Seguridad en WordPress – códigos maliciosos, tips, proteger tu blog de ataques Hackers y Hide My WP

Saber si tienes códigos maliciosos en WordPress, es muy importante para la seguridad de este, en algunos temas que instalamos traen de por si códigos que su fin es provocar un daño o simplemente violar nuestra privacidad.

Para evitar  códigos maliciosos en WordPress usaremos un reconocido plugin que analiza todo el sitio web en busca de algún código maligno dentro de nuestro wordpress y se llama: Theme Authenticity Checker o (TAC) por las siglas en ingles.

Paso 1: Instalación del plugin

Para la instalación del plugin vamos al: Theme Authenticity Checker y lo subimos mediante FTP a la carpeta plugins, o bien simplemente vamos a plugins > Añadir nuevo y ponemos “Theme Authenticity Checker” y damos clic en instalar.

Luego damos clic en activar plugin y listo vamos al paso 2 en donde sabremos si tenemos códigos maliciosos en wordpress.

Paso 2:  Analizar un tema de wordpress

Ahora es cuando TAC pone manos a la obra y analizara todos los temas que tenemos, no solo el activo si no todos los que tenemos en el directorio de nuestro servidor.

Para ello vamos a “Apariencia” y luego “TAC”  como muestra la imagen

Cuando ya estemos dentro del panel de TAC nos mostrara una lista con todos nuestros temas instalados, con su estado actual si está infectado con un código malintencionado o tiene links estáticos presentes.

Concentrémonos en el tema infectado que es el primero damos clic en “Details” y nos dará una lista con los códigos malignos:

Ahora que dimos en los detalles del tema podemos ver que anda mal… por lo más grave del tema es lo que está marcado con rojo, y por lo general son código encriptado a Base64… ¿pero qué es esto?

Base64 es un método que sirve para codificar un determinado mensaje en un código de 8 bits usando caracteres ASCII.

A veces los fabricantes de scripts o temas crean estos código y los insertan por lo general en el footer de la página para asegurarse que el usuario común que está acostumbrado a ver líneas HTML no pueda borrar esta marca de agua, porque en lugar de eso se encuentra con un código raro con número y letras extrañas y deciden no borrarlo.

Por lo habitual  los fabricantes crean estos códigos para proteger los derechos de autor, para la seguridad,  pero también se usa con fines maliciosos, malware, adware, las personas que insertan estos códigos no son para nada bueno…

Como saber si tienes codigos maliciosos en WordPress

Paso 3: Intentar limpiar el código o eliminarlo del tema

Si llegas a este paso es porque tienes un tema de wordpress un código maligno, pero para intentar limpiar y eliminar estos códigos sin dañar el tema puede ser un poco difícil pero vamos a intentarlo.

En el paso anterior debes de dar clic en “Edit” en donde se encuentra el código Base64, en mi caso es en el “Footer”.

Método 1: Decodificar código con un decodificador online.

Por lo general los códigos base64 comienzan así  “decode_base64(‘…’)” cuando tengas ubicado el código simplemente dirígete a uno de estos 2 decodificadores de código base64:

  1. Base64 Online – base64 decode and encode
  2. Base 64 Decoder

Copia en el código base 64 y pegalo en uno de estos 2 decodificadores, y listo ahora puedes ver como es el código  si solo ves unos links con la página del autor y los creadores está bien déjalos hay que darle un poco de mérito a los autores.

Pero si en lugar de eso ver algún código sospechoso con url extrañas o analíticas o estáticas que sobrecargan nuestro servidor y/o violan nuestra privacidad es mejor que lo borres.

Listo ya habremos borrado los códigos maliciosos en WordPress, pasemos al método 2.

Método 2: Decodificar código manualmente

Ese método aun que se vea difícil por el título es más simple de lo que ve solo sigan los pasos:

1.- Ir a tu index.php de tu tema y buscar la siguiente línea de código:

<?php get_footer(); ?>

Agregamos un comentario sobre y después del código tipo: “<!– Codigo base64 –>“.

Guardamos y vamos al inicio de nuestra página y damos clic derecho “Ver código de fuente” y ahora presionamos “CONTROL + F” para buscar el comentario que sería “<!– Codigo base64 –>“ e identificar el código base64.

Listo!!! Código base64 ya decodificado, ahora podemos ver de qué se trababa.

Ahora simplemente vamos al footer y eliminamos el código o lo remplazamos quitando solo la parte analítica, si solo tuviera links hacia la página del autor sería mejor dejarlos.

Ahora si pudimos eliminar todos los códigos maliciosos en WordPress a través de 2 métodos muy sencillos.

NOTA: Este método solo sirve para códigos HTML es decir si la base64 solo tenía código HTML este método funcionara, pero si contenía PHP es necesario usar el método anterior, porque los navegadores no visualizan el php solo su estructura y la muestran en HTML.

Puedes también usar esta herramienta online para detectar malware en tu blog, ya sea WordPress o cualquier plataforma.

Listo aquí termina el tutorial para analizar y saber si tienes códigos maliciosos en WordPress e intentar limpiar estos mismos, si tienes algún comentario o pregunta acerca de esto no dudes en comentar.

 

 

Como proteger WordPress con Hide My WP

HideMyWP Plugin

¿Recuerdan anteriormente el plugin que les hemos recomendado para proteger nuestro blog? Esa alternativa es muy fuerte y con el uso de Cloudflare para ocultar DNS y evitar un poco los ataques DDOS podremos dormir más tranquilos.

Lo que vemos ahora a recomendar es Hide My WP, un plugin Premium que permite proteger nuestro blog aún más y ya te explicaremos porqué. El plugin lo hemos encontrado en CodeCanyon, un poderoso sitio con cientos de miles de plugins y complementos de todo tipo para WordPress y todo lo relacionado al desarrollo web.

¿Sabías que el 20% de los 50 plugins más populares de WordPress son vulnerables a ataques como inyección SQL? Al instalar un plugin o theme también estamos sujetos a posibles ataques por hackers ya que estos códigos de plugins gratuitos también pueden tener vulnerabilidades.

Hide My WP protege tu blog en WordPress de ataques de fuerza bruta y de al menos el 90% de los ataques al SQL y XSS causados por el acceso directo a ficheros PHP que contiene el software.

El plugin también cambia la ruta por defecto para acceder a tu panel de WordPress de modo que los ataques automáticos no sean afectivos al querer entrar a tu administración. Puedes probar ingresar a /wp-admin el cual es la ruta que WordPress instala por defecto en todo blog.

Espera! ¿Tienes un error 404? Esa es uno de los trucos mágicos de Hide My Wp!

La ruta de tu plantilla o theme es WordPress también se genera por defecto, pero Hide My WP cambia esta estructura para evitar ataques a través del código de tu theme, lo cual convierte tu blog en algo más seguro.

Ademas, rutas de ficheros como .JS, CSS y librerías también serán modificadas sin afectar tu sitio o que los usuarios lo lleguen a notar. Por si acaso, si alguien trata de encontrar la ruta de tu usuario, Hide My WP esconderá esta ruta por razones de seguridad, además de haber cambiado la ID de tu usuario para evitar que tu panel de WordPress sea hackeado.

No importa si tu blog en WordPress tiene miles de visitas o unas pocas. Solo el hecho de estar en línea lo hace vulnerable y no hay mejor recomendación que este increíble plugin.

Hide My WP cuesta $22, algo que vale la pena usar ya que la pérdida de tu blog podría fácilmente triplicar este valor y tirar a la basura muchos años de trabajo. ¿O quieres arriesgarte?

 

 

Como proteger tu blog en WordPress de ataques Hackers

All In One WP Security & Firewall

Seguramente ha leído muchos artículos anteriormente sobre la seguridad de WordPress, pues déjame decirte que yo también, pero al igual que tú siento que me dejan un vacío y solo recomiendan la instalación de una docena de plugins para arreglar el problema.

Por esta razón, me he algunas horas de investigación para ver cuál es realmente la mejor forma de proteger nuestros blogs ya que tomando en cuento que soy propietario de un par de ellos bajo la misma plataforma puedo recomendarles solo lo que realmente funciona.

No hay dudas que WordPress es el software más usado cuando se trata de crear sitios en Internet y no solo blogs, esto gracias a la flexibilidad y el sistema amigable que posee el cual nos permite hacer cualquier cosa que queramos.

