Vulnerabilidad del plugin MailPoet compromete la seguridad de miles de WordPress

Jueves, 24 de julio de 2014 |

Comentarios desactivados

wysija mailpoet hacked vulnerability

El causante de la vulnerabilidad de la que hablamos ayer, del ataque masivo de malware a sitios WordPress, se ha descubierto que era el plugin MailPoet, antes conocido como Wysija Newsletter.

En una actualización del blog de Sucuri, sitio especializado en seguridad informática, informan que el plugin MailPoet es la puerta de entrada de los miles de ataques.

Lo peor de todo es que una vez introducido el malware a través de la vulnerabilidad de MailPoet no hace falta que tengas instalado tu mismo el plugin, pues el atacante puede infectar cualquier web, WordPress o no, que comparta servidor con el sitio vulnerable.

Los ataques se inician con el hacker tratando de subir un tema personalizado para MailPoet malicioso al sitio vulnerable:

194.79.195.139 - - [05/Jul/2014:01:41:30 -0700] "POST /wp-admin/admin-post.php?page=wysija_campaigns&action=themes HTTP/1.0" 302 - "http://site.com.com/wp-admin/admin.php?page=wysija_campaigns&id=1&action=editTemplate" "Mozilla/5.0"

Si consigue subir el tema infectado accede a su puerta trasera desde /wp-content/uploads/wysija/themes/mailp/:

194.79.195.139 - - [05/Jul/2014:01:41:31 -0700] "GET /wp-content/uploads/wysija/themes/mailp/index.php HTTP/1.1" 200 12 "Mozilla/5.0"
194.79.195.139 - - [05/Jul/2014:04:08:16 -0700] "GET /wp-content/uploads/wysija/themes/mailp/index.php?cookie=1 HTTP/1.0" 200 12 "-" "Mozilla/5.0 (Windows)"

Y toma el control total del sitio, ahí es nada.

El número de sitios infectados los últimos días ha sido exponencial …

infecciones mailpoet wordpress

La puerta trasera inyectada crea un usuario con derechos de administración denominado 1001001 que, obviamente, habrá que borrar de la base de datos de WordPress, y también injerta código de puerta trasera en todos los archivos del sistema y de los temas, complicando la limpieza del sitio atacado, que pasa la mayoría de las veces por una reinstalación completa de todos los archivos para asegurarse.

Tontería sería solo actualizar el plugin, porque mantendrías la puerta trasera que permite la infección masiva, sino borrar la carpeta del plugin y luego instalar la última versión, la única que no es vulnerable, actualmente la 2.6.9.

Luego, por precaución, o revisas todos los archivos de tu instalación, o recurres a una copia de seguridad limpia o reinstalas todo.

Una vez estés seguro de tener una instalación limpia te recomiendo encarecidamente que asegures tu instalación de WordPress y, sobre todo, seas exhaustivo con las medidas de prevención ante plugins que podrían suponer un riesgo.

Ver artículo completo...

Ataque masivo de “malware” a sitios WordPress

Miércoles, 23 de julio de 2014 |

Comentarios desactivados

malware wordpress

Desde hace un par de días está en marcha un ataque principalmente dirigido contra sitios creados con WordPress cuya intención es romper las webs infectadas e inyectar spam en las mismas.

La web de seguridad Sucuri informa que los objetivos de este ataque son:

  1. Sitios que usen WordPress
  2. Están dirigidos a instalaciones de WordPress con plugins sin actualizar (vulnerables).
  3. Está dirigidos a instalaciones con contraseñas de administrador débiles.

¿Entra tu WordPress en alguno de los puntos anteriores?. Si cumples las condiciones 2 y 3 ya tardas en solucionarlo, antes de recibir ataques de los que fácilmente te podrías librar.

