Desde hace 2-3 días (depende de la ubicación) hemos empezado a ver en nuestro dashboard de WordPress un mensaje para actualizar a la versión 3.1.2
Y la pregunta para quienes trabajamos en WordPress debe ser el porqué de esta nueva versión, qué nos trae y qué nos evita.
Leer más »
En un artículo anterior se explicó por encima la actualización que dio lugar a la versión 3.0.4 de WordPress. Ésta fue de seguridad, acerca de filtrado de código hacia el cliente XSS.
Si algo nos ha enseñado la historia es que cuando un software tiene un propósito tan amplio como WordPress y un uso masivo a nivel global despierta más interés por parte de personas sin escrúpulos que desean aprovecharse y atacar las páginas y clientes que usan este sistema.
La enorme variedad de plugins que existen y que nos permiten hacer prácticamente cualquier sitio web también es el principal problema de seguridad, Recordemos que los plugins de WordPress se ejecutan directamente y el core del mismo no es responsable por la ejecución de los mismos. Si un plugin está corrupto no hay nada que el CMS pueda hacer al respecto, y por esta razón es importante tener algunas buenas practicas al momento de utilizar plugins y temas en nuestros sitios web. Esto me da pie a dar algunas recomendaciones de seguridad en WordPress.
Empiezo a escribir para TodoWordPress, con un pequeño artículo informandolos acerca de algo que descubrí el día de ayer, una nueva actualización de WordPress la 3.0.4, como las anteriores esta es de seguridad y es sobre el KSES la librería usada para sanear y “manosear” el html que escribimos en los artículos y paginas.
Cuando descubrí que WordPress “manoseaba” saneaba el html que escribimos no me pareció correcto y una perdida de tiempo de procesamiento, sin embargo en proyectos compartidos de multiples usuarios es importante definir ciertas reglas sobre lo que se puede escribir claro en términos de html, por seguridad buena parte del html para los autores esta restringido, cosas como los iframes y demás, pero de la librería KSES podre hablar en algún otro artículo.
Hace unas semanas, hablamos en el tutorial de seguridad sobre la instalación de WordPress y en el segundo punto recomendábamos cambiar el prefijo de las tablas de WordPress y no utilizar el prefijo predeterminado, “wp_“, para poner las cosas más difíciles a los usuarios malintencionados.
Esto es muy fácil de hacer si estás haciendo una nueva instalación de WordPress, pero como nos decía @Juan en los comentarios, no es tan fácil hacerlo si ya tienes tu blog instalado y en funcionamiento. Es por esto que hoy he querido hablar de WP Prefix Table Changer, un plugin que nos facilitará muchísimo esta tarea.
Uno de los problemas más importantes que se presentarán en tu blog cuando vaya creciendo es el SPAM. El hecho de que WordPress sea un software tan extendido hace que muchos usuarios malintencionados y bots quieran intentar utilizar tu instalación como fuente de enlaces y tráfico hacia sus sitios web. La forma más fácil de evitarlo es utilizando el plugin antispam Akismet, que viene por defecto en tu instalación de WordPress.
Puedes utilizar dicho plugin para protegerte de forma muy sencilla. Para poder usarlo, debes tener una API Key de WordPress, que puedes obtener registrándote en WordPress.com. Vamos a dar por hecho este paso, ya que es fácil registrarse en dicha página. Si alguien tiene alguna duda, que pregunte en los comentarios y responderé sin ningún problema.
Hace un par de semanas hablábamos sobre ¿Cómo saber si nuestro blog está hackeado? y descubrimos diferentes formas, manuales y automáticas, para saber si nuestro blog había sufrido algún tipo de inyección de código malicioso sin nosotros saberlo. Ahora toca ver qué hacer si hemos detectado dicho ataque.
¿Qué hago si ya he detectado que tengo inyección de código?
Lo primero que deberíamos hacer es asegurarnos que el usuario malicioso no ha accedido a nuestro blog usando nuestro usuario de administración. Lo mejor que podemos hacer (tras repasar los consejos de seguridad) es cambiar nuestras contraseñas. Seguidamente, actualizaremos (si no lo tenemos) el WordPress a su última versión.
Tras las comprobaciones iniciales, deberemos eliminar el código de nuestra página web. Es muy probable que el usuario malintencionado sólo haya modificado los archivos de nuestra plantilla, así que lo mejor que podemos hacer es abrir nuestro theme con el editor que nos proporciona WordPress y revisar todos los archivos por si vemos algún texto raro. Habitualmente, se repetirá el mismo texto en casi todos los archivos y casi siempre estará ubicado en la parte final de nuestro archivo. Sólo tenemos que borrar dicho código (¡sin borrar nada más!) y ya tendremos nuestra página arreglada.
No es nada fuera de lo habitual el hackeo de páginas web, y el hecho de que WordPress sea un sistema tan utilizado hace a las personas malintencionadas fijarse en este tipo de software. Es por eso que, si no tienes el blog bien protegido, podría pasarte que lo atacaran.
Muchas veces puedes no enterarte de que te han hackeado el sitio, ya que los usuarios malintencionados sólo muestran enlaces al robot de Google sin que los visitantes “normales” de nuestra web puedan notar nada. Esta técnica es conocida como cloaking.
Una de las formas manuales de detectar que nuestra web ha tenido una inyección de código malicioso es entrar en Google y buscar nuestro propio sitio web. Desde el buscador, accederemos a la caché: éste es el contenido que el buscador ha indexado de nuestra web. Si vemos algo diferente, habitualmente todo de texto que no es nuestro al final de nuestra página, es que hay algún tipo de hackeo.
Una de las muchas funcionalidades interesantes de WordPress son los plugins. Nos permiten ampliar las posibilidades de nuestro blog añadiendo funcionalidades y opciones que WordPress no trae. Aún así, si nos referimos a seguridad, debemos tener cierto cuidado, ya que cualquier plug-in puede introducir bugs de seguridad en nuestra instalación de WordPress.
Es por este motivo que se recomienda, en general, utilizar el mínimo de plugins posibles. Coge tu lista de plugins y pregúntate: ¿este plugin realmente es esencial para mi blog? Todos los plugins nos dan funcionalidades extra, pero seguro que algunos podrías ahorrártelos fácilmente. Y aquellos que sigas queriendo mantener instalados, debes tenerlos actualizados a su ultima versión para ahorrarte problemas.
Tras dos posts sobre seguridad, 1. Consejos básicos: tus contraseñas y 2. Seguridad básica: instalación de WordPress, hoy toca hablar sobre las copias de seguridad. Tu blog empezará con poco contenido y quizá no veas razonable hacer copias de seguridad muy a menudo, pero dentro de unos meses seguro que tendrás muchos posts, páginas, tutoriales, reseñas… lo que sea, que seguro que querrás tener bien guardado.
Habitualmente WordPress no falla, no perdemos datos cuando instalamos plugins o themes, ni cuando actualizamos alguno de sus componentes. No obstante, siempre que hagamos algún cambio importante en nuestro blog deberíamos tener copia de nuestra base de datos y de nuestros archivos de servidor. Un error típico y fácil es hacer copia solamente de la base de datos, y dejarnos sin copiar las imágenes y archivos que tengamos almacenados en nuestro blog.
Hoy seguiremos nuestro tutorial sobre Seguridad en WordPress con el segundo apartado, Seguridad básica: instalación de WordPress. La instalación de WordPress es la base de nuestra seguridad y, aunque es extremadamente fácil de hacer, lo mejor es tomársela con calma y prestar atención a todos sus detalles, que no siempre son tenidos en cuenta.