Pero una de los cuidados que debemos de tener con WordPress, por ser de código libre y gratuito, es que cualquier usuario con conocimiento avanzados en informática sabrá como atacar tu blog, incluso si tienes un blog con mucha competencia debes de tener cuidado ya que los ataques de DDOS son frecuentes para sacar de la red por un tiempo considerable.

Recuerda realizar un respaldo antes de cualquier cambio en tu blog

Los primeros pasos

Lo primero que debes de considerar al tener un sitio en WordPress seguro es el servicio de hosting o alojamiento. Sea un servidor compartido o dedicado, debes de buscar buenas soluciones en el mercado.

Una vez que tengas tu empresa o proveedor de hosting definido y contratado tendrá que pasar a instalar WordPress, aquí te mostramos como hacerlo en 5 minutos o menos!

Tambien te recomendamos usar Themes limpios y si puedes buscar soluciones premium o de pago ya que muchos gratuitos incluyen codigo malicioso.

Los tips de seguridad para proteger tu blog

Por defecto, nuestro blog en WordPress crear una ruta de acceso a nuestra administración a través del directorio Wp-admin o en archivo wp-login.php. Una vez que el atacante ha encontrado fácilmente la ruta, simplemente hará ataques de fuerza bruta para tratar de acceder a tu panel de administración.

El fichero .htaccess es una de las bases principales de funcionamiento de WordPress y con el correcto uso de funciones y código pueden ser capaz de realizar cambios interesantes en tu blog, sobre todo cuando se trata de seguridad.

Afortunadamente también existen plugins que te ayudan a proteger tu panel de administración en WordPress y otras 100 medidas de seguridad que quizá no conocías, por lo que puedes configurar tu blog sin tener que tocar el código y echarlo a perder todo.

Una de estos plugins es “All in One Security and Firewall”, el cual es muy recomendado y ya te explicaré porqué. Si has leído en otros artículos sobre seguridad para WordPress en otros sitios, como mínimo te recomiendan la instalación de 5 plugins, uno para cada función.

Este plugin recomendado no consume recursos del servidor- lo cual he probado – e incluye muchas funciones de seguridad que ya te explicaré, es simplemente sorprendente!

All in One Security and Firewall

Una vez que hayas descargado el plugin o instalado directamente desde tu panel de WordPress como administrador debes de proceder a su configuración, es fácil y práctica, así que no hay de qué preocuparse.

Como puedes ver en la imagen anterior, estos son algunos de los puntos encontrados de inseguridad en un sitio de WordPress instalado por defecto, sin cambios. Estos obviamente han sido modificados para proteger el sitio al máximo, pero la puntuación no llega hasta los 460 puntos alcanzables ya que en el caso de ejemplo no he agregado una lista negra de IP o permitido únicamente a mi ordenador el acceso al panel de administración.

Cada configuración habilitada con All in One Security and Firewall suma desde 5 hasta 20 puntos, llegando a un total final de 460 que es lo que puedes ver en la imagen.

Cuando hayas instalado el plugin solo debes de ir opción por opción del menú habilitando las protecciones que deseas, las cuales incluyen:

Cambio de ID del usuario administrador: Por defecto la instalación de WordPress crea una ID o identificador del usuario, el primer usuario creado tiene una ID de “1”. Esto debe ser cambiado inmediatamente en cada blog que hagas en WordPress ya que es un blanco de ataques usados con mucha frecuente.

Lo que hace el Plugin es cambiar únicamente la ID de tu usuario administrador sin cambiar tu usuario. Además, tu nombre de usuario debe de ser diferente al mostrado en tu blog el cual es mostrado en un post, pero esto también lo podrás configurar con el plugin.

Intentos de logueo: Otra gran característica del plugin es que te permite definir la cantidad de veces fallidas para entrar a tu panel de administración, de lo contrario tu IP será bloqueada y el administrador recibe una notificación por correo. Si los ataques son realizados por fuerza bruta, el ataque es redireccionado al sitio que tú elijas, por defecto viene una opción del servidor local.

Forzar la salida: Como medida de seguridad puedes habilitar la opción de deslogueo automático después de un determinado tiempo en tu panel de administración y así aumentar la seguridad.

