Seguridad WordPress – Como Proteger tu Blog

Siempre he dicho que WordPress es una de las mejores herramientas jamás inventada.  No solo te da miles de posibilidades para crear páginas increibles, sino que encima es gratis.

Pero WordPress, como cualquier otra plataforma, también tiene sus lados negativos.  Una de estas facetas negativas son las vulnerabilidades que en algunos casos puede llegar a tener.

Durante los últimos años me ha pasado más de una vez, que alguno de mis blogs ha sido hackeado, o que por alguna puerta trasera sin cerrar se me ha colado algún programilla indeseado.  Y es muy posible que incluso tu propia web esté hackeada en estos momentos, sin que tu lo sepas.

El objetivo de este post es enseñarte algunos pequeños trucos que te ayudarán a proteger un poco mejor tu blog.  Al menos, con estos sencillos pasos, evitarás el 80% de los posibles ataques que puedas sufrir.

Estos son los pasos que te recomiendo seguir:

1. Ver si tu blog está infectado

Lo primero de todo será echarle un vistazo a nuestro blog para ver si ha sido atacado.  Para esto puedes usar herramientas gratuitas como este scanner gratuito que te permitirá ver el estado de tu blog.

Una vez escaneada tu web, verás algo como esto:

scan de seguridad web

Con esta herramienta no solo podrás comprobar si tu blog está infectado de alguna manera, sino que también podrás ver algunas recomendaciones que la herramienta te da para mejorar la seguridad de tu blog.  En este caso, me recomienda actualizar wordpress a la última versión. :)

No es la única herramienta que existe para estos casos, ni mucho menos.  Pero es la que mas me ha llamado la atención.  Si conoces alguna buena que uses, no dudes en ponerlo en los comentarios y compartirlo con el resto de los lectores.

2. Actualizar tu blog

Parece una tonteria y mucha gente no lo suele hacer.  Pero siempre que salga una actualización de wordpress, asegurate de que la instalas.  Esto lo puedes ver en la parte superior de tu panel de control de wordpress:

actualizacion de wordpress

No creo que necesite mucha más explicación.  Simplemente es darle al botón “actualizar ahora” y ya está.

Luego también te recomendaría actualizar todos tus plugins a la última versión.  Esto lo puedes hacer dentro de la sección de plugins:

actualizar plugins wordpress

Tampoco tiene mucha más explicación.  Dale a “actualizar automáticamente” y listo.

Porque tienes que hacer esto?  Porque cada vez que sale una actualización, es muy probable que esta actualización contenga correcciones de código que le cierran las puertas a riesgos de vulnerabilidad existentes.

Tardarás menos de 2 minutos y creeme, vale la pena hacerlo.

3. La vulnerabilidad timthumb

Timthumb es un pequeño programa PHP que redimensiona imágenes de forma automática.

Muchas de las plantillas usadas por wordpress tienen instalado este pequeño programilla, muy útil para poner imágenes en tu blog.

El problema es que este programa tenía un serio fallo de seguridad que permitía dejar una puerta abierta para ataques a tu blog.  Hay cientos de miles de blogs afectados por este problema, y lo peor es que la mayoría de estos blogs ni saben que están afectados.

Si usas wordpress y usas algún tema que pueda usar Timthumb , te recomiendo instalar el siguiente plugin (si no estás seguro, haz esto de todas formas):

Vete al panel de control de WordPress y entra en Plugins -> Añadir nuevo.

En la sección de “buscar” escribe TimThumb Vulnerability Scanner

timthumb scanner

Dale a “buscar” e instalate el timthumb Vulnerability Scanner de Peter Buttler.

Una vez instalado, aparecerá dentro de la sección Herramientas -> Timthumb Scanner.

Si entras, verás un pequeño botón donde pone “scan”.  Si le das, el plugin automáticamente te dice si tu ordenador está infectado

Y encima te dice que fichero deberías borrar para resolver este problema.

(y por supuesto, también te actualiza el Timthumb a la última versión parcheada de forma automática, para no tener este problema en el futuro)

timthumb plugin

 

Si tu web está infectada, usa una herramienta FTP como por ejemplo Filezilla (gratuito), y borra los archivos que te marca como infectados.

Y ya de paso, abre tu archivo .htaccess con un editor de texto, y mira a ver si te han colado algún código extraño con enlaces salientes hacia sitios que no conoces.  (Muy probablemente enlaces hacia sitios de sexo/casino/viagra/etc..)

4. Modifica tu Robots.txt

El robots.txt es un pequeño archivo de texto que le indica a los robots (crawlers) que pasan por tu web, que es lo que pueden y lo que no pueden hacer.

