Refuerza la seguridad de tu WordPress (2)

Refuerza la seguridad de tu WordPress (2)

En “Refuerza la seguridad de tu WordPress (1)” ya te dimos una serie de instrucciones básicas para proteger tu sitio. Hoy, te traemos una serie de plugins que harán que los tan temidos hackers lo tengan crudo si quieren hacerse con el control de tu web.

Candado

Plugins de seguridad para WordPress

 

Login lockdownPara que cuando la misma IP intente acceder 3 veces sin identificarse correctamente (nombre de usuario y contraseña), el acceso al panel de control quede bloqueado.

 

Ultimate Security CheckerPuntúa del 1 al 10 el grado de seguridad en el que se encuentra tu WordPress. Además, te muestra los errores ayudándote a solventarlos.

 

AkismetComprueba los comentarios con su servicio web de forma automática para ver si son o no spam y te permite revisar y catalogar como spam los comentarios desde la pantalla de administración. En definitiva, este plugin te ahorra espacio de disco y aumenta la velocidad de tu sitio web.

 

Backup WordPress: Este plugin realiza copias de seguridad de toda la carpeta de WordPress y de la base de datos y también almacena hasta las últimas 10 copias de seguridad para que no des nada por perdido 😉

 

Captcha on LoginPara hacer que el logueo en tu blog sea más seguro. Te protege de ataques por fuerza bruta y también bloquea las IP después de varios intentos de acceso no válidos. Actualmente, el plugin te permite cambiar el nombre de usuario “admin” (que viene por defecto) por cualquier otro nombre de tu elección y también bloquear IP de forma permanente.

 

Wordfence security: Plugin con numerosas funciones. Bloquea en tiempo real y automáticamente a atacantes conocidos. Tiene un proceso de autenticación en dos pasos (contraseña+teléfono móvil), obliga a instaurar contraseñas seguras, evita la instalación de plugins falsos, bloquea redes enteras utilizando firewall, monitoriza el espacio en disco, vigila la seguridad de tus DNS, analiza más de 44.000 variantes de malware conocidas, bloquea hackeos por fuerza bruta y detiene tu WordPress para que ninguna información ponga en peligro tu web. Y, por último, también te permite visualizar todo el tráfico en tiempo real.

 

WP-reCAPTCHAPlugin que marca los comentarios que pueden ser spam. Permite deshabilitar los trackbacks y pingbacks, detecta a los spammers humanos (sí, lo creáis o no, existen personas que se ganan la vida resolviendo CAPTCHAs) y también hace que no sea necesario tener Akismet instalado ya que básicamente cubre todas sus funciones.

 

Login Security SolutionPlugin dedicado a la seguridad de las contraseñas, direcciones IP y nombres de usuarios de tu WordPress. Te permite cambiar la contraseña cada cierto tiempo, incluye caracteres UTF-8, avisa al administrador de ataques o brechas en la seguridad del sitio (por ejemplo, si detecta que un usuario no es verídico se le expulsa del WordPress y como requisito para volver a entrar se le pide una contraseña específica de reseteo) y, además, permite IPv6.

 

Cuéntanos, ¿de qué plugins te vales para aumentar la seguridad en tu WordPress? Si dejas un comentario o nos escribes a Twitter o a Facebook, te lo agradeceremos.

Refuerza la seguridad en WordPress

Hay muchísima gente en todo el mundo que usa WordPress para gestionar el contenido de su sitio. ¿Por qué? Uno de los principales motivos es que es software libre. Es su mayor virtud, pero también puede ser su peor defecto. Ten en cuenta que, al tratarse de código abierto, está indefenso ante todo el que quiera analizarlo para explotar vulnerabilidades en él. En este post, te damos 5 trucos para mejorar tu seguridad en WordPress.

Como consecuencia, los sitios de WordPress han sido siempre un poco como cebo para tiburones. Sabemos que un hackeo puede dañar la reputación y la actividad de una empresa y que es un auténtico fastidio para los particulares. Por eso, vamos a darte algunas indicaciones para blindar al máximo tu aplicación y reducir las posibilidades de hackeo al mínimo.

Antes de empezar a hacer cambios manuales en el código (ya seas novato o experto), lo mejor es que realices un backup para poder probarlos en una instalación de WordPress de mentirijillas. Así podrás implementarlos solamente cuando estés seguro de que funcionan correctamente. ¡No tienes por qué poner en riesgo el funcionamiento de tu sitio! Por cierto, para editar los ficheros como te vamos a ir indicando, puedes hacerlo a través de FTP o bien haciendo uso del administrador de archivos de cPanel.