Registro de usuarios: Puedes activar la opción de aprobación manual para el registro de nuevos usuarios y el uso de códigos Captcha en los formularios.

Protección de spam: El plugin también te permite bloquear comentarios o bots spam que llegan directamente accediendo a la ruta de envío de comentarios de tu blog. El plugin al identificar esto, bloquea la IP o el bot. También de muestra un registro o monitoreo de las IP spam.

Activación de Firewall: Al igual que nuestro ordenador, nuestro blog también necesita usar un Firewall para evitar también cualquier intento de modificación de ficheros importantes como el wp-config.php o .htaccess.

Edición de ficheros: Al tener acceso a un panel de WordPress el usuario tiene acceso a la edición de fichero de la plantilla en uso o themes y plugins. All in One Security and Firewall permite que nadie pueda editar estos archivos. ¿Cómo lo hace? Simplemente elimina la opcion de nuestro panel de administrador.

Recomendación: Para cualquier cambio en un fichero de tu blog, themes o plugins es mejor siempre usar una conexión a través de un cliente FTP desde tu ordenador. Por seguridad, y no es que este obsesionado con el tema, uso un VPN y conexión SFTP (acceso SSH) con Filezilla.

Cambio de prefijo en base de datos: Como mencioné desde un inicio. La instalación de WordPress trae consigo configuraciones por defecto que debemos cambiar. La base de datos, la cual también es atacada por inyecciones SQL, crea un prefijo “Wp_” en el blog, pero con este plugin puedes cambiar el prefijo al que quieres sin tener que ir al gestor de base de datos.

Respaldos de la base de datos: Sé que existen muchos interesantes plugins para realizar una base de datos en WordPress directamente desde el panel de administración, desde nuestro Cpanel o Plesk o desde el cliente FTP. Sin embargo, el plugin en cuestión incluye también la programación automática de respaldos los cuales son alojados en un directorio protegido de tu hosting, donde tienes acceso vía FTP y recibes la notificación con el fichero adjunto por correo electrónico.

Ruta de administrador: En un inicio del artículo mencioné que el primer ataque a un sitio en WordPress es la ruta de administración la cual es conocida por cualquier usuario de WordPress. Ahora, este interesante plugin gratuito te permite cambiar la ruta por una personalizada que solo tú debes de conocer.

Cualquier atacante que quiera violar la seguridad en tu blog será redireccionado a su host local o recibe un error 404!

En fin, estas son algunos de los cambios que realiza el Plugin All in One Security and Firewall, con el cual basta para proteger tu sitio, pero el plugin incluye otras opciones que podrás explorar una vez que lo instales.

Todas las funciones y opciones de seguridad se pueden realizar desde el .htaccess sin instalar el plugin, pero una vez que lo hayas instalado puedes revisar el código del .htaccess y ver los cambios realizados para cada función.

¿Qué te parece este increíble plugin para proteger tu blog en WordPress?

Si quieres verlo como funciona, te invito a ver este video.

 

 

 

10 tips vitales de seguridad para WordPress

seguridad wordpress

Cuando trabajamos con código libre en plataformas como WordPress debemos de tomar en cuenta muchos factores y consejos de seguridad. Recordemos que pesar de tener un buen servicio de hosting debemos de mejorar la seguridad de nuestro blog ya que son blancos fáciles de piratas cibernéticos.

A pesar de que existen muchos plugins para reforzar la seguridad en WordPress, no soy devoto de hacer muchas instalaciones de plugins sobre todo si no conocemos muy bien las fuentes de procedencia de igual manera como pasa con los themes que usamos.

Bueno, sin más que hablar veamos la siguiente lista de 10 consejos para mejorar la seguridad en nuestro blog.

#1 Hosting seguro

Una de las mayores preocupaciones de las empresas de hosting es la seguridad de sus servidores y servicios, así mismo antes de contratar un servicio de alojamiento para nuestro blog debemos de asegurarnos que los servicios no tengan muchas vulnerabilidades.

¿Cómo? Si obviamente no hemos probado el servicio y tenido algún problema, lo que tampoco pasa cada día o semana, es buscar información en sitios especializados en analizar servicios de hosting o foros en Internet.