Aparte de los robots de Google, Yahoo, Bing, etc.. también pasan por tu blog a diario una gran cantidad de robots “malignos” cuyo objetivo es buscar vulnerabilidades en tu web o robarte contenido para publicarlo de forma automática en sus autoblogs.

Fijate en mi archivo de robots.txt que tengo en este blog (www.vivirdelared.com/robots.txt).  Si te fijas, verás que tengo varias decenas de robots bloqueados.  Por ejemplo:

robots txt

El BackdoorBot/1.0 por ejemplo, es un troyano que si consigue entrar y aprovecharse de una vulnerabilidad en tu web,  le permitirá a un hacker acceder a tu web sin que te des cuenta.

La función Disallow: / que ves debajo del nombre, es lo que le dice al robot que no puede entrar en tu web.

En cambio, al final de mi archivo robots.txt también verás que a Google y otros crawlers si que los dejo entrar sin problema.

Ejemplo:

robots text google

Como ves, el “disallow:” no tiene nada detrás por lo que le estamos abriendo las puertas a los robots buenos para que entren en nuestra web.

Por último, también verás que al final del archivo le cierro las puertas de algunas rutas dentro de mi blog, para que estas no se indexen:

bloquear robots

User-agent:* quiere decir que esto es para todos los demás robots que pasen por la web.  Y a todos ellos, les deniego el acceso a las rutas descritas en el archivo.

Si quieres, puedes copiar este archivo de texto y ponerlo en tu blog, pero ten cuidado no copies la última linea que es la del Sitemap!  Si copias esta, tendrás un pequeño problema de indexación… ;)

Otros plugins de seguridad

Aqui tienes otros plugins muy recomendables para mejorar la seguridad de tu blog:

- BulletProof Security – Este plugin protege tu web de ataques XSS, CSRF, Base64 e inyecciones SQL.

- My Easy Backup – Te permite guardar, restaurar y migrar tu web completa y tu  base de datos con un solo click.

- Antivirus - Un potente antivirus para tu blog.

Conclusión

Estos pequeños cambios no evitan que tu blog pueda ser hackeado, ni mucho menos.  Los buenos hackers seguramente podrán acceder de todas formas.  Pero con estos cambios al menos te proteges de la GRAN mayoría de los ataques automáticos que tu blog puede recibir.

Si quieres darle una vuelta de tuerca más a la seguridad de tu blog/tienda online/página web, te recomiendo contratar un sistema de monitorización como el de Codegarage (que son los que crearon el plugin de TimThumb scanner que hemos comentado antes).

Ellos monitorizan y hacen copias de seguridad de tu blog de forma diaria.

Tienes 7 días de prueba gratuitos y depués de eso, el precio es de solo 7€/mes (10 $) para monitorizar 2 páginas distintas.

Aparte de monitorizar, también te ayudan a resolver un ataque en caso de que hayas recibido uno.

Son de lo mejor (y más económico) que he visto en este tema.

Bueno.  Esto es todo por hoy.  Espero que hayas tenido un buen comienzo de año y que esos kilos de más que habrás ganado en las comilonas familiares sean llevaderos.  Ahora te toca lo de cada año… dejar de fumar y apuntarte al gimnasio. ;)

Y de paso…si es la primera vez que pasas por este blog, te invitó a que también te registres en el lateral del mismo para que puedas recibir trucos como este directamente a tu email.

Un saludo!! :)

 

¿Te gusta este Artículo? Entonces te recomiendo una cosa..

Regístrate a mi blog y recibirás:

  • Un email automático que te avisará cada vez que publique algo nuevo en Vivirdelared.com.
  • Una lista de los mejores descuentos y accesos gratuitos a herramientas que voy negociando por tí con las empresas.
  • Una serie de trucos actualizados de SEO y Marketing Online que no puedo contar aquí en "abierto"..

O si lo prefieres ...

Me ayudaría mucho, mucho si compartes este artículo.
Los Tweets, Likes y +1s ayudan a que Google tome en serio este artículo y lo posicione... ¿me echas un cable?? :)

1 Estrella2 Estrellas3 Estrellas4 Estrellas5 Estrellas (No hay valoraciones todavía)
Loading ... Loading ...

Comentarios

  1. dice

    Excelente la información que compartes Alex. Actualmente estaba viendo como proteger mi Red de Blogs, ya que no quisiera ser hackeado. Lo del robot.txt me parece interesante, y no lo sabia, es de gran ayuda esta información. De echo, ni siquiera e diseñado mi Robot.txt, asi que copiare el que tu tienes, claro, si me das permiso. Para colocarlo en mis blogs.

    saludos
    Jose Silvano Zavala Torres

  2. dice

    Alex… como siempre de gran utilidad tus consejos.
    En concreto la vulnerabilidad timthumb la desconocia, y me voy a poner a ello en muchos de los WP que tengo instalados.

