Para empezar bien el año nada mejor que conocer varias maneras de mantener bien seguro nuestro WordPress. Para ello he realizado una selección de plugins que ayudarán a tener un WordPress seguro.

Antes de entrar en detalles, debes tener en cuenta siempre estas recomendaciones básicas:

1. Mantener WordPress actualizado a la última versión, única garantía de control de vulnerabilidades conocidas.
2. Instalar solamente plugins seguros, a ser posible desde el repositorio oficial.
3. Instalar solamente temas seguros, a ser posible desde el repositorio oficial.
4. Revisar la sección de seguridad de Ayuda WordPress para comprobar que has realizado todas las acciones de seguridad necesarias.
5. Suscribirte al feed de Ayuda WordPress para estar informado de las alertas de seguridad.

1. Bulletproof security

Este plugin ofrece un entorno de seguridad muy completo, protegiendo tu WordPress de inyecciones de código XSS, RFI, CSRF, Base64, así como de intenteos de hacheo por inyección SQL.

También hace comprobaciones de seguridad del prefijo de la base de datos, seguridad del fichero wp-config.php así como de las carpetas del núcleo de WordPress y ficheros .htaccess.

Es de los más completos, incluyendo además un editor de archivos de sistema.

2. WP Security scan

Antes de empezar realiza un análisis de tu instalación y te ofrece sugerencias para cambiar lo siguiente:

1. Contraseñas
2. Persmisos de archivos y carpetas
3. Seguridad de la base de datos
4. Ocultar la versión de WordPress
5. Protección de la administración de WordPress
6. Quitar información del generador WordPress en el código de tu tema y de los ficheros “core”

Bastante completo, aunque no tanto como el anterior.

3. 6Scan Security

Es una de mis más recientes descubrimientos y me ha sorprendido gratamente.

6Scan hace un escaneo de tu WordPress para tratar de descubrir vulnerabilidades de seguridad – conocidas o no – y tratar de solucionarlas de manera automática.

Sus virtudes y funcionalidades son las siguientes:

• Patrol: El escaner Patrol de 6Scan imita las acciones de un hacker tratando de acceder e infectar tu sitio. Cada página, formulario y script de tu sitio es revised para detectar puntos débiles que puedan, potencialmente, convertirse en agujeros de seguridad. Patrol encuentra y te protege de:
  • Inyecciones SQL
  • Cross-Site Scripting (XSS)
  • Redirecciones de directorios
  • Insercciones de ficheros remotos
  • Y mucho más.
• Bodyguard: Este módulo actúa en tu servitor para tratar de solucionar todas las vulnerabilidades de seguridad encontradas por Patrol.
• Actualizaciones constantes: Algo vital en un software de seguridad.
• Instala y olvida: una vez instalas 6Scan Security no hay que hacer más, el se ocupa de mantener el sitio protegido.
• Invisible: 6Scan Security no afecta al rendimiento del sitio ni interfiere con su funcionamiento normal.

4. WP Secure

Uno de los plugins más veteranos, pero no por ello menos eficiente. Realiza 23 comprobaciones de seguridad en WordPress, y solo tienes 2 ventanas, una primera que te informa de las acciones de seguridad a realizar y otra que procesa todas las acciones para asegurar tu WordPress a tope.

El diseño de la administración del plugin deja mucho que desear pero funcionar funciona perfecto.

5. Ultimate security checker

Otro plugin veterano que hace bien lo que promete. Realiza comprobaciones de ficheros del núcleo de WordPress, así como de distintas vulnerabilidades conocidas.

Con una interfaz espartana hace bien su trabajo. Como “plus”, ofrece en la barra de admin un identificador de los puntos de seguridad de tu sitio, a modo de recordatorio de que puedes hacer algún arreglo para mejorar la seguridad.

Eso si, no ofrece interfaz para solucionar los errores sino enlaces para saber como hacerlo manualmente, quizás su mayor pega.

6. htaccess secure files

Este plugin funciona de manera especializada sobre los ficheros multimedia de WordPress, permitiendo que solo usuarios con determinado perfil, capacidades o IP puedan acceder a los archivos que tu definas.

Para ello crea un fichero .htaccess en la carpeta de cada archivo protegido, que restringe el mismo a los usuarios o roles que hayas definido anteriormente.

Lo mejor es que puedes definir reglas generales en los ajustes del plugin o en cada fichero, al editar cada archivo de la Librería Multimedia de WordPress.

Especializado pero muy completo.

7. WP plugin security check

Este es uno de mis imprescindibles, pues comprueba la parte más débil de nuestra instalación: los plugins de terceros.

Y es que el mayor agujero negro para cualquier instalación de WordPress son los plugins, y este sistema en concreto analiza cada plugin instalado para comprobar si contiene agujeros de seguridad o malas prácticas de programación que puedan comprometer tu instalación de WordPress.