Vamos allá.

#0 – Cambia el prefijo durante la instalación manual

Nosotros ponemos a disposición de nuestros clientes la herramienta Fantastico en el panel de control de su hosting web, para que la instalación de un WordPress sea muy sencilla y rápida. Sin embargo, si no te molesta realizar la instalación de manera manual, hay un paso que puedes dar para añadir un pequeño extra de seguridad: cambiar el prefijo predeterminado de las tablas (wp_) por uno distinto.

Cuando subas los archivos para instalar WordPress en tu servidor y los ejecutes, podrás establecer directamente en una misma pantalla el nombre de usuario, la contraseña, el nombre de la base de datos y el prefijo para las tablas. ¡Esta es la forma más fácil!

#1 – Actualiza de forma periódica

Las actualizaciones de WordPress no son opcionales. Es muy importante que estés atento a cuando la aplicación te avise de que hay una versión nueva, ya que a menudo resuelven vulnerabilidades y, además, le complicarás la vida al hacker que ya ha encontrado todos los agujeros de la versión antigua: ¡tendrá que volver a empezar!

Revisa también los plugins y las plantillas, porque también se mejoran con el tiempo. Si ves que hace mucho tiempo que no se actualiza alguno de ellos, es mejor que busques alternativas. A todo esto, ¿tienes plantillas o plugins inactivos? Tendrán agujeros que los hackers podrán aprovechar para hacerte daño. Elimina todo lo que no estés utilizando y quédate solo con lo que necesitas: es una medida muy sencilla, pero muchísima gente se olvida de borrar después de desactivar.

#2 – Cambia el usuario predeterminado

Lo primero que van a intentar para entrar en tu WordPress es introducir el usuario predeterminado, que es “admin”. Si no te tomas la molestia de cambiarlo, les habrás hecho la mitad del trabajo: solamente les faltará la contraseña. ¡Es un cambio muy sencillo! Crea un usuario nuevo al que proporcionar privilegios de administrador, borra el usuario “admin” y, cuando WordPress te pregunte qué debe hacer con los post y enlaces que pertenecen a ese usuario predeterminado, marca la opción “Attribute all posts and links to:” y elige el nuevo usuario.

#3 – Borra la versión de WordPress de la sección wp_head

La sección wp_head especifica la versión de WordPress que has instalado. ¿Por qué debes borrarla? Porque es información que no necesita ser pública y que puede ser utilizada por algún gamberro para saber la vulnerabilidad exacta para atacarte. Para eliminar esta información, ve al archivo header.php y borra esta metaetiqueta:

<meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” />

 

#4 – Desactiva el editor de plantillas

Si te hackean los datos de acceso a WordPress (el nombre de usuario y la contraseña), podrán entrar en los archivos de las plantillas para insertar código malicioso, cambiar los permisos, subir más archivos, etc. Si desactivas el editor de texto (siempre después de dar el paso #3) que viene por defecto para plantillas, no podrán modificar sus códigos de ninguna manera.

Para hacerlo, ve a la carpeta en la que has instalado el WordPress y busca un archivo llamado wp-config.php. Tienes que añadirle este código para que ya no se puedan editar los archivos desde el panel de administración:

/* desactivar editor de plantillas */

define( ‘DISALLOW_FILE_EDIT’, true );

 

#5 – Protege la carpeta wp-admin con contraseña

Esta medida impedirá que puedan explotar cualquier vulnerabilidad de WordPress que pueda existir en esta carpeta. Es decir, aunque un hacker averigüe los datos de acceso a la aplicación, tendrá que pasar por encima de esta otra medida de seguridad, que es a nivel de servidor, y no podrán acceder al administrador si no lo consiguen.

Para proteger wp-admin con contraseña, ve a tu panel de control cPanel y haz clic en el icono “Directorios protegidos con contraseña”. Elige la carpeta wp-admin haciendo clic sobre ella y, a continuación, configura los usuarios a los que quieres autorizar y, finalmente, define un nombre de usuario y una contraseña. Et voilà!

Existe la posibilidad (poco común) de que, si tienes un plugin instalado que hace llamadas a wp-admin, a una visita que intente cargar un fichero situado en esta carpeta se le pidan el nombre de usuario y la contraseña. Si se da esta circunstancia, lo mejor es buscar otro plugin o, en último caso, desproteger la carpeta para no molestar a las visitas. Ya te decimos que no ocurre a menudo, pero puede pasar.