    Es ver tu correo y zas.. stop a lo que se este haciendo para leer el post ;)

    Gracias de nuevo crack!

  3. dice

    perfecto, muchas gracias por compartir toda esta informacion util, aparte que worpress cuando lo instalas genera automaticamente un sitemaps enviando a gogle mas de 1600 paginas para ser indexadas y luego eso te genera vulneravilidad desde mucho antes que hayas publicado tu primera entrada por eso es bueno eliminarlo desde el primer momento en que instalas worpress en algun dominio.

    saludos desde Latinoamerica

  4. dice

    Alex muchas gracias por tú información.

    A ver si saco un hueco y me curro un artículo en mi Blog y de paso te enlazo una referencia porque te lo mereces.

    Un abrazo.

  5. dice

    Hola Alex,

    Gracias por tu ayuda continua con tus posts.

    Tengo una duda: me da un poco de miedo actualizar el WordPress por si se estropean los sites, ya que tengo muchas modificaciones en las plantillas y no sé si los voy a fastidiar.

    Gracias de antemano por tu consejo y feliz 2012.

    • Alex dice

      Hola Lydia!
      No hay problema. Si una actualización falla, es bastante sencillo arreglarlo. En muchos casos basta con borrar el archivo .maintenance (o similares) con un programa FTP. (este archivo se crea de forma automática en la carpeta raiz de tu blog).

      Un saludo y mucha suerte! :)

    • Alex dice

      jajajajaajaj muchas gracias Edu! :)
      A ver si para el año que viene te portas mejor y me traen los reyes. XDD
      un abrazo!

  6. Takashi dice

    Hola Alex!
    Salud y Felicidad en éste Año Nuevo 2,012 !
    Gracias una vez mas por compartir éste tema
    Seguridad WordPress – Como proteger tu blog.
    Lo tendré presente para cuando tenga mi blog
    listo, te avisaré para que des tu V°B°
    Un abrazo !

    • Alex dice

      Si, tienes razón. Sobre todo, porque muchos de los ataques son automatizados que atacan a todo lo que se encuentran por el camino, independientemente del tipo de sito que sea..
      un saludo!

  7. José dice

    Hola Alex
    Gracias por compartir información tan completa acerca de la seguridad de nuestro sitio. Pero como soy novato, no se dónde debo ubicar el archivo Robots.txt.
    Felicidades por el post y que tengas un buen año.
    Saludos

    • dice

      José el archivo Robots.txt lo has de ubicar dentro de la carpeta www de tu hosting, para ello necesitarás acceder a través de FTP.

      Otra opción, dentro de WordPress, es utilizar este plugin de Yoast de Valk llamado: Robots Meta; con él podrás editar tu archivo Robots.txt desde la administración del WordPress además de poder hacer otros ajustes.

      Espero que esto te ayude.

  8. dice

    Lo de actualizar WordPress puede ser un gran problema. Algunos plugins y temas dejan de funcionar o aparecen errores. A veces hay que tener cuidado con ello y antes de nada hacer el mismo procedimiento en una maquina local.

    Un saludo!

    • Alex dice

      Si, a veces te puede pasar lo que comentas, pero siempre se puede revertir (se dice así?) la actualización.
      Un saludo!

  9. Santiago dice

    Hola Alex

    Hay algo que no entiendo

    Porque al final de tu robots.txt prohibes esto??

    User-agent: Adsbot-Google
    Disallow:

    User-agent: Googlebot
    Disallow:

    User-agent: Mediapartners-Google
    Disallow:

    Gracias

    Santiago

    • Alex dice

      Hola Santiago!
      No les estoy prohibiendo la entrada.
      Todo lo contrario.

      Si lo quisiera prohibir, pondría

      Disallow: /

      en vez de

      Disallow:

      Si lo dejo abierto sin poner el “/” es que pueden pasar sin problema.
      Un saludo! :)

  10. dice

    Buenisimo Alex! Gracias a tu entrada me he dado cuenta que estabamos hackeados por la vulnerabilidad de thumb.php y he conseguido arreglarlo.

    Por si alguien le sirve mi expericencia:
    - en webmaster tools explorar como google bot y ver si hay hack o no.
    - eliminar fichero que este apuntado desde htaccess.
    - cambiar htaccess. (poner el antiguo bueno conocido)
    - buscar por todos los ficheros por la instrucción “base64_decode” o por “GoogleBot” (si es que es un código que solo ve google) o por “Viagra” (si es lo que ha puesto el hack) y quitar el código malicioso (cuidado que hay ficheros que utilizan esa instrucción sin ser malicioso)

    También leer este link http://redleg-redleg.blogspot.com/2011/02/pharmacy-hack.html

    Abrazo y gracias de nuevo Alex!