8. Better WP Security

Muy similar a WP Secure, realiza las comprobaciones habituales para asegurar la instalación de WordPress. Una de las funcionalidades que más me gustan es el límite de intentos de acceso, bloqueando la IP del usuario “olvidadizo” o atacante.

Muy completo y actualizado, funcionando también en instalaciones Multisitio.

9. Secure WordPress

Quizás uno de los más utilizados, por la gran cantidad de comprobaciones que hace y por su integración. Es muy completo, como una suite de seguridad que mantiene tu WordPress seguro.

Además de todos los escaneos que realizan algunos de los anteriores también revisa queries que pueden comprometer tu WordPress.

10. WP login security

Si eres muy estricto con el acceso a la administración de tu WordPress WP login security te va a encantar.

Puedes – o no – crear una lista blanca de IPs que pueden accede a tu sitio y, en cada acceso, el sistema comprueba si la IP del usuario que trata de acceder está en esa lista blanca y, en caso contrario, manda un email al administrador del intento de acceso, bloqueándolo entretanto.

Si no has creado una lista blanca el sistema pregunta al Admin si permite el acceso, y recuerda la IP del usuario permitido para próximos accesos.

11. AskApache Password protect

Para locos por la seguridad, este plugin actúa como un muro de contención para cualquier tipo de ataque a tu WordPress pero sin tocar WordPress o su base de datos.

En su lugar usa la autentificación HTTP básica o, a tu elección, la autentificación HTTP Digest, que eliges en los ajustes del plugin.

Lo mejor de AskApache Password Protect es que actúa antes de llegar a tu WordPress, por lo que mantiene libres de accesos indeseados, incluso de spam, tu WordPress.

12. WangGuard

Un viejo conocido del blog, este plugin creado por Jose Conti elimina los indeseables Splogs de nuestra instalación de WordPress multisitio.

En la última versión ha mejorado enormemente su motor de detección, haciendo de este plugin un imprescindible en cualquier BuddyPress y WordPress multisitio, y tan completo que la lista de funcionalidades – incluidas estadísticas – es prácticamente eterna.

13. Private WordPress accesss control

Si quieres controlar el acceso a tu WordPress, o a partes del mismo, este es tu plugin. Desde su pantalla de ajustes puedes controlar que perfiles accederán a categorías, páginas, entradas, tags o incluso feeds.

Muy completo y personalizable.

14. Login lock

Este es otro de mis imprescindibles. Y es que si quieres que WordPress gestione los accesos de administración de manera profesional en este plugin encuentras todo lo necesario.

Puedes controlar los accesos por …

• Límite de tiempo entre intentos de acceso
• Cantidad de intentos de acceso
• Obligar al cambio de contraseña tras un tiempo determinado
• Definir un mínimo de caracteres para las contraseñas
• Exigir contraseñas seguras (con números, letras y caracteres adicionales)
• Evitar contraseñas repetidas
• Forzar el “logout” tras un tiempo definido

Muy completo y fácilmente personalizable en la pantalla de ajustes del plugin. Como te digo, imprescindible si tienes un sitio con muchos usuarios registrados o eres exigente con la seguridad.

15. Antivirus

Ninguna guía de seguridad estaría completa sin un buen antivirus, y WordPress también tiene plugin de antivirus, y bastante completo.

Antivirus realiza comprobaciones de manera habitual, y por supuesto nada más instalarse, en los archivos de tu tema, plugins y base de datos, para encontrar posibles inyecciones maliciosas y limpiarlas.

Si lo deseas, también te envía email con los resultados de la comprobación diaria, y hasta te ofrece alertas antivirus en la barra de Admin.

Bueno, y hasta aquí mis recomendaciones. También te dejo con una lista secciones de artículos de seguridad que he publicado anteriormente, que completarán tu guía de seguridad WordPress:

• Categoría Seguridad
• Etiqueta Seguridad
• Etiqueta htaccess

Y si se te ocurre algo más ahí tienes los comentarios para ampliar la guía.

Artículos Relacionados:

• ¡No más contraseñas en WordPress!
• WordPress como herramienta contra la censura
• Hotfix, parcheando WordPress con estilo
• Cambiar las URLs de acceso y administración de WordPress
• VaultPress ahora disponible para multisitio

Según el blog de Unmask Parasites, más de 4.000 sitios WordPress hackeados estarían inundando de imágenes utilizadas para posicionar sitios de falsos antivirus.

Lo que hacen estos indeseables del Black Hat SEO, usando el exploit en Timthumb del que avisé, es lo siguiente …

Con el siguiente patrón de URL: hxxp:///?[a-f]{3}= , donde [a-f]{3} es una combinación de tres letras desde la "a" a la "f" y las son combinaciones de palabras clave separadas por guiones que contienen o imágenes de palabras o imágenes normales, por ejemplo:

hxxp://ejemplo.com/?fef=imágenes-de-mitzi-mueller-wrestling
hxxp://ejemplo.net/?cda=imagen-frutas-tropicales-index

Para ello usan páginas con puerta trasera que introducen en plantillas normales de sitios WordPress, donde el contenido original se reemplaza con unas veinte miniaturas y pequeños bloques de texto relativos a las palabras clave a posicionar.

Las imágenes no están enlazadas desde sitios externos sino que enlazan a imágenes a "tamaño completo" con URLs como estas:

Por ejemplo:

En la parte superior de las imágenes se muestra una inscripción - el nombre de dominio del sitio hacheado. De este modo los indeseables estos hacen parecer que las imágenes pertenecen al sitio que han hackeado, como si fuera contenido propio, no imágenes insertadas o robadas. Al mismo tiempo, de este modo, es más fácil identificar la imagen envenenada en los resultados de búsqueda.

Los archivos de imágen contienen la siguiente cadena en su interior: < CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 100. Esto significa que se crearon usando la biblioteca gráfica GD.

Parece ser que los hackers usan un script PHP para coger imágenes bien posicionadas (en los resultados de búsqueda de Google Imágenes), las redimensionan a tamaño de miniatura (un ancho de entre 200 y 300 pixels) y a tamaño completo (algunas a tamaño aleatorio, en algunos casos incluso a tamaños mayores que la original, para posicionarlas mejor al ser más grandes en pixels) y finalmente añaden el sello del nombre del dominio hackeado.

Marcas temporales

Al fondo del código HTML de las páginas puerta trasera puedes ver comentarios como estos:

La marca temporal y las palabras clave. De este modo puedes fácilmente ver cuando se creó la puerta trasera.

Redirecciones

Las páginas puerta trasera tienen buenas posiciones en algunas palabras clave tanto en la búsqueda web de Google como en la de Imágenes (especialmente cuando buscas la frase exacta). Sin embargo, las redirecciones maliciosas ocurren solamente cuando haces clic en el resultado de búsqueda en Google Imágenes, lo que prueba que la meta final es inundar Google Imágenes de estas imágenes, o sea, una campaña pura y dura de black-hat SEO.

La redirección tiene dos etapas. En la primera la redirección va a un servidor intermedio (TDS) que, a continuación, redirige a unas páginas web que lanzan una herramienta antivirus falsa (hay dos variaciones diferentes).

Esta es una cadena real de redirección:

Como puedes ver, el servidor TDS recibe información acerca de las palabras clave, la fuente, y de la URL de referencia.

El dominio intermedio cambia cada día. En realidad pertenecen a otros sitios hackeados (en su mayoría creados con WordPress)

Aquí tienes unos cuantos dominios del TDS intermedio usados en este ataque:

video.bywhy .com
ppopo2.bget .ru
awalstudios .com
demo.hireindians .net
www.privatepilot .hu
footballgirdles .tk

El nombre de dominio de la página web del falso antivirus consiste en un dominio .in que cambia cada día, y unos cuantos subdminios "updateNN" o "scanNN", por ejemplo, "update82.yourscan.in" o "scan73.moomles.in.

Aquí tienes unos cuantos dominios .in de los falsos sitios antivirus usados en este ataque:

spelleit .in
svernick .in
senerino .in
moomles .in
klopster .in
bastandro .in
waspeeds .in
yourscan .in
x-scan .in

La mayoría de los sitios .in apuntan a la dirección IP 193.105.154.31 (Reino unido, con información de contacto de Lituania).

Rango de detección

Los falsos sitios antivirus lanzan ejecutables .exe "scareware" con nombres como InstallSecurityScanner_NNN.exe, o
InstallSecurityScanner_225.exe. Estos archivos se vuelven a re-empaquetar cada día y su rango de detección (según VirusTotal) es bastante bajo. El rango típico de detección para ficheros servidos actualmente es de 8/43 (18,6%). Esto suele mejorar en tanto en cuanto el fichero malicioso no se use y se sirva un nuevo fichero con bajo rango de detección desde el servidor del antivirus.

Como he comentado arriba, y por concretar más, se han detectado 4.358 sitios comprometidos. Actualmente Google ha detectado menos del 5% de los mismos. Si usas la página de diagnóstico de navegación segura de Google te dice algo así:

El software malicioso está alojado en 2 dominio(s), incluyendo bastandro .in/, senerino .in/.

Parece que 3 dominio(s) están funcionando como intermediarios para distribuir malware a los visitantes de este sitio, incluyendo hireindians .net/, awalstudios .com/, bywhy .com/.

