TecnoSistema

Archivo de la categoría ‘Seguridad’

Este es un tema no muy popular pero el que haya estado en este mundillo por algún tiempo habrá visto, visitado o oído hablar del tema.

Tengo que destacar que no es hackear sino crackear o defacear (no estoy seguro por la que apostaría), aunque muchas veces se usan mal las palabras.

Cuando felizmente un día volvemos del trabajo e entramos en nuestro blog viendo que nos lo han desgraciado lo primero que pensamos es ¿Qué hago ahora?

Bien pues lo que debemos hacer es lo siguiente:

1. Buscar alguien que nos ayude

Tenemos que evitar ponernos nerviosos y “liarla” aún mas. Lo mejor es pedir ayuda a un amigo a ser posible que sepa mas que tu sobre el tema o sobre programación. Que pueda identificar código inyectado o que te ayude con las tareas de restablecimiento.

2. Reinstalar Wordpress

Al volver a instalar Wordpress borraremos todos los archivos de wp que pudieron ser modificados. Por lo tanto en esta parte ya no quedará rastro.

Preferiblemente se debería de borrar todo excepto sitemaps, wp-config, wp-content, etc., para así tener una instalación limpia. Aunque los que no estén borrados no estaría mal echarles un vistazo.

3. Revisar todos los directorios

Evidentemente los directorios que borramos no los tendremos que mirar pero los que no puede que el atacante nos haya dejado un “recuerdo” en wp-content/uploads. Lo recomendable sería revisar todos los directorios y subdirectorios a todos los niveles.

4. El theme

Normalmente cuando atacan un sitio un sitio modifican el index.php de nuestro theme. Por lo tanto en caso que podamos no estaría de mas revisar el theme entero aunque lo mejor sería volver a subir de nuevo el theme y borrar el anterior.

Solo espero que nunca tengan que seguir mis consejos.  Aquí se demuestra porqué es tan necesario tener backups.

Si se les ocurre algo mas siempre podrán dejarlo escrito en los comentarios.

Como todos los programas Wordpress tiene problemas de seguridad. No hay ninguno que no tenga fallos en la seguridad. Los programas de código abierto se solucionan las fallas de seguridad antes, porqué todos las ven.

Para evitar problemas debido a la seguridad del blog os dejo 11 consejos para mejorar la seguridad en el área de administración de Wordpress:

1. Crea una URL especial para loguearte. De este modo evitarás el típico wp-admin y harás más difícil encontrar la página de acceso. Si no sabes hacerlo modificando código puedes usar el plugin llamado Stealth Login.

2. Usa una contraseña fuerte. Con fuerte me refiero a incluir mayúsculas y minúsculas, números y caracteres especiales. No seas paleto y elijas palabras comunes o muy obvias como “contraseña” y “password”.

3. Limita el número de intentos para logearse. Si un usuario sobrepasa dicho número cuando este intente iniciar sesión que el usuario quede bloqueado. Puedes ayudarte con el plugin Login Lockdown.

4. Usa páginas bajo SSL. La seguridad que nos ofrece este protocolo es la ideal para manejar el área de administración. Pero antes de hacerlo tendremos que verificar con la compañía de hosting si disponemos con certificados SSL disponibles para usar. Puedes usar el plugin Admin SSL.

5. Proteger el directorio wp-admin con otra contraseña. En este caso doble protección nunca viene de mas, puedes usar un archivo .htpasswd o un plugin llamado AskApache Password Protect.

6. Limitar el acceso según la dirección IP: Tienes que crear un archivo .htaccess en el directorio wp-admin con el siguiente código:

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName “Wordpress Admin Access Control”

AuthType Basic

order deny,allow

deny from all

# IP permitida

allow from xx.xx.xx.xxx

Crea tantas entradas como sea necesario y recuerda en sustituir xx.xx.xx.xxx por tu ip.

7. Nunca uses el nombre de usuario admin. Ya que este es el usuario que se crea por defecto en la instalación de Wordpress y por lo tanto puede ser blanco de ataques de fuerza bruta. Lo más sensato es cambiar ese nombre por uno no tan obvio.

8. Remueve los mensajes de error de la página de inicio de sesión. De este modo eliminarás pistas que los hackers pueden aprovechar para intentar descubrir la pagina de inicio. Para quitar dichos errores tienes que agregar al archivo functions.php del directorio de tu theme:

add_filter(’login_errors’,create_function(’$a’, “return null;”));

9. Usa contraseñas encriptadas. Si no cuentas con SSL esto te puede resultar útil ya que encripta la contraseña mediante una llave RSA pública. Lo puedes hacer con el plugin Semisecure Login Reimagined.

