5 Secretos Esenciales Para Aumentar La Seguridad De Tu Sitio Web En Wordpress Evita que un Hacker entre a tus páginas web a modificar contenido, robar tus productos y añadir código malicioso... Por Axel San Miguel Sígueme en: Hola! Mi nombre es Axel San Miguel y te doy las gracias por tu interés en querer proteger tu blog de Wordpress de personas curiosas, que lo que quieren es entrar y robarte tus archivos, videos, ebooks y todos tus productos solo por pasar el rato, verlo como un reto y llevarse un trofeo (tus archivos).
O peor aún, de personas maliciosas e inescrupulosas las cuales lo que quieren es hacer daño y destruir tu sitio web, inyectar código malicioso o que le hagan un Deface que le cambien la cara de tu sitio web y lo redirijan a un sitio de pornografía, viruses entre otras cosas peores Créeme que se de lo que estoy hablando! Pues todos los días tengo que lidiar con eso y mucho más en mi trabajo. Y para que sepas un poco de mi; me llamo Axel San Miguel tengo 33 años y vivo en Puerto Rico. Al momento de escribir este reporte, trabajo para el periódico de mayor circulación en la Isla como Especialista en Redes y Seguridad Informática hace aproximadamente unos 9 años. Comencé mi aventura con las computadoras desde pequeño pero mi interés en seguridad fue en la universidad. Para ese tiempo tenía una Compaq Presario x486 con 16MB de RAM y un disco duro de 260MB WOW! Tenía una mega computadora jajaja! Bueno, para ese tiempo era rapida. En fin, todo comenzó cuando esa computadora se me infectó con un virus y no hacía nada, la encendía y se quedaba frisada, no subía ni DOS 5.1 ni Windows 3.11 uhhh! Como la PC estaba en garantía todavía, la llevé a donde la compré para que la verificaran. Y Que Me Dijeron?... Adivina! Eso no lo cubre la garantía Estudiante al fin y como la necesitaba para poder estudiar y trabajar, la dejé confiando en que removerían el virus. Y qué pasó?... Exacto! La borraron completa sin preguntarme nada y para colmo me cobraron $90 por el arreglo. Tras que me borraron todos los trabajos de la universidad y todos los juegos que tenía instalados, me dejaron sin dinero para pasar la semana Y estar en la universidad sin dinero, como que no era! En fin, desde ese momento me dije a mi mismo: Nunca Más Vuelvo a Caer!
Desde entonces he estado estudiando y trabajando, aprendiendo todo lo ético y lo no tan ético del mundo de las computadoras, Internet y seguridad informática. Recientemente me he obsesionado con la seguridad de los blogs hechos en Wordpress ya que he encontrado muchos de los mismos totalmente desprotegidos en los cuales he tenido la oportunidad de ver todo su contenido y hasta todos los productos que venden, reportes videos, etc. Cosas tan sencillas como contraseñas o passwords predecibles, archivos expuestos, links desprotegidos, acceso al código fuente en donde se ven todos sus plugins, themes, archivos en la carpeta de uploads entre otras cosas. El motivo de haber creado este reporte es para que estés alerta y que tomes acción para proteger como decimos en Puerto Rico: Tus Habichuelas, lo que te deja dinero, que te permite llevar comida a tu casa, o sea tus productos o servicios. ;-) A continuación un poco de teoría sobre quiénes son los que pueden estar robando tus productos y porque lo hacen. Te prometo que la teoría es poca ya que no te quiero aburrir, pero es necesario que entiendas la diferencia y el concepto. Sin más preámbulos COMENCEMOS!