¿Qué hace el malware?

malware wordpress securi

Intenta infectar archivos de la instalación de WordPress, ya sean del núcleo como de plugins y temas, y una manera fácil de detectarlo son errores visibles que se muestran en vez del sitio, como …

Parse error: syntax error, unexpected ‘)’ in /home/user/public_html/site/wp-config.php on line 91

Y el código que inyectan es algo parecido a esta horripilancia … 

<?php $pblquldqei = ’5c%x7824-%x5c%x7824*!|!%x5c%x7824-%x5c%x7824%x5c%x785c%x5c%x7825j…

Ya estoy infectado ¿cómo lo elimino?

Pues la solución no es cómoda pero sí sencilla: reinstala una versión limpia de WordPress y todos los plugins y temas susceptibles, así como de los archivos de configuración de WordPress.

¿Cómo evito ser infectado o atacado?

Pues ya lo hemos visto muchas veces, y la mejor solución pasa por la prevención, instalando algún plugin de seguridad.

Y aprovecho para recordar la guía definitiva para evitar el malware en WordPress, que debes aplicar y guardar en favoritos.

Ver artículo completo...

WordPress 4.0 – La barra de iconos del editor fija aunque hagas scroll

Lunes, 21 de julio de 2014 |

Comentarios desactivados

Una de las novedades de WordPress 4.0 más interesantes de cara al usuario va a ser una de las menos anunciadas pero que más te facilitarán la vida y motivo para que ames aún más WordPress.

Me refiero a que, a partir de WordPress 4.0, cuando escribas un texto largo ya no aparecerá la barra de scroll en el editor TinyMCE integrado en WordPress, con ese efecto tan desagradable e incómodo que supone que si tienes que aplicar algún formato, insertar un enlace o lo que sea, tienes que hacer scroll hacia arriba, perdiendo el foco de tu texto, para pulsar el botón.

Ahora, siguiendo la estela de los diseños adaptables (responsive), cuando bajes para seguir escribiendo toda la pantalla del editor bajará contigo pero sin perder de vista nunca la barra de iconos, que estará siempre disponible para lo que gustes.

Lo mejor es que este comportamiento está disponible tanto en el editor visual como en el de texto.

Aquí la diferencia entre el comportamiento actual y el que tendremos en WordPress 4.0:

Scroll en TinyMCE en WordPress 3.x Scroll en TinyMCE en WordPress 4.x

Personalmente es la novedad de WordPress 4.0 que más me gusta, pues es de esas que disfrutas cada día.

Si aún no has instalado la versión beta puedes probarlo aquí.

Ver artículo completo...

WordPress 4.0 beta 2

Domingo, 20 de julio de 2014 |

Comentarios desactivados

wordpress 4.0 beta 2
Bueno, pues para los que tengan el domingo sin mucha tarea por delante os propongo una: instalar la beta 2 de WordPress 4.0 y seguir probando las novedades de WordPress 4.0 y, sobre todo, avisar de cualquier posible fallo para pulirlos de cara a la versión definitiva, que saldrá a finales de agosto.

Las incorporaciones desde la beta 1 no son muchas, pero ahí están:

Ahí es nada, así que si tienes un sitio para pruebas descárgala de aquí, y sino en este sitio puedes probarla.

Ver artículo completo...

Cambia textos por defecto de WordPress sin tocar una línea de código

Miércoles, 16 de julio de 2014 |

Comentarios desactivados

Ya varias veces hemos visto cómo se cambian textos por defecto de WordPress usando el maravilloso código str_replace pero ¿y si no quieres modificar códigos?

Entonces nada mejor que Say what?, una chulada de plugin que viene a hacer lo mismo pero con una interfaz la mar de sencilla. Simplemente añades el texto a modificar, le das al enlace “Edit” y lo cambias a tu gusto, así puedes pasar …

de esto …  a esto otro …

Simplemente añade una nueva cadena de texto original de WordPress y le pones el nombre que se te ocurra. Más fácil no se puede.

cambiar textos wordpress

Ver artículo completo...