En resumen

Estos son los primeros 5 consejos de una serie que seguiremos completando. Vamos a dejarlo aquí por hoy para que puedas ir probando cosas nuevas sin saturarte mucho. ¿Ya sabías todo esto sobre la seguridad en WordPress o te hemos descubierto algo nuevo? Sea como sea, no dudes en dejar un comentario o en buscarnos en Twitter o en Facebook.

Seguridad en WordPress: bloquea xmlrpc.php 14

No es la primera vez que te damos indicaciones para reforzar la seguridad en WordPress, pero queremos seguir ampliando poco a poco con nuevos consejos. ¡Esperamos que te sean útiles!

El post de hoy trata sobre una vulnerabilidad específica, y es que últimamente hemos recibido correos de varios clientes, usuarios de WordPress, que están teniendo problemas con sus webs. El primero fue el caso de Antonio: te lo contamos en detalle por si utilizas WordPress y quieres blindarte contra este problema.

Antonio se puso en contacto con nosotros cuando vio que su web de WordPress no estaba funcionando. No podía acceder, no funcionaba el correo electrónico… Un cuadro, y encima en día laborable. Escribió un Ticket a Soporte pidiéndonos que lo ayudáramos cuanto antes, explicando el problema y adjuntando una captura.

Uno de nuestros técnicos de Soporte analizó el caso y vio que estaba sufriendo caídas periódicas por culpa de ataques de fuerza bruta desde direcciones IP de países como Holanda o Turquía. Para que nos entendamos: estos ataques implican peticiones numerosísimas a la web y finalmente impiden acceder a ella, porque el tráfico que generan de manera artificial es insostenible. En resumen, es un ataque DDoS contra tu web de WordPress.

En el caso de Antonio, Soporte técnico bloqueó las direcciones IP atacantes, levantó la web e informó a Antonio del problema y de la solución aplicada. Sin embargo, en los días siguientes recibimos más casos idénticos, por lo que nos dimos cuenta de que el archivo contra el que se realizaban todas esas peticiones era común en todos: el archivo xmlrpc.php.

Con esta nueva pista e investigando un poco por la red, vimos que este archivo sirve para poder postearde forma remota (es decir, para utilizar otra aplicación para publicar posts: Microsoft Word, Textmate, Thunderbird, tu smartphone…). En concreto, los ataques parecían tener como objetivo la obtención de la contraseña de administrador.

Como te puedes imaginar, ni a Antonio ni al resto de clientes que contactaron con nosotros les hacía ninguna gracia que alguien pudiera obtener esa contraseña contra su voluntad. Tampoco habían necesitado nunca utilizar su WordPress de forma remota, así que estuvieron de acuerdo en bloquear el acceso al archivo xmlrpc.php aunque a partir de ese momento quedara inservible (de todos modos, como decimos, no lo utilizaban).

Al quedar inaccesible el archivo xmlrpc.php atacado, y por muchas peticiones que se realicen constantemente, resulta imposible tirar la web utilizando este método. Y lo mejor es que es facilísimo bloquear el archivo. Desde Soporte técnico siempre intentamos explicar todo lo que hacemos en nuestras respuestas a los Tickets y, de hecho, algunos de estos clientes aplicaron la medida sin ayuda nuestra.

Solamente hay que modificar el fichero .htaccess añadiendo este trocito de código:

<Files xmlrpc.php>

order allow,deny

deny from all

</Files>

Si trabajas con la versión de Apache 2.4, añade las siguientes líneas:

<Files xmlrpc.php>

Require all denied

</Files>

Una vez hecho esto, tu web de WordPress queda completamente protegida contra los ataques realizados contra el archivo xmlrpc.php. Si nos necesitas, puedes ponerte en contacto con nosotros y lo haremos por ti sin ningún problema. Sabemos que mejorar la seguridad en WordPress es muy importante y estaremos encantados de ayudarte a conseguirlo. ¿Tienes dudas? Deja un comentario e intentaremos responderlas.

Protege wp-admin y wp-login de WordPress

Protege wp-admin y wp-login de WordPress

No es la primera vez que te damos indicaciones para reforzar la seguridad de tu WordPress y seguramente tampoco será la última. En este post, queremos enseñarte de forma muy fácil y en 4 pasos muy sencillos cómo proteger wp-admin y wp-login con contraseña desde el archivo .htaccess. Al fin y al cabo, son dos de los objetivos más habituales de los ataques a aplicaciones WordPress y es mejor extremar la seguridad.