Qué es un Hacker? Según Wikipedia¹, un Hacker de informática es una persona que pertenece a una de estas comunidades o subculturas distintas pero no completamente independientes: Gente apasionada por la seguridad informática. Esto concierne principalmente a entradas remotas no autorizadas por medio de redes de comunicación como Internet ("Black hats"). Pero también incluye a aquellos que depuran y arreglan errores en los sistemas ("White hats") y a los de moral ambigua como son los "Grey hats". Una comunidad de entusiastas programadores y diseñadores de sistemas originada en los sesenta alrededor del Instituto Tecnológico de Massachusetts (MIT), el Tech Model Railroad Club (TMRC) y el Laboratorio de Inteligencia Artificial del MIT. Esta comunidad se caracteriza por el lanzamiento del movimiento de software libre. La World Wide Web e Internet en sí misma son creaciones de Hackers. El RFC 1392 amplia este significado como "persona que se disfruta de un conocimiento profundo del funcionamiento interno de un sistema, en particular de computadoras y redes informáticas" La comunidad de aficionados a la informática doméstica, centrada en el hardware posterior a los setenta y en el software (juegos de ordenador, crackeo de software, la demoscene) de entre los ochenta/noventa. En la actualidad se usa de forma corriente para referirse mayormente a los criminales informáticos, debido a su utilización masiva por parte de los medios de comunicación desde la década de 1980. A los criminales se les pueden sumar los llamados "script kiddies", gente que invade computadoras, usando programas escritos por otros, y que tiene muy poco conocimiento sobre cómo funcionan. Este uso parcialmente incorrecto se ha vuelto tan predominante que, en general, un gran segmento de la población no es consciente de que existen diferentes significados. ¹ http://es.wikipedia.org/wiki/hacker
Mientras que los Hackers aficionados reconocen los tres tipos de Hackers y los Hackers de la seguridad informática aceptan todos los usos del término, los Hackers del software libre consideran la referencia a intrusión informática como un uso incorrecto de la palabra, y se refieren a los que rompen los sistemas de seguridad como "crackers" (analogía de "safecracker", que en español se traduce como "un ladrón de cajas fuertes"). Según Axel San Miguel, en términos simples un Hacker es una persona curiosa que le gustan los retos en seguridad informática, donde si encuentra un sitio web con alguna seguridad, tiene la curiosidad de tratar de entrar y busca la forma de cómo hacerlo, todo dependiendo que tan grande sea el deseo de lograr su objetivo. Además un Hacker no hace daño, al contrario, una vez logra su objetivo deja una huella o se comunica con el dueño de la página y le notifica sobre la vulnerabilidad que encontró. Ahora, un Cracker es la persona la cual hay que tenerle miedo y de la cual hay que protegerse, ya que un Cracker quiere entrar no importa que, muchas veces porque es pagado para hacerlo, tiene interés en hacer daño, quiere robar el contenido y subir código malicioso para hacer varias fechorías, que si las menciono aquí no querías conectarte nunca más al internet. Pero esa no es mi intención, no quiero que te asustes sino que estés alerta y que sepas que hay métodos en los cuales les puedes hacer la vida más difícil a estos Crackers. Nota Importante: Los secretos o métodos que voy a compartir contigo hoy no son infalibles y NO, repito, NO te van a proteger completamente de ataques o intentos de tumbarte tu sitio web. Solo es una capa adicional de seguridad en donde puedes mantener a los Cracker Novatos fuera de tu sitio web. No te garantizo que un Cracker Profesional no va a romper la seguridad de tus páginas. Si él quiere hacerlo y tiene un deseo ardiente, mas una buena cantidad de dinero que le paguen Lo va a lograr! Antes que hagas cualquier cambio a tu blog de Wordpress es recomendable que hagas una copia de resguardo o backup de todo tu blog, incluyendo los themes o plantillas, los plugins, las bases de datos entre otras cosas que tengas instalado en tu blog. Todo lo que te presento aquí es basado en mi experiencia pero quiero aclararte con mi Disclaimer que No Me Hago Responsable de cualquier problema que esto te pueda causar o si tu sitio web deja de funcionar. Esto son métodos de seguridad que son avanzados y deberían hacerse con la ayuda de un profesional para evitar que se desprograme tu sitio web en Wordpress.
Sin más preámbulos aquí están los secretos para proteger tus blogs en Wordpress. Contraseñas ( passwords ) Lo primero que debes hacer para proteger tu blog de Wordpress es crear una contraseña o password complejo. Muchas veces las personas terminan usando contraseñas o passwords fáciles de recordad y fáciles de adivinar como el nombre de la pareja, de un hijo, de la mascota o sino una fecha de nacimiento. No solo son fáciles de adivinar sino que hay herramientas que los Hackers y Crackers usan, las cuales pueden descifrar contraseñas débiles a base de un diccionario o haciendo lo que se llama Brute Force o a fuerza bruta, en donde el sistema usa una combinación de variantes para descifrar la contraseña deseada en x cantidad de tiempo. Tú no dejarías la puerta de tu casa abierta o la puerta de tu carro sin seguro porque es más fácil de entrar, Verdad? Pues Lo mismo pasa con tu contraseña o password. Si usas contraseñas o passwords fáciles de recordar estos también serán fáciles de romper o adivinar por un curioso o malicioso Hacker o Cracker. Para crear un password complejo y fuerte te recomiendo lo siguiente: 1. No menos de 8 caracteres. 2. Usa símbolos y caracteres especiales. 3. Usa una combinación de mayúsculas y minúsculas en cada contraseña. 4. No uses palabras comunes de un diccionario. 5. Cambia tu password a menudo 6. No le digas tu password a nadie a menos que sea necesario. 7. Si crees que alguien ha entrado a tu blog de Wordpress o notas algún cambio que tú no hiciste, te recomiendo que inmediatamente cambies la contraseña o password y verifiques todas tus entradas o posts, páginas, enlaces y otros.