10. Antivirus para Wordpress. Ya se que suena raro, pero es realmente útil para la seguridad ya que  ofrece protección en contra de exploits e inyecciones de código.

11. Actualiza  Wordpress a la versión más reciente. Si lo haces obtendrás una mayor protección para corregir bugs y exploits que se desconocían en las versiones anteriores detectados.

Mis queridos lectores tienen algo mas que añadir?

Como la mayoría de hostings usan Linux es un poco interesante conocer algo sobre el tema de los permisos, aunque no nos tengamos de preocupar (excepto que surjan problemas). Por defecto el hosting tiene tendencia a proteger los archivos de los clientes.

El tema de permisos puede resultar algo complejo, pero intentaré simplificarlo todo un poco.

Para empezar, hay tres tipos distintos de permisos:

• Lectura (indicado con una r): Este se refiere a que se puede leer el archivo o en caso de ser un directorio se pueden ver los archivos interiores. Es el mas usado ya que en principio es el que lleva menos peligro de los tres.

• Escritura (indicado con una w): Permite modificar los archivos que tengan este permiso. Si un directorio lo tiene se podrán crear archivos/directorios y borrar los que hay, pero a menos que el archivo también tenga permiso de escritura no podrá ser modificado.

• Ejecución (indicado con una x): Le da permiso de ejecución a los ficheros. Si se trata de un directorio este si que significa que se podrán modificar los archivos internos a este.

En numerosos paneles de administración usan permisos numéricos en lugar de letras (r,w,x ya citadas). La representación numérica es octal (a modo de curiosidad). Con esto me refiero a que cada letra tiene un “peso” específico.

4 al de lectura

2 al de escritura

1 al de ejecución

Los permisos se pueden combinar, el rango de combinaciones va del 0 al 7 (por lo tanto tendrá que se mayor que 0 e inferior a 7).

Ejemplos:

0 <- No hay ningún permiso presente.

4 <- Está presente sólo el permiso de lectura.

6 <- Están presentes los permisos de lectura y escritura (4 + 2).

7 <- Los tres permisos están presentes (4 + 2 + 1).

Pero es que además hay tres grupos de individuos.

• El Propietario
• El Grupo
• El “resto”

El primer conjunto lo forma las combinaciones de permisos asignadas al propietario, el segundo, las combinaciones de permisos asignadas al usuario que pertenezca al mismo grupo que el archivo (y que no sea su propietario, lógicamente), y el tercero, aquellas combinaciones que se asignan a los usuarios que no sean ni una cosa ni la otra (el “resto de usuarios”).

Cada grupo de individuos tiene su conjunto de permisos.

Primer dígito: Permisos para el propietario.

Segundo dígito: Permisos para el grupo.

Tercer dígito: Permisos para el “resto”.

Ejemplos:

1) Si un archivo tiene la máscara 644, significa que:

- El propietario tiene permiso de lectura y escritura (4 + 2).

- Todo usuario (que no sea el propietario) que pertenezca al mismo grupo que el archivo, tendrá sólo permiso de lectura (4).

- Los usuarios restantes sólo tendrán permiso de lectura (4).

2) Si un directorio tiene la máscara 755, significa que:

- El propietario tiene los 3 permisos asignados. Esto es, puede listar el directorio (4), modificarlo {crear/borrar archivos en él} (2) y acceder a él (1). Si sumáis los 3 permisos, obtendréis justamente 7, que es el primer dígito de la máscara.

- Todo usuario (que no sea el propietario) que pertenezca al mismo grupo que el directorio podrá listar su contenido (4) y acceder a él (1).

¿Que pasa si se te estropea el disco duro? Buena pregunta eh! Tranquilo, no vendrá de 5min, sigue leyendo antes de respaldar el disco duro. Si te pasa y se lo explicas a alguien estos te dirán: ¿Pero cómo puede ser que no tuvieras ninguna copia de seguridad? Aquí ya empezarán tus remordimientos, cómo puede ser que no hayas pensado en algo tan básico? Imagínate todo lo que habrías salvado por tener una copia de seguridad, esas fotos del viaje, ese programilla que hace maravillas, los marcadores de tu ordenador, esa colección de vídeos (tu ya me entiendes) y mucho mas.

Demasiado tarde para hacer una copia de seguridad del disco…

Una vez recuperadas las fotos parecen peores, el programa hace menos, los marcadores son mas malos, los vídeos parecen peores… Era mejor cuando todo se daba por perdido…

Quizás ya he hecho bien, la vida no tiene duplicados. Puedes hacer copias de algunos datos pero no puedes vivir la vida por doble. Es imposible que te acuerdes de si hiciste una copia o no todas las veces.

He aquí el eterno dilema, respaldar o no respaldar. El segundo dilema sería cuando hacerlo XD.