Hemeroteca de Tags | "Seguridad"

15 reglas para tener un WordPress a prueba de bombas

Lunes, 14 julio, 2014

Comentarios desactivados

Son ya bastantes las ocasiones en que hemos visto reglas y consejos de seguridad en WordPress, así que creo que va siendo hora de recopilar todos esos trucos y consejos que convertirán tu CMS en un sistema a prueba de bombas y hackers. Cambia las contraseñas con regularidad: no solo la de WordPress sino también las de acceso FTP, phpMyAdmin e incluso la de acceso al panel de control de tu proveedor de alojamiento. Te puedes ayudar de algún plugin para forzar el cambio de contraseña en WordPress, el resto es cosa tuya. Lo ideal es que cambies tus claves … Sigue leyendo que hay más →

Sigue leyendo...

15 reglas para tener un WordPress a prueba de bombas

Lunes, 14 julio, 2014

Comentarios desactivados

Son ya bastantes las ocasiones en que hemos visto reglas y consejos de seguridad en WordPress, así que creo que va siendo hora de recopilar todos esos trucos y consejos que convertirán tu CMS en un sistema a prueba de bombas y hackers. Cambia las contraseñas con regularidad: no solo la de WordPress sino también las de acceso FTP, phpMyAdmin e incluso la de acceso al panel de control de tu proveedor de alojamiento. Te puedes ayudar de algún plugin para forzar el cambio de contraseña en WordPress, el resto es cosa tuya. Lo ideal es que cambies tus claves … Sigue leyendo que hay más →

Sigue leyendo...

Nuevo error de seguridad en TimThumb

Miércoles, 25 junio, 2014

Comentarios desactivados

Si tu tema (o algún plugin) utiliza el script TimThumb, y son legión, tengo otra mala noticia: acaba de detectarse una vulnerabilidad del tipo “zero day” en el mismo. La nueva vulnerabilidad detectada permitiría a cualquier atacante crear, mover o borrar archivos en tu servidor con un solo comando, ahí es nada. El problema está en el módulo denominado “webshot” del script, y se recomienda que, hasta que salga un parche, identifiques la siguiente línea en el archivo timthumb.php: y la cambies a …

Sigue leyendo...

Limitar el acceso a WordPress por países

Martes, 10 junio, 2014

Comentarios desactivados

Uno de los modos más habituales de intento de hackeo que podemos sufrir en WordPress es el ataque por fuerza bruta, intentando acceder a nuestra administración de manera masiva. Parece lógico, en consecuencia, limitar el acceso masivo, y para eso hay muchos plugins que permiten evitar accesos masivos o incluso bloquear el acceso durante un tiempo determinado. Pero, teniendo en cuenta que este tipo de ataques suelen provenir siempre de los mismos países ¿no sería una buena estrategia limitar el acceso para que solo esté permitido a visitantes de ciertos países? Además, esta utilidad no solo sería interesante para parar … Sigue leyendo que hay más →

Sigue leyendo...

Cookies inseguras permiten hackear las cuentas de WordPress.com

Jueves, 29 mayo, 2014

Comentarios desactivados

Aviso a navegantes: si te conectas a tu web desde una WiFi abierta, aunque lo hagas mediante la identificación en dos pasos, cualquier hacker novato puede secuestrar tu sitio alojado en WordPress.com. Esto es posible debido a que los servidores de WordPress.com envían al navegador la cookie de las contraseñas en texto plano, sin encriptar, como sería deseable. La cookie, denominada como “wordpress_logged_in“, se define cuando un usuario introduce un nombre y contraseña válidos en WordPress.com, y es un pase permanente a tu sitio ya que cualquiera que capture la cookie podrá acceder a tu cuenta de WordPress.com y hacer … Sigue leyendo que hay más →

Sigue leyendo...

Heartbleed, el mayor fallo de seguridad de la historia de Internet: qué es y qué hacer para asegurar WordPress

Lunes, 12 mayo, 2014

Comentarios desactivados

Si estás en este mundo ya sabrás que hace poco más de un mes se descubrió un fallo enorme que afecta a más del 66% de todo Internet: el bug Heartbleed. :: ¿Qué es Heartbleed? :: De hecho, Heartbleed está considerado el mayor fallo de seguridad en Internet de toda la historia, pues afecta al software Open SSL, el más utilizado en servidores Apache y NGinx desde 2012 para ofrecer páginas de conexión segura (la ironía está servida). Así que tu red social, tu tienda de comercio electrónico, hasta la web donde haces la compra del supermercado podrían ser vulnerables … Sigue leyendo que hay más →

Sigue leyendo...

Roban dinero de tarjetas de crédito de usuarios de WooThemes

Viernes, 9 mayo, 2014

Comentarios desactivados

Si eres usuario de WooThemes, si has comprado alguna vez algún tema y has utilizado su pasarela de pago con tarjetas de crédito lee atentamente. Hace unos días varios usuarios reclamaron a WooThemes a través del canal de soporte que les había desaparecido dinero de sus cuentas bancarias mediante uso fraudulento de la información de sus tarjetas de crédito. En un caso el desaguisado fue de nada menos que 10.000$, y otro de los denunciantes especificó claramente que su tarjeta de crédito solo la había utilizado en la pasarela de pago de WooThemes, así que no había duda de que … Sigue leyendo que hay más →

Sigue leyendo...

Vulnerabilidad grave en JetPack, ¡actualiza ya!

Jueves, 10 abril, 2014

Comentarios desactivados

Acaba de salir a la luz la versión 2.9.3 del plugin JetPack que soluciona una grave vulnerabilidad en el módulo de “Compartir“, la utilidad Sharedaddy. El código de vulnerabilidad es el CVE-2014-0173, un grave agujero de seguridad en el archivo sharedaddy.php que, por lo que he podido leer en foros de seguridad, pues en el registro de cambios no dice nada, puede permitir inyecciones SQL, así que ni te lo pienses, actualiza ya mismo, la tienes esperando en la administración de WordPress. Solo apuntar, para demostrar la gravedad de la vulnerabilidad, que cómo no será de importante que desde el … Sigue leyendo que hay más →

Sigue leyendo...