Vamos a suponer que tienes tu hosting web en Host Europe y que utilizas cPanel como panel de control. No podemos enseñarte con capturas cómo hacer lo mismo en otros proveedores y con otros paneles, pero seguramente el proceso será muy similar. En cualquier caso, cualquier empresa de hosting debería estar encantada de ayudarte a tomar estas medidas, ¡así que no dejes de ponerte en contacto si tienes dudas!

PASO 1 – Protege el directorio wp-admin con contraseña

En tu cPanel, ve a la sección Archivos y haz clic en Privacidad de directorio.

Administrador de archivos

Podrás ver la siguiente ventana en la que tendrás que marcar la tercera opción, Raíz de documento paray elegir en el desplegable el dominio donde tienes tu WordPress. En el ejemplo, nuestro sitio WordPress está en el dominio hosteurope.heg:

Dominio hosteurope.heg

En la siguiente pantalla podrás ver la lista de carpetas de WordPress. Haz clic donde pone wp-admin. Atención: debes hacer clic en el nombre de la carpeta, no en el símbolo (que sirve para acceder a las subcarpetas).

wp-admin

En la siguiente pantalla, podrás configurar la protección del directorio. Tienes que añadir un dominio para nombrar la protección (puede ser el que tú quieras) y crear el usuario que tendrá acceso al mismo. Podrás introducir el dominio o crear el usuario en el orden que tú prefieras pero, eso sí, tendrás que darle a “Guardar” tras realizar cada uno de los pasos.

Proteger wp-admin

De esta forma, al acceder a tu sitio como administrador (la URL de nuestro ejemplo sería http://hosteurope.heg/wp-admin), tendrás que introducir usuario y contraseña.

En caso de que trabajes con enlaces permanentes o URL amigables, sería necesario un paso extra para evitar errores de redirecciones: editar el fichero .htaccess.
Para hacerlo, en la sección Archivos, haz clic en Administrador de archivos:

Administrador de archivos

En la siguiente pantalla, marca la tercera opción, elige el dominio que corresponda en el desplegable y acuérdate de marcar también la última casilla Mostrar archivos ocultos:

Dominio hosteurope.heg

En el administrador de archivos, se mostrarán todas las carpetas y archivos de tu WordPress. Haz clic derecho sobre .htaccess y edítalo para añadir al inicio:

ErrorDocument 401 default

Editar htaccess

PASO 2 – Protege wp-login con contraseña

Para aumentar la seguridad habría que proteger también el fichero wp-login.php. Para esto, siguiendo los pasos anteriores, abre el Administrador de archivos:

Dominio hosteurope.heg

Después entra en la carpeta wp-admin haciendo doble clic sobre ella y abre el fichero .htaccess:

Ver htaccess

Copia del .htaccess las líneas que se añadieron tras bloquear ese directorio (en el paso 1 de este mismo post). En nuestro caso, son:

AuthType Basic

AuthName "bloqueo"

AuthUserFile "/home/hegprueba/.htpasswds/public_html/hosteurope.heg/wp-admin/passwd"

require valid-user

A continuación, vuelve al directorio anterior. Puedes hacerlo a través del Administrador de archivos de nuevo:

Dominio hosteurope.heg

Edita el fichero .htaccess…

Editar htaccess

… añadiendo al principio las líneas que acabas de copiar junto con estas 2 líneas más que puedes ver aquí (al principio y al final):

<files wp-login.php>

AuthType Basic

AuthName "bloqueo"

AuthUserFile "/home/hegprueba/.htpasswds/public_html/hosteurope.heg/wp-admin/passwd"

require valid-user

</files>

PASO 3 – Permite las solicitudes AJAX

Al configurar la protección del directorio wp-admin se evita que se hagan peticiones a ese directorio. El API Ajax de WordPress se ejecuta en el archivo admin-ajax.php de este directorio, por lo que es posible que deje de funcionar algún plugin, tema o widget que utilice el API Ajax en el frontend.

Si tienes este problema y quieres solucionarlo, tienes que permitir las solicitudes a admin-ajax.php en el .htaccess de la carpeta wp-admin. Sigue los pasos indicados en el punto anterior para editar el .htaccess (atención: en este caso de la carpeta wp-admin).