Ej.: No es lo mismo tener un password así: Axel o 1234 (Esta clase de contraseña es fácil de romper ya que es una palabra que aparece en un diccionario) Es mejor tener un password así: Ax3l_S@n^M1gu3l (Este password es bien seguro y difícil de romper debido a la complejidad del mismo). Asegúrate crear una contraseña o password que sea fácil de recordar pero difícil de romper! Actualiza tu blog de Wordpress a la última versión, incluyendo los themes y plugins. Cada vez que entras al Dashboard o panel de control de tu blog de Wordpress, verifica si en la parte de arriba te sale un mensaje para hacer upgrade a una nueva versión de Wordpress, de algún plugin o theme y actualízalo, ya que al dejar la versión vieja estas dejando una puerta abierta para que un Hacker o Cracker entre, explotando alguna vulnerabilidad.
Cambiar el prefijo wp_ de la tabla de la base de datos El prefijo wp_ es el prefijo que viene por defecto cuando se configura una nueva instalación de Wordpress. El problema de esto es que al ser el prefijo por defecto hay programas que usan los Hackers o crackers para tratar de explotar alguna vulnerabilidad o inyectar código malicioso a la base de datos. Una de las formas más fáciles de verificar el prefijo por defecto de tú blog de Wordpress es instalando un plugin llamado WP Security Scan WP Security Scan es un plugin que te ayuda a cubrir varios asuntos de seguridad sin tener que saber nada de programación y es súper sencillo de usar. Instalas WP Security Scan entrando a la sección de los plugins en el dashboard de tu Wordpress: (Mi versión de Wordpress es en ingles pero son los mismos pasos en la versión en español solo que el término es distinto) Entra a la sección de Plugins Dentro de Plugins vas marcar la opción de Add New" Una vez hagas click en la sección de Add New vas a entrar en la sección de Install Plugins en donde te sale una barra para hacer una búsqueda y en la misma vas a escribir WP Security Scan y haces click en Search Plugins
En la próxima pantalla va a escoger el WP Security Scan y le vas a hacer click en Install Now Haces click en Activate Plugin Una vez actives el Plugin, te va a salir una opción que dice Security
Haces click en Security y te sale la siguiente pantalla: En esta pantalla puedes verificar varios asuntos de seguridad de tu blog de Wordpress que puedes arreglar fácilmente. En este ejemplo el blog tiene el prefijo de la tabla en la base de datos como wp_ lo cual es un riesgo de seguridad. Lo único que hay que hacer es hacer click donde dice Click here para cambiar el nombre a cualquier nombre que desees. También presenta que no existe el archivo.htaccess en el folder de wp-admin Lo cual representa que la carpeta de wp-admin esta vulnerable a ataques, cualquiera puede entrar y tratar de romper el password de administrador para tener acceso al Dashboard o panel de control.
Cambiar la Cuenta de Admin por Defecto de Wordpress Cuando instalas Wordpress por primera vez, te da la opción de escoger un nombre de usuario para tu administrador y muchas veces las personas usan el que viene por defecto de Admin si eres una de estas personas estas haciéndole la vida más fácil a un Hacker o Cracker para que rompa la seguridad de tus páginas. Ya tienen un paso adelante, ya tienen el nombre de usuario y lo único que falta es romper la contraseña, ya sea a través de una inyección de código malicioso explotando alguna vulnerabilidad o haciendo un BruteForce. Te recomiendo que cambies o crees otra cuenta, llámala como tú quieras y dale permisos de administrador. Una vez tengas creada esa cuenta, borra la de Admin y estarás añadiendo una capa de seguridad adicional a tu blog. Protege las carpetas con archivos importantes Este para mi es uno de los secretos más críticos que te voy a revelar, pues hay mucha gente que está dejando su contenido desprotegido para que los demás entren y se lo lleven como decimos en Puerto Rico: Como Juan Por Su Casa. Te voy a contar como fue que di con este problema. (En la siguiente historia no voy a mencionar nombres, lugares ni lo que hice, para proteger la identidad de la persona y su sitio web, pero si quiero que sepas que ya me comuniqué con la persona para que hiciera los cambios pertinentes para proteger su sitio web) Hace unos días me llegó una invitación de Facebook de un grupo al cual estoy registrado, en el que promocionaba un producto de esta persona. Curioso al fin, presioné el enlace y me llevó a una página en donde había una carta de venta bastante decente con varios de los elementos que despiertan la curiosidad de un Hacker. Luego de hacer una búsqueda, logré entrar a su sitio web en donde estaba el producto en videos con los ebooks en PDF que ofrecía servidos en bandeja de plata. Todo esto le pasó por no asegurar su sitio web o por solo confiar en el sistema de Wordpress por defecto. Además, usó uno de los elementos de Wordpress que a mí personalmente no me gusta usar para nada, y es la opción de hacer uploads o subir imágenes y archivos en el Dashboard o panel de control de Wordpress.
