Cambia el prefijo de tus tablas: WordPress por defecto utiliza wp_ como prefijo para las tablas correspondientes a nuestro WordPress, pero siempre se debería cambiar esta opción en nuestra instalación. De esta forma alguien que quiera acceder a nuestros datos deberá conocer ese prefijo antes. Lo mejor, pues, es utilizar un prefijo aleatorio que no sea de fácil deducción.

Leer más »