Siempre he dicho que WordPress es una de las mejores herramientas jamás inventada. No solo te da miles de posibilidades para crear páginas increibles, sino que encima es gratis.
Pero WordPress, como cualquier otra plataforma, también tiene sus lados negativos. Una de estas facetas negativas son las vulnerabilidades que en algunos casos puede llegar a tener.
Durante los últimos años me ha pasado más de una vez, que alguno de mis blogs ha sido hackeado, o que por alguna puerta trasera sin cerrar se me ha colado algún programilla indeseado. Y es muy posible que incluso tu propia web esté hackeada en estos momentos, sin que tu lo sepas.
El objetivo de este post es enseñarte algunos pequeños trucos que te ayudarán a proteger un poco mejor tu blog. Al menos, con estos sencillos pasos, evitarás el 80% de los posibles ataques que puedas sufrir.
Estos son los pasos que te recomiendo seguir:
1. Ver si tu blog está infectado
Lo primero de todo será echarle un vistazo a nuestro blog para ver si ha sido atacado. Para esto puedes usar herramientas gratuitas como este scanner gratuito que te permitirá ver el estado de tu blog.
Una vez escaneada tu web, verás algo como esto:
Con esta herramienta no solo podrás comprobar si tu blog está infectado de alguna manera, sino que también podrás ver algunas recomendaciones que la herramienta te da para mejorar la seguridad de tu blog. En este caso, me recomienda actualizar wordpress a la última versión.
No es la única herramienta que existe para estos casos, ni mucho menos. Pero es la que mas me ha llamado la atención. Si conoces alguna buena que uses, no dudes en ponerlo en los comentarios y compartirlo con el resto de los lectores.
2. Actualizar tu blog
Parece una tonteria y mucha gente no lo suele hacer. Pero siempre que salga una actualización de wordpress, asegurate de que la instalas. Esto lo puedes ver en la parte superior de tu panel de control de wordpress:
No creo que necesite mucha más explicación. Simplemente es darle al botón “actualizar ahora” y ya está.
Luego también te recomendaría actualizar todos tus plugins a la última versión. Esto lo puedes hacer dentro de la sección de plugins:
Tampoco tiene mucha más explicación. Dale a “actualizar automáticamente” y listo.
Porque tienes que hacer esto? Porque cada vez que sale una actualización, es muy probable que esta actualización contenga correcciones de código que le cierran las puertas a riesgos de vulnerabilidad existentes.
Tardarás menos de 2 minutos y creeme, vale la pena hacerlo.
3. La vulnerabilidad timthumb
Timthumb es un pequeño programa PHP que redimensiona imágenes de forma automática.
Muchas de las plantillas usadas por wordpress tienen instalado este pequeño programilla, muy útil para poner imágenes en tu blog.
El problema es que este programa tenía un serio fallo de seguridad que permitía dejar una puerta abierta para ataques a tu blog. Hay cientos de miles de blogs afectados por este problema, y lo peor es que la mayoría de estos blogs ni saben que están afectados.
Si usas wordpress y usas algún tema que pueda usar Timthumb , te recomiendo instalar el siguiente plugin (si no estás seguro, haz esto de todas formas):
Vete al panel de control de WordPress y entra en Plugins -> Añadir nuevo.
En la sección de “buscar” escribe TimThumb Vulnerability Scanner
Dale a “buscar” e instalate el timthumb Vulnerability Scanner de Peter Buttler.
Una vez instalado, aparecerá dentro de la sección Herramientas -> Timthumb Scanner.
Si entras, verás un pequeño botón donde pone “scan”. Si le das, el plugin automáticamente te dice si tu ordenador está infectado
Y encima te dice que fichero deberías borrar para resolver este problema.
(y por supuesto, también te actualiza el Timthumb a la última versión parcheada de forma automática, para no tener este problema en el futuro)
Si tu web está infectada, usa una herramienta FTP como por ejemplo Filezilla (gratuito), y borra los archivos que te marca como infectados.
Y ya de paso, abre tu archivo .htaccess con un editor de texto, y mira a ver si te han colado algún código extraño con enlaces salientes hacia sitios que no conoces. (Muy probablemente enlaces hacia sitios de sexo/casino/viagra/etc..)
4. Modifica tu Robots.txt
El robots.txt es un pequeño archivo de texto que le indica a los robots (crawlers) que pasan por tu web, que es lo que pueden y lo que no pueden hacer.
Aparte de los robots de Google, Yahoo, Bing, etc.. también pasan por tu blog a diario una gran cantidad de robots “malignos” cuyo objetivo es buscar vulnerabilidades en tu web o robarte contenido para publicarlo de forma automática en sus autoblogs.
Fijate en mi archivo de robots.txt que tengo en este blog (www.vivirdelared.com/robots.txt). Si te fijas, verás que tengo varias decenas de robots bloqueados. Por ejemplo:
El BackdoorBot/1.0 por ejemplo, es un troyano que si consigue entrar y aprovecharse de una vulnerabilidad en tu web, le permitirá a un hacker acceder a tu web sin que te des cuenta.
La función Disallow: / que ves debajo del nombre, es lo que le dice al robot que no puede entrar en tu web.
En cambio, al final de mi archivo robots.txt también verás que a Google y otros crawlers si que los dejo entrar sin problema.
Ejemplo:
Como ves, el “disallow:” no tiene nada detrás por lo que le estamos abriendo las puertas a los robots buenos para que entren en nuestra web.
Por último, también verás que al final del archivo le cierro las puertas de algunas rutas dentro de mi blog, para que estas no se indexen:
User-agent:* quiere decir que esto es para todos los demás robots que pasen por la web. Y a todos ellos, les deniego el acceso a las rutas descritas en el archivo.
Si quieres, puedes copiar este archivo de texto y ponerlo en tu blog, pero ten cuidado no copies la última linea que es la del Sitemap! Si copias esta, tendrás un pequeño problema de indexación…
Otros plugins de seguridad
Aqui tienes otros plugins muy recomendables para mejorar la seguridad de tu blog:
- BulletProof Security – Este plugin protege tu web de ataques XSS, CSRF, Base64 e inyecciones SQL.
- My Easy Backup – Te permite guardar, restaurar y migrar tu web completa y tu base de datos con un solo click.
- Antivirus - Un potente antivirus para tu blog.
Conclusión
Estos pequeños cambios no evitan que tu blog pueda ser hackeado, ni mucho menos. Los buenos hackers seguramente podrán acceder de todas formas. Pero con estos cambios al menos te proteges de la GRAN mayoría de los ataques automáticos que tu blog puede recibir.
Si quieres darle una vuelta de tuerca más a la seguridad de tu blog/tienda online/página web, te recomiendo contratar un sistema de monitorización como el de Codegarage (que son los que crearon el plugin de TimThumb scanner que hemos comentado antes).
Ellos monitorizan y hacen copias de seguridad de tu blog de forma diaria.
Tienes 7 días de prueba gratuitos y depués de eso, el precio es de solo 7€/mes (10 $) para monitorizar 2 páginas distintas.
Aparte de monitorizar, también te ayudan a resolver un ataque en caso de que hayas recibido uno.
Son de lo mejor (y más económico) que he visto en este tema.
Bueno. Esto es todo por hoy. Espero que hayas tenido un buen comienzo de año y que esos kilos de más que habrás ganado en las comilonas familiares sean llevaderos. Ahora te toca lo de cada año… dejar de fumar y apuntarte al gimnasio.
Y de paso…si es la primera vez que pasas por este blog, te invitó a que también te registres en el lateral del mismo para que puedas recibir trucos como este directamente a tu email.
Un saludo!!