Yo encuentro que esta opción se debe usar solo para subir imágenes o videos que vas a colocar en alguna página, entrada (blog post) que hagas, pero subir documentos, videos o archivos que sean para vender o que requieren que escribas tu nombre y correo electrónico para poder tener acceso al mismo, no te lo recomiendo. Pero Porque No? Qué bueno que lo preguntas! Aquí está el porqué: Cuando subes archivos usando la opción mencionada arriba, Wordpress crea por defecto una carpeta del día o año dentro de la carpeta de Uploads que está situada en: http://www.tublogdewordpress.com/wp-content/uploads/ La misma por defecto tiene las propiedades de seguridad 777 o 755 que significa que cualquiera tiene acceso a esos archivos para ver, escribir y ejecutar. Al ser esto así cualquier persona puede ir a tu blog de Wordpress escribiendo: http://www.tublogdewordpress.com/wp-content/uploads/ y ver todo lo que hay dentro de esa carpeta incluyendo las sub carpetas.
Este podría ser tu blog y acaban de tener acceso a tu valioso producto. Además, pueden entrar a las carpetas creadas por fecha y ver todas las imágenes y archivos. Da miedo verdad? Pues no tengas miedo porque yo estoy aquí, jajaja! Algo súper sencillo que puedes hacer para evitar que puedan entrar a tu carpeta de uploads es crear un archivo llamado REDOBLE DE TAMBOR!!!! Prrrrrrrrrrrrrrrrrrrr
index.html Si, un simple archivo que puedes crear en Notepad que tenga lo siguiente: Cuando termines le haces click en File y vas a Save As
Vas a la opción que dice Save as type y escoges All Files (*.*) En el encasillado de File name escribes index.html (Sin las comillas) y luego le haces click a Save Ahora vas a subir ese archivo llamado index.html y lo vas a colocar en la carpeta de uploads localizada en http://www.tublogdewordpress.com/wp-content/uploads/ esto lo puedes hacer con tu utilidad de FTP favorita o te comunicas conmigo para ayudarte. Una vez hagas esto, cuando entras nuevamente a la dirección: http://www.tublogdewordpress.com/wp-content/uploads/ Esta es la pantalla que te saldrá:
Exacto! En blanco, ya que el archivo de index.html está en blanco y es lo que se trata de ejecutar una vez entras a la carpeta. Ahora, te puedes poner un poco creativo y hacer un archivo index.html más interesante, como por ejemplo uno así:
Hay lo tienes! Un poco de teoría, varios cambios que le puedes hacer a tu blog de Wordpress para proteger tus archivos y la conciencia de que esto está pasando allá afuera. Ahora lo sabes! Queda de tu parte tomar acción y asegurar tu blog para que personas curiosas no puedan robarte tu valioso producto. Esto es prácticamente un 2% de lo que puedes hacer para asegurar tu sitio web hecho en Wordpress, ya que hay cientos de cosas adicionales que puedes hacer para protegerte constantemente de ataques maliciosos. En mi blog http://www.axelsanmiguel.com vas a encontrar mucha información relacionada a la seguridad de tus páginas web no solo en Wordpress si no en otros manejadores de contenido y páginas en HTML, PHP, FLASH, entro otros. Además seguridad en las redes sociales como Facebook, Twitter, Youtube, etc. Espero este reporte te haya gustado y le puedas sacar provecho. Lo más importante es tomar acción inmediata y no dejar que te roben tu contenido Si tienes cualquier duda acerca de lo que está en este reporte, necesitas ayuda o quieres que me encargue de la seguridad de tu sitio web, comunícate conmigo a la mayor brevedad. Axel San Miguel Encuéntrame en: Skype ID: Axel.San.Miguel