Quitar el contador de compartir de JetPack

Martes, 15 de julio de 2014 |

Comentarios desactivados

jetpack de pega

Si usas JetPack y el módulo de Compartir, que añade iconos desde los que difundir tus publicaciones en las principales redes sociales ya te habrás dado cuenta de que aparece un contador en el botón de cada red indicando la cantidad de veces que se ha compartido.

Algo así …

compartir jetpack contador

Y queda muy bonito y tal, pero ¿y si no quieres que tu sitio haga peticiones de más a los distintos servidores, ralentizando así la carga de tu web?

Pues entonces tendría todo el sentido que no se carguen los contadores, evitando esos molestos y latosos segundos que se pierden en conectarse con Twitter, Facebook o lo que sea para mostrar el número de veces que se ha compartido cada entrada.

Si estás por la labor entonces nada más fácil que añadir la siguiente línea a tu plugin de utilidades o al fichero functions.php de tu tema activo:

add_filter( 'sharing_js', '__return_false' );

Guardas los cambios y dejan de aparecer los contadores y, lo que es más importante, tu sitio no intentará conectarse a todas esas redes y no perderá unos valiosos segundos de carga de tu web.

compartir jetpack sin contador

Visto en el blog de Jeremy

Ver artículo completo...

15 reglas para tener un WordPress a prueba de bombas

Lunes, 14 de julio de 2014 |

Comentarios desactivados

seguridad wordpress

Son ya bastantes las ocasiones en que hemos visto reglas y consejos de seguridad en WordPress, así que creo que va siendo hora de recopilar todos esos trucos y consejos que convertirán tu CMS en un sistema a prueba de bombas y hackers.