#2 Trabajar en un ambiente seguro

De nada sirve tener un servicio de hosting seguro con un ordenador infectado. Algo que debes de tomar muy en cuenta a la hora de trabajar o acceder a tu sitio en WordPress es revisar el ordenador que usas y asegurarte de que esté limpio, sin virus, malware, troyanos o keyloggers.

Personalmente solo doy acceso a mi panel de WordPress a la IP de mi ordenador, de modo que incluso a mí no me permita acceder a la administración desde otro ordenador y ni poder llegar a editar los ficheros o el theme desde el panel de WordPress.

#3 Actualizaciones

Las actualizaciones en WordPress son vitales, tanto para plugins como para los themes que usemos son parte de la seguridad del blog.

#4 Contraseñas seguras

Uno de los principales blancos para entrar a nuestra cuenta o panel de administración de WordPress es a través de la cuenta por defecto de administrador donde tratarán de conseguir la contraseña, sobre todo si es muy débil.

Crear una contraseña segura es parte primordial de la seguridad de tu blog y uno de los errores más graves de todas las personas es usar fechas o información personas en las contraseñas como fechas de cumpleaños, iniciales de nombres o apellidos, etc.

Puedes usar algunos servicios y herramientas gratuitas para crear contraseñas seguras para tu blog, te recomiendo leer esta pequeña guía para descubrir las mejores herramientas.

#5 Usar certificados de seguridad SSL

Si quieres reforzar la seguridad de tu blog en tu página de acceso de administración lo recomendado sería usar certificados SSL los cuales tienes un costo extra según el servicio donde lo contrates.

Si te decides por comprarlo con tu proveedor favorito puedes usar este plugin (WordPress HTTPS) o simplemente habilitar la opción en el fichero de configuración de tu blog (wp-config.php) usando el siguiente código:

define(’FORCE_SSL_ADMIN’, true);

#6 Evita “admin” en tu usuario

Precisamente hace un par de días uno de mis amigos Bloggers en Google Plus me comentaba sobre una serie de ataques en su sitio en WordPress a la cuenta “admin” la cual es creada por defecto al instalar el software por tal razón es recomendable como primer paso eliminar la cuenta y crear otro con los mismos privilegios en tu blog.

#7 Protege tu usuario

Como mencioné anteriormente, la cuenta de usuario, generalmente de administrador, en nuestro blog debe permanecer segura. Cualquier usuario o Blogger con conocimientos básicos del funcionamiento de WordPress puede explorar tu código fuente y detectar cual es el usuario del blog.

Si eres únicamente el propietario del blog por lógica sabrán que tienes los privilegios de administrador por lo tanto es importante esconder la ruta del usuario de tu blog. Este plugin es perfecto para proteger y reforzar tu cuenta de usuario.

#8 Intentos de Login

Limitar los intentos por entrar a tu panel de administración del blog es una de las principales formas de proteger tu cuenta, nada mejor que hacerlo usando este plugin: Limit Login Attempts.

#9 Deshabilitar edición de los archivos

¿Sabías que puedes bloquear los permisos de edición de tus ficheros o themes desde el panel de administración de tu blog? Por lo general acostumbramos entrar a nuestro panel y realizar cambios desde nuestra administración, pero a la vez esto puede ser un problema de seguridad por lo debemos remover esta opción pegando el siguiente código en el archivo de configuración de tu blog:

define( ‘DISALLOW_FILE_EDIT’, true );

#10 Realizar respaldos

Por seguridad es siempre importante hacer con frecuencia respaldos de tu blog hecho en WordPress así como cualquier otra plataforma que nos permite respaldar nuestros ficheros. A pesar de existir plugins que nos permite programar los respaldos automáticos en servicios como Dropbox, Google Drive y similares.

Los respaldos dependen de la frecuencia de los cambios que hagas en tu blog, personalmente no me confío por lo que puedes también hacer respaldos manuales accediendo a tu cpanel o desde FTP como muestra este tutorial en Youtube.

#11 Bono

Como opción extra, en mi opinión debes también instalar y usar el servicio de Cloudflare ya que en la versión gratis para los usuarios brinda muchas funciones de seguridad y te crea reportes de los ataques en tu blog.