Timthumb

Como ya avisé hace unos días, hay que poner al día Timthumb si lo usa tu tema, no hay excusas, más visto lo visto de los resultados ¿no te parece?

.htaccess

Pero no solo Timthumb es el culpable, también se han detectado sitios en los que hackers han creado un .htaccess con reglas de rewrite superiores al directorio raíz del sitio. Las reglas de rewrite mapean las URLs puerta trasera a algún script PHP. Ahí es nada.

Cache

Todas las páginas puerta trasera están cacheadas en alguna parte del servidor. Al contrario que otros ataques de envenamiento SEO estos no se hacen en vivo. Si especificas algunas palabras clave diferentes en la URL obtendrás un error 404. Dicho sea de paso, estas páginas de error 404 son distintas a las normales que tenga el sitio hackeado.

Otra prueba de que el contenido spam está cacheado y de que no se inyecta en la ejecución de páginas activas de WordPress son las marcas temporales en el fondo del código HTML y de las entradas antiguas de la sección de "Entradas recientes". En algunos sitios, en vez de una plantilla real del sitio, usan una plantilla prefabricada de Kubrick con una marca final que no cambia de sitio a sitio sino que es siempre la misma (WordPress 2.3.1, 22 queries, 0.912 seconds).

¿Que hago?

Hay varias comprobaciones y/o acciones que podemos realizar:

1. Pues lo primero repasar tu fichero .htaccess y elimina cualquier regla de rewrite que no sepas que hace. Ante la duda bórralo y vuelve a guardar la estructura de enlaces permanentes en los Ajustes de WordPress para que se vuelva a crear uno limpio.
2. Actualiza TimThumb a la versión segura. Ya te he puesto los enlaces a las maneras de hacerlo más arriba, en la entrada que escribí el otro día tienes los distintos modos de hacerlo
3. Ve a las Herramientas para Webmasters de Google y revisa si tu sitio tiene software malicioso
4. Instala algún plugin detector de exploits y ejecútalo. Hay varios y buenos "en el repositorio oficial", haz una búsqueda por "exploit"

Que no sea nada

Gracias a Juan por el aviso

Artículos Relacionados:

• Añadir rel=”author” y rel=”me” en WordPress
• Consejos para elegir palabras clave de calidad sin herramientas de investigación
• ¡No más contraseñas en WordPress!
• WordPress como herramienta contra la censura
• Añadir paginación a las entradas

No contento con tamaña barbaridad también ha propuesto la creación de una especie de Interpol de la Red que vigilara los usos de la Web, de hecho ha declarado que estaría dispuesto a transigir con su privacidad si así consiguiera eliminar el spam y los virus.

Vamos a ver, querido Eugene, ¿te parece que ganas poco con tus aplicaciones de Antivirus como para hacer campaña gratuita a los poderes fácticos que buscan poner cerco a Internet?. En este tipo de declaraciones hay gente como el señor Kaspersky que, a pesar de vivir de la red, olvidan algo fundamental, y es que no se puede demonizar un medio por el uso que se haga del mismo. Y siempre atacan al mismo medio.

Empiezo a estar un poquito harto del trato que se da a Internet por parte de los medios tradicionales, donde solo es noticia cuando hay algo malo que decir de la red. Y ahora, este impresentable a sueldo de alguna agencia de control social, algún ThinkTank de esos que tan de moda están – porque sino no se explica – viene a meter mas miedos y hacer suyas las propuestas que los gobiernos de varios países han lanzado desde hace años para intentar controla la red.

Casi es mas flagrante la propuesta de obligar a instalar antivirus (adivina la marca) por parte de este señor y otros cuantos amiguetes del mismo negocio, forzando a instalar una especie de máquinas virtuales en las cuales la información estuviera como enjaulada … para proteger al usuario de ataques indeseados.

¡Atención, señor Kaspersky!. Utilizo Mac, un sistema operativo seguro, en el que no necesito – ni utilizo – software antivirus desde hace años y NUNCA me ha infectado ningún virus ni troyano. Hay miles de usuarios que, como yo, utilizan Mac OS X y distribuciones de Linux que tampoco requiren de sus no-altruistas servicios y “opiniones”.

Así que mejor que venda su producto pero que nos deje a los usuarios en paz y libres de sus teorías opresoras, solo comprensibles en una mente controladora y dictatorial … como la suya.

¡Lo que hay que leer!

Artículos Relacionados:

• 15 maneras de asegurar WordPress
• “La muerte es el destino que todos compartimos” Steve Jobs, descanse en paz
• Convierte de texto a voz tus entradas
• Convierte de texto a voz tus entradas
• De iWeb a WordPress