Ve al Administrador de archivos:

Dominio hosteurope.heg

Entra en la carpeta wp-admin y edita el .htaccess:

Editar htaccess wp-admin

Añade esto al final:

<Files admin-ajax.php>

       Order allow,deny

       Allow from all

       Satisfy any

</Files>

Nota: si trabajas con la versión 2.4 de Apache, deberás añadir en el fichero .htaccess las siguientes líneas:

<Files admin-ajax.php>

Require all granted

Satisfy any

</Files>

PASO 4 – Permite las solicitudes de imágenes, CSS y JavaScript en wp-admin

Este paso no será necesario en todos los casos, pero sí en algunos. Existen plugins y temas que cargan contenido ubicado en la carpeta wp-admin y que, al haberla protegido, no podrán mostrarlo salvo que los usuarios tengan los datos de acceso. Normalmente, el contenido que cargan son imágenes, ficheros CSS o JavaScript que están en determinados directorios.

Para permitir esta carga, crea un fichero .htaccess en los directorios wp-admin/css/wp-admin/js/ y wp-admin/images/ con el siguiente contenido:

Order allow,deny

Allow from all

Satisfy any

Nota: en la versión 2.4 de Apache, deberás añadir lo siguiente:

Require all granted

Satisfy any

Por si te surgen dudas, para crear un fichero .htaccess habría que ir al Administrador de archivos (de la misma forma que en los pasos anteriores) y entrar en la carpeta que deseas. Para crearlo en wp-admin/css haz doble clic en la carpeta wp-admin y después en la carpeta css. En esta pantalla, haz clic en +Archivo (en la parte superior derecha) y verás el siguiente cuadro, donde incluirás el nombre “.htaccess“.

Nuevo htaccess

Finalmente, tan solo te queda editar ese fichero, haciendo clic derecho sobre el nombre del fichero y, a continuación, pinchando en Edit:

Editar htaccess

Añade las líneas anteriores y habrás terminado.

Ahora ya sabes cómo proteger wp-admin y wp-login para ponérselo mucho más difícil a los hackers.

Mi sitio web tiene virus

 

La forma más común en que los sitios web son pirateados o desfigurados es desde inseguros plugins, temas o componentes en varios software CMS (como WordPress, Joomla, Drupal, etc.). Mientras que el CMS real es muy seguro y los problemas de seguridad suelen estar parcheados. muy rápidamente, los complementos y temas subyacentes generalmente no se actualizan ni se comprueban para ver si tienen una o más implicaciones de seguridad.

Leer mas »

NO FUNCIONA CORREO CORPORATIVO EN ANDROID

Les ha pasado que en algunas ocasiones no pueden configurar su correo profesional en un android

Pues hoy les presento la solución a sus dolores de cabeza

le aconsejamos configurar las cuentas de correo sin SSL

  • Servidor de correo entrante: mail.dominio.com
  • Tipo de servidor: POP3 o IMAP
  • Usuario: usuario@dominio.com
  • Método de Identificación: Contraseña Normal
  • Contraseña: La contraseña de la cuenta de correo de ese usuario
  • Puerto del servidor de entrada: 110 si se ha elegido POP3; 143 si se ha elegido IMAP.
  • Utilizar SSL: No (ninguno).

  • Servidor de correo saliente: mail.dominio.com

  • Tipo de servidor: SMTP
  • Usuario: usuario@dominio.com
  • Método de Identificación: Contraseña Normal
  • Contraseña: La contraseña de la cuenta de correo de ese usuario
  • Puerto del servidor de salida: 25 o 26 (si el 25 no funciona, pruebe con el 26, ya que algunos ISP cierran el 25 por seguridad).
  • Utilizar SSL: No (ninguno).
¿Cómo configuro los registros SPF Y DKIM (CPANEL)?

¿Cómo configuro los registros SPF Y DKIM (CPANEL)?

Sigue los pasos para poder activar SPF y DKIM RECORDS en Cpanel

Antes de empezar, SPF/DKIM son registros necesarios que ayudan a evitar que tus direcciones de correo electrónico “@tumarca.com” sean falsificados,  además configurarlos de forma correcta aportará  considerablemente la entregabilidad de tus correos.

hoy aprenderás de forma sencilla como configurar los SPF/DKIM dentro del cPanel

Leer mas »

20 trucos de posicionamiento web para tu sitio

20 trucos de posicionamiento web para tu sitio

¿Crees que sabes todo acerca del SEO?  El día de hoy traemos 20 trucos que aportarán al posicionamiento web de tu sitio de forma significativa.

Muchas veces nos centramos en la correcta indexación de nuestro sitio, estrategias de link building entre otras formas de mejorar tu posicionamiento SEO sin embargo hay otros factores muy importantes que se deben tomar en cuentas.
posicionamiento SEO Ecuador

Leer mas »