  1. Cambia las contraseñas con regularidad: no solo la de WordPress sino también las de acceso FTP, phpMyAdmin e incluso la de acceso al panel de control de tu proveedor de alojamiento. Te puedes ayudar de algún plugin para forzar el cambio de contraseña en WordPress, el resto es cosa tuya. Lo ideal es que cambies tus claves como mínimo cada mes, y siempre uses buenas contraseñas, de al menos doce caracteres que incluyan mayúsculas, minúsculas, números y caracteres especiales.
  2. Asegura la instalación de WordPress: aprovecha los muchos y buenos plugins para asegurar WordPress. Hay muchos y buenos, y encontrar la perfecta combinación hará tu WordPress mucho más seguro.
  3. Actualiza todo: no te fíes de plugins y temas sin actualizar o que llevan mucho tiempo sin tener una revisión por parte del desarrollador. Muchos plugins y temas usan scripts susceptibles de ser hackeados para incluir malware así que empieza por ahí. Una de las ventajas de los temas y plugins premium (de pago) es que el desarrollador adquiere un compromiso de actualización y cuidado por sus clientes, de manera que va actualizando sus productos para que sean seguros. Una opción también segura es probar siempre plugins y temas del repositorio oficial, pues también están sujetos a un proceso de revisión. Por supuesto, JAMÁS descargues temas premium (o no) desde redes P2P por ahorrarte unos pocos euros, ahí te aseguro que en el 99% de las veces te vas a encontrar temas y plugins con código inyectado que te meterán en problemas.
  4. Haz copias de seguridad: SIEMPRE, no dejes al azar el hecho de que una mañana te dispongas a visitar tu Web o blog y descubras que no puedes acceder o que te lo han inyectado de malware. Hay muchos y buenos plugins para hacer copia de seguridad en WordPress, además de las utilidades de copia de los proveedores de alojamiento. Hay incluso utilidades para hacer copia de WordPress en Dropbox.
  5. Limpia la tabla wp_options: esta es una de las tablas de la base de datos más delicada, donde están los ajustes e información de acceso de WordPress, así que limpia esta tabla de todo lo que sobre habitualmente.
  6. Cambia de ruta del fichero wp-config.php y la carpeta wp-content: desde hace ya varias versiones que es posible cambiar la ruta del archivo wp-config.php y la carpeta wp-content. El fichero wp-config. php es uno de los más peligrosos pues contiene la información de acceso a tu base de datos. La carpeta wp-content contiene los plugins, el tema que usas y muchos ficheros de configuración de plugins y scripts, además de cachés, así que es buena idea eliminar las rutas de acceso obvias para evitar miradas indiscretas.
  7. Protege el archivo .htaccess: otro de los archivos vitales de cualquier instalación, que contiene ajustes y rutas de todo tipo, que además se carga antes que todo lo demás, es el fichero de Apache .htaccess. Así que no está de más protegerlo.
  8. Usa el archivo .htaccess como protección extra: si ya has protegido el mismo fichero .htaccess puedes proteger WordPress desde el archivo .htaccess con una buena cantidad de instrucciones que te evitarán más de un disgusto.
  9. No des información gratuita: evita a toda costa etiquetas «meta» y HTML que informen de la versión de WordPress, elimina el archivo readme.html, borra el fichero wp-admin/install.php y cualquier otro que facilite información sobre tu instalación de WordPress.
  10. Cambia las rutas de acceso a WordPress: otro modo de entorpecer los accesos automáticos es cambiar las rutas de acceso habituales de WordPress. Por si solo no es el no va más de la seguridad pero evita, una vez infectado, acciones automáticas de scripts de código malicioso, que normalmente actúan sobre las rutas predefinidas por WordPress.
  11. Limita los intentos de acceso: otro modo de evitar automatizaciones del malware es limitar los intentos de acceso fallidos. Para esto tienes unos cuantos buenos plugins.
  12. Vigila cambios en archivos de WordPress: te puedes ayudar de fantásticos plugins para vigilar cambios en los ficheros de WordPress que podrían significar una inyección de código.
  13. Configura alertas de seguridad: hay muchos servicios Web que ofrecen sistema de alertas que te avisan si tu sitio está comprometido por malware o inyecciones de código. Muchos son gratuitos y bastante competentes así que date de alta en alguno, mejorarán tu control de la seguridad de WordPress.
  14. Crea una cuenta en Google Webmaster Tools: las herramientas para Webmasters de Google, además de avisarte de las actualizaciones de WordPress te informarán de inyecciones de código y como eliminarlas, además de que es el lugar donde retirar los avisos de sitio malicioso, que espero que tras estos consejos no veas nunca en una Web tuya (https://www.google.com/webmasters/tools/).
  15. Visita a diario Ayuda WordPress.

Y sobre todo recuerda que WordPress es seguro.

Ver artículo completo...

15 reglas para tener un WordPress a prueba de bombas

Lunes, 14 de julio de 2014 |

Comentarios desactivados

seguridad wordpress

Son ya bastantes las ocasiones en que hemos visto reglas y consejos de seguridad en WordPress, así que creo que va siendo hora de recopilar todos esos trucos y consejos que convertirán tu CMS en un sistema a prueba de bombas y hackers.