  11. dice

    Hola Alex,

    En mi caso no actualizo el wordpress porque tengo la experiencia de varios amigos, luego de hacerlo les sale error.

    Alguna solución frente a eso?

  12. Elizabeth dice

    hola Alex. muy bueno tu blog, gracias por tu informacion, tengo una pregunta yo hice revisar mi web y me sale lo siguiente:
    Security report (Warnings found): Blacklisted: Yes, Que debo hacer para sacar mi sitio web de la lista negra ? porque aparece en esa lista ?
    gracias por tu ayuda
    Elizabeth

  13. dice

    Excelente post!

    He probado en mi web y…. ¡horror! con el Sucuri SiteCheck, me sale:

    status: Site with warnings
    web trust: Not Blacklisted

    y unas 10 alertas de seguridad en algunas páginas de la web.
    ¿cómo se puede arreglar? ¿tengo que comprar el servicio? :-( ¿qué me recomiendas?

    Gracias!!

  14. dice

    Otro post para nota. Me acabo de poner con wordpress y seguro que todos estos consejos me van a ser muy útiles. Otra recomendación para todos es trabajar en “Local”, de ese modo si tienes un ataque, subes tu copia de local al servidor y de nuevo lo tienes todo limpio.

    Un saludo figura,

    Jesús

  15. johan mata dice

    en mi web desaparecio mi trabjo de semans horas dias, los anuncios destacados las categorias no puedo subir archivos fui hakeado definitivamente o puede ser un proble de el hosting quiere saber que tengo que hacer tumbarla y subirla nuevamente con todas las protecciones que falta me siento y que perdida de tiempo me an ocasionado

  16. dice

    Alex, muchisimas gracias, llevo más de un mes intentando localizar un virus en un WP con una redirección aleatoria que me llevaba loco y leer tu post ha sido la solución. ;)
    El fallo de seguridad se produjo a través del framework de Woothemes. Por si a alguien le sirve, antes de actualizar, tal como recomienda al gente de woothemes (esto cierra el hueco de seguridad, pero no soluciona lo que haya pasado durante ese tiempo) debéis revisar muy muy bien todos los archivos infectados y los usuarios del WP, en mi caso incluso se habían creado usuarios con privilegios de administrador. No se os olvide cambiar todas las claves, ftp, admin, etc…

    Gracias de nuevo!!!!

  17. dice

    Solo quería preguntarte donde colocas el archivo de texto con los robots. Soy nuevo en esto de las páginas web.
    Gracias por este post es muy interesante

  18. dice

    Hola excelente articulo y te aseguro que me ha servido de mucho la verdad es que es un gran problema la inseguridad de los blog pero con tus consejos aplicados espero reducir un poco este peligro gracias hasta pronto

  19. Elena dice

    No puedo acceder a tu txt de robots y ni sé donde tengo que poner este archivo o como encontrarlo me está poniendo de los nervios.

  20. dice

    Gracias por este artículo Alex; lo leí hace muchísimo tiempo, pero por desgracia :), he tenido que volver a pasar por él; he tenido que utilizar la herrmienta que comentabas, Sucuri Sitecheck para comprobar mi dominio, y ver que está como “blacklisted”, no sé si es debido a la plantilla de WordPress que estoy utilizando.

    Ya se que estás liadísimo con todo lo que tienes arriba, pero cómo puedo quitarme este blacklis debido a un malware no identificado?? Parece ser que esto no me ha afectado respecto a Google, vamos, que no me ha metido en un pozo aún de búsquedas.

    Muchas gracias. Saludos!!

  21. dice

    Hola Alex, he estado leyendo tu artículo para implementarlo en el blog y es que tengo una confusión con respecto al archivo robots.txt. El enlace que pones (www.vivirdelared.com/robots.txt) ya no funciona o lo has deshabilitado. Te lo comento porque me hubiera gustado ver como lo haces para tomar nota ya que he leído otros blogs y todos son diferentes y a veces desde el Webmaster de Google me envían un email diciéndome que el archivo robots ha bloqueado la web y bla bla. Bueno espero que me puedas ayudar con este tema cuando puedas. Saludos!!!

  22. dice

    Hola Alex tengo años siguiendo tus post y no dejas de dejarme boquiabierta con todo lo que uno aprende contigo. Te comento que el mes pasado subi un plugin a mi blog y me robo las comisiones de afiliado. busque por la red y descubri que era ese plugin lo quite y limpie el blog y automaticamente vinieron todas mis comisiones (Casualidad?) no se, lo que si se es que hay que tener mucho cuidado con estos ataques,

  23. Fco Javier dice

    Hola Alex,
    Las indicaciones que haces sobre tu archivo robots.txt ya no se corresponden con el actual, el cual es muy sencillo y lo permite casi todo.

    Es por algún motivo?

    Gracias!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>