Hemeroteca de Tags | "Seguridad"

¿Es realmente WordPress más seguro cambiando el prefijo de la base de datos?

Jueves, 23 octubre, 2014

Comentarios desactivados

Uno de los consejos más habituales que se dan (yo también) sobre seguridad en WordPress es no usar el prefijo por defecto de WordPress para las tablas de la base de datos pero ¿de verdad este cambio mejora la seguridad de WordPress? Ya sea desde la instalación o a posteriori (ver enlace del párrafo anterior), usar un prefijo distinto para las tablas de la base de datos es un consejo básico de seguridad en WordPress para evitar inyecciones SQL. Como ya sabrás, WordPress por defecto usa el prefijo wp_nombretabla pero ¿realmente es una mejora de seguridad usar otro como mistablas_nombretabla? … Sigue leyendo que hay más →

Sigue leyendo...

Ocultar que tu sitio está creado con WordPress

Lunes, 6 octubre, 2014

Comentarios desactivados

Hay múltiples razones por las que alguien quiera ocultar el hecho de que un sitio esté creado con WordPress, pero para mi la única es la seguridad, pues es tan popular que suele ser objetivo de los hackers, y nunca está de más ponérselo complicado. Afortunadamente es relativamente sencillo ocultar el hecho de que un sitio está hecho con WordPress, así que vamos a ver algunos modos de conseguirlo, luego tú aplicas los que más te gusten o sirvan. Eliminar la categoría de la URL Una de las evidencias de que un sitio está hecho con WordPress es el /category/ … Sigue leyendo que hay más →

Sigue leyendo...

WPScan, base de datos de vulnerabilidades WordPress

Jueves, 2 octubre, 2014

Comentarios desactivados

Acaba de salir a la luz un proyecto desde el que avisar y en el que revisar vulnerabilidades de WordPress, sus temas y plugins. A través de la web WPScan puedes avisar de cualquier vulnerabilidad que encuentres en temas, plugins o el mismo WordPress, o revisar las ya existentes y comprobar de qué se tratan para tener información de gran valor para tu web. El proyecto, desarrollado en Ruby, ha partido de una serie de desarrolladores, pero puedes participar en el escaner de vulnerabilidades en su página de github. El sistema, aunque no sustituye – ni debe hacerlo – al … Sigue leyendo que hay más →

Sigue leyendo...

TimThumb abandonado

Viernes, 26 septiembre, 2014

Comentarios desactivados

El célebre script de recorte de imágenes TimThumb, masivamente utilizado por temas y plugins, ha sido abandonado por su desarrollador, pasando a la ya célebre lista de abandonware. No carente de culpa por los distintos exploits que ha sufrido este script, estupendo por otra parte, el autor ha decidido abandonar su desarrollo y soporte, y recomienda a desarrolladores de plugins y temas que dejen de utilizarlo. Si usas algún tema o plugin que lo use “anima” a su desarrollador a que utilice algún método alternativo, pues si ya hasta ahora TimThumb era vulnerable no digamos una vez abandonado el desarrollo … Sigue leyendo que hay más →

Sigue leyendo...

Vulnerabilidad en el plugin Disqus: encontrada y solucionada

Viernes, 15 agosto, 2014

Comentarios desactivados

Hace ya unos meses que un investigador descubrió vulnerabilidades en el plugin de Disqus para WordPress que, afortunadamente, ya han sido solucionadas. Nik Cubrilovic, que es como se llama el buen samaritano, descubrió hasta tres posibles fallos graves en el plugin. El problema más gordo era un fallo que podría permitir una petición cruzada (XSS) en el fichero “Manage.php” del plugin, utilizado para los ajustes del mismo. El problema es que había parámetros sin el filtrado necesario que impidiese a un atacante inyectar un exploit. Para demostrarlo, el investigador de seguridad creó un exploit de ejemplo y lo probó en … Sigue leyendo que hay más →

Sigue leyendo...

Problemas de acceso a WordPress.com por bloqueo de IPs

Domingo, 10 agosto, 2014

Comentarios desactivados

En las últimas horas se está informando de multitud de usuarios que no pueden acceder a sus blogs alojados en WordPress.com. El problema parece estar motivado porque WordPress.com ha bloqueado las IPs del proveedor de servicios (ISP) Sky Network, que gestiona tráfico desde Europa hacia los EEUU y otros países. Esto ha sido debido a que WordPress.com ha detectado IPs, provenientes de ese proveedor, que podrían constituir un peligro para sus servidores, así que han bloqueado a todo el ISP, al menos de momento. Así que si no puedes acceder a tu blog o incluso a todo WordPress.com puede que … Sigue leyendo que hay más →

Sigue leyendo...

WordPress 3.9.2, actualización de seguridad

Miércoles, 6 agosto, 2014

Comentarios desactivados

Si tienes activas las actualizaciones automáticas en segundo plano ya debes tener instalada la versión 3.9.2 de WordPress, una actualización de seguridad. Esta actualización soluciona importantes fallos de seguridad, y de paso ha supuesto la primera ocasión en que el equipo de seguridad de WordPress ha trabajado de la mano con el equipo de seguridad de Drupal para solucionarlos, una buena práctica en la que ganamos todos. En concreto, esta versión incorpora estos parches: Soluciona la posibilidad de denegación de servicio al procesar XML PHP en XML-RPC Arregla una posible, aunque improbable,  posibilidad de ejecutar código al procesar widgets. Evita … Sigue leyendo que hay más →

Sigue leyendo...

Link Shield, protección contra la Tasa Google

Jueves, 31 julio, 2014

Comentarios desactivados

El próximo septiembre se comenzará a aplicar el canon conocido como Tasa Google. En lo que consiste es que si se enlaza una web dando algo de información sobre lo que hay en ella (resumen o mención), hay que pagar una tasa. En el caso en que no se pagara la tasa, podrían llegar a sancionarte con una multa que podrá ir desde los 300€ a los 30.000€. En la teoría, ninguna página española que sea enlazada, puede renunciar a cobrar esta tasa, pero ¿cuál es el problema? Que solo los miembros de AEDE y CEDRO se repartirán los beneficios. … Sigue leyendo que hay más →

Sigue leyendo...