  1. Cambia las contraseñas con regularidad: no solo la de WordPress sino también las de acceso FTP, phpMyAdmin e incluso la de acceso al panel de control de tu proveedor de alojamiento. Te puedes ayudar de algún plugin para forzar el cambio de contraseña en WordPress, el resto es cosa tuya. Lo ideal es que cambies tus claves como mínimo cada mes, y siempre uses buenas contraseñas, de al menos doce caracteres que incluyan mayúsculas, minúsculas, números y caracteres especiales.
  2. Asegura la instalación de WordPress: aprovecha los muchos y buenos plugins para asegurar WordPress. Hay muchos y buenos, y encontrar la perfecta combinación hará tu WordPress mucho más seguro.
  3. Actualiza todo: no te fíes de plugins y temas sin actualizar o que llevan mucho tiempo sin tener una revisión por parte del desarrollador. Muchos plugins y temas usan scripts susceptibles de ser hackeados para incluir malware así que empieza por ahí. Una de las ventajas de los temas y plugins premium (de pago) es que el desarrollador adquiere un compromiso de actualización y cuidado por sus clientes, de manera que va actualizando sus productos para que sean seguros. Una opción también segura es probar siempre plugins y temas del repositorio oficial, pues también están sujetos a un proceso de revisión. Por supuesto, JAMÁS descargues temas premium (o no) desde redes P2P por ahorrarte unos pocos euros, ahí te aseguro que en el 99% de las veces te vas a encontrar temas y plugins con código inyectado que te meterán en problemas.
  4. Haz copias de seguridad: SIEMPRE, no dejes al azar el hecho de que una mañana te dispongas a visitar tu Web o blog y descubras que no puedes acceder o que te lo han inyectado de malware. Hay muchos y buenos plugins para hacer copia de seguridad en WordPress, además de las utilidades de copia de los proveedores de alojamiento. Hay incluso utilidades para hacer copia de WordPress en Dropbox.
  5. Limpia la tabla wp_options: esta es una de las tablas de la base de datos más delicada, donde están los ajustes e información de acceso de WordPress, así que limpia esta tabla de todo lo que sobre habitualmente.
  6. Cambia de ruta del fichero wp-config.php y la carpeta wp-content: desde hace ya varias versiones que es posible cambiar la ruta del archivo wp-config.php y la carpeta wp-content. El fichero wp-config. php es uno de los más peligrosos pues contiene la información de acceso a tu base de datos. La carpeta wp-content contiene los plugins, el tema que usas y muchos ficheros de configuración de plugins y scripts, además de cachés, así que es buena idea eliminar las rutas de acceso obvias para evitar miradas indiscretas.
  7. Protege el archivo .htaccess: otro de los archivos vitales de cualquier instalación, que contiene ajustes y rutas de todo tipo, que además se carga antes que todo lo demás, es el fichero de Apache .htaccess. Así que no está de más protegerlo.
  8. Usa el archivo .htaccess como protección extra: si ya has protegido el mismo fichero .htaccess puedes proteger WordPress desde el archivo .htaccess con una buena cantidad de instrucciones que te evitarán más de un disgusto.
  9. No des información gratuita: evita a toda costa etiquetas «meta» y HTML que informen de la versión de WordPress, elimina el archivo readme.html, borra el fichero wp-admin/install.php y cualquier otro que facilite información sobre tu instalación de WordPress.
  10. Cambia las rutas de acceso a WordPress: otro modo de entorpecer los accesos automáticos es cambiar las rutas de acceso habituales de WordPress. Por si solo no es el no va más de la seguridad pero evita, una vez infectado, acciones automáticas de scripts de código malicioso, que normalmente actúan sobre las rutas predefinidas por WordPress.
  11. Limita los intentos de acceso: otro modo de evitar automatizaciones del malware es limitar los intentos de acceso fallidos. Para esto tienes unos cuantos buenos plugins.
  12. Vigila cambios en archivos de WordPress: te puedes ayudar de fantásticos plugins para vigilar cambios en los ficheros de WordPress que podrían significar una inyección de código.
  13. Configura alertas de seguridad: hay muchos servicios Web que ofrecen sistema de alertas que te avisan si tu sitio está comprometido por malware o inyecciones de código. Muchos son gratuitos y bastante competentes así que date de alta en alguno, mejorarán tu control de la seguridad de WordPress.
  14. Crea una cuenta en Google Webmaster Tools: las herramientas para Webmasters de Google, además de avisarte de las actualizaciones de WordPress te informarán de inyecciones de código y como eliminarlas, además de que es el lugar donde retirar los avisos de sitio malicioso, que espero que tras estos consejos no veas nunca en una Web tuya (https://www.google.com/webmasters/tools/).
  15. Visita a diario Ayuda WordPress.

Y sobre todo recuerda que WordPress es seguro.

Ver artículo completo...
Artículos Anteriores