El archivo wp-login.php, situado en la raíz de nuestro sitio web desarrollado con WordPress, es el que se encarga de solicitar el nombre de usuario y contraseña para identificar a los usuarios. Se usa, por ejemplo, para acceder a la administración de la web.
Por tanto, proteger el acceso a este archivo aumentará la seguridad de nuestro WordPress.
Leer más
El directorio wp-admin de WordPress contiene los archivos de la administración de WordPress y, como tales, solo deberían ser accesibles para los usuarios administradores.
Para acceder a esa área de administración se solicitará un usuario y contraseña, pero nunca está de más tomar medidas de seguridad adicionales para proteger el acceso a la administración de la web.
Leer más
(Web Application Firewall), es un software que se puede ejecutar dentro del sevidor web, o antes de que el tráfico HTTP llegue al servidor web, y que analiza todo el tráfico HTTP y bloquea algunas peticiones (o respuestas del servidor) si las considera maliciosas.
La función de un WAF es proteger a los visitantes de la web, para que no ejecuten código malicioso, y al administrador de la web para que no puedan explotar fácilmente las vulnerabilidades de su web.
Leer más
HTTP es el protocolo usado en internet para navegar por páginas web. Sin embargo este es un protocolo un poco antiguo que no tenía en mente la seguridad cuando fue creado.
Cuando navegamos por una página web, podemos realizar diferentes acciones, y en muchas de ellas estamos enviando datos nuestros al servidor, que viajan a través de internet.
Imagina que te conectas a una red Wifi en una cafetería. Esta red Wifi es abierta, y todo el mundo puede acceder a ella. O aunque no sea abierta, hay otra gente que sabe la clave Wifi y navega en tu misma red.
Leer más
Algunos servidores Web mal configurados permiten el listado de directorios. Esto significa que si accedes desde el navegador a una URL que coincide con un directorio, y no hay un index.php o un index.html, se mostrará un listado con todos los ficheros y directorios de ese directorio.
Cómo si estuvieras navegando con el explorador de archivos de Windows, Mac o Linux y pudieses ver todo el contenido alojado en el servidor.
Esto es un fallo de seguridad bastante evidente y que hay que evitar.
Si el servidor web está correctamente configurado nunca permitirá esto. Pero esto no siempre es así. Una simple búsqueda en Google os permitirá ver bastantes ejemplos de webs que permiten el listado de directorios, buscad esto y comprobadlo: ” intitle:”index of” “.
Leer más
En otra entrada de este blog ya habíamos visto la importancia de mantener actualizado WordPress a la última versión disponible, tanto para conseguir mejoras y corrección de errores, como por temas de seguridad. Pero tan importante o más que tener actualizado WordPress lo es también tener actualizados los plugins que tengamos instalados en él. Veamos por qué.
Los agujeros de seguridad en el código (errores de programación que pueden aprovechar los hackers para atacar nuestra web) pueden aparecer tanto en el propio WordPress como en los plugins que tengamos instalados. Pero debido a que solemos tener instalados multitud de plugins en WordPress, la posibilidad de que existan estas vulnerabilidades se multiplican.
Leer más
Google Safe Browsing es un servicio de Google que revisa una URL y te indica si esa web es sospechosa de tener malware, phising o algún tipo de comportamiento no deseado o peligroso.
Google mantiene una base de datos de sitios web peligrosos, o hackeados, que va constantemente actualizando.
Google Safe Browsing es un servicio de diagnóstico de Google orientado a Webmasters y a usuarios finales, el cual permite comprobar de forma rápida si tu Web se encuentra afectada por algún tipo de problema de seguridad en los últimos 90 días.
El objetivo es ofrecer a los propietarios de los sitios Web, información para ayudar a la detección y limpieza de su sitio, y para proporcionar a los usuarios más información acerca de por qué el sitio se ha marcado cómo peligroso según Google.
Para comprobar un sitio simplemente hay que añadir la siguiente línea antes del nombre del dominio: “google.com/safebrowsing/diagnostic?site=“ y nos mostrará un mapa del sitio con los problemas detectados, como troyanos o exploits.
WPDoctor utiliza el API de Google Safe Browsing para comprobar que la web no esté incluida en el directorio de Google.
En caso de que la web esté incluida en este directorio, es importante revisarla lo antes posible, pasarle algún escaneo antivirus al código del lado del servidor, y también revisar el código HTML/Javascript, donde se suelen almacenar este tipo de vulnerabilidades.
Google SafeBrowsing es un servicio de diagnóstico de Google que examina las webs que indexa en su buscador en busca de contenidos no seguros (malware). Dicho en pocas palabras: si sales en el listado de sitios no seguros de Google SafeBrowsing tienes un problema grave con tu web.
Cuando Google detecta un sitio no seguro, además de añadirlo a la lista de SafeBrowsing se indicará en los resultados de búsqueda de Google que el sitio no es seguro y no recomendará su visita, lo que repercutirá enormente en el número de visitas que recibiremos desde el navegador. Además, en algunos navegadores como Chrome, cuando tratemos de acceder a una web que esté en la lista negra nos mostrará un mensaje previo informando del peligro.
Leer más
El archivo wp-config.php, situado en la raíz de nuestro sitio desarrollado con WordPress, guarda información muy sensible de nuestra web, por lo que tendremos que procurar mantenerlo lo más seguro posible.
Dentro de él se guardan información como los datos de acceso a la base de datos de WordPress (nombre de la base de datos, usuario y contraseña), claves de seguridad de WordPress y otros elementos de la configuración, como el idioma utilizado, si estamos en el modo de depuración, etc.
Leer más
Si enviamos la cabecera X-Content-Type-Options en la respuesta con el valor “nosniff”, los navegadores que soportan esta cabecera (IE y Chrome), no cargan las hojas de estilos, ni los scripts (Javascript), cuyo Myme-type no sea el adecuado.
El aspecto de la cabecera es el siguiente:
X-Content-Type-Options: nosniff
La mejor forma de añadir esta cabecera sería añadiendo unas líneas de código al archivos functions.php del tema de WordPress que estemos usando.
Este archivo se encuentra en la ruta wp-content/themes/NOMBRE_TEMA, en donde NOMBRE_TEMA es el nombre del tema que tenemos activado. En primer lugar, haremos una copia de seguridad del archivo functions.php. Después lo editamos y añadimos el siguiente código al final del mismo:
Leer más
He probado la herramienta para analizar #WordPress ¡¡genial!! 📣 wpdoctor.es vía @WebEmpresa pic.twitter.com/Ypg89cvMwZ #TKreo
Hemos probado la herramienta para analizar #WordPress y va genial > wpdoctor.es vía @WebEmpresa pic.twitter.com/QgZjOOoOwu
¿Quieres hacer un chequeo médico a tu #WordPress? ¡Es totalmente gratis! wpdoctor.es vía @WebEmpresa pic.twitter.com/xcJ74P9pYk
#WPDoctor by @webempresa, la herramienta definitiva para #wordpress webpositer.com/wp-doctor-la-h… vía @webpositer
