Saltar al contenido

Seguridad WordPress – Como Proteger tu Blog

9 enero, 2012

Siempre he dicho que WordPress es una de las mejores herramientas jamás inventada.  No solo te da miles de posibilidades para crear páginas increibles, sino que encima es gratis.

Pero WordPress, como cualquier otra plataforma, también tiene sus lados negativos.  Una de estas facetas negativas son las vulnerabilidades que en algunos casos puede llegar a tener.

Durante los últimos años me ha pasado más de una vez, que alguno de mis blogs ha sido hackeado, o que por alguna puerta trasera sin cerrar se me ha colado algún programilla indeseado.  Y es muy posible que incluso tu propia web esté hackeada en estos momentos, sin que tu lo sepas.

El objetivo de este post es enseñarte algunos pequeños trucos que te ayudarán a proteger un poco mejor tu blog.  Al menos, con estos sencillos pasos, evitarás el 80% de los posibles ataques que puedas sufrir.

Estos son los pasos que te recomiendo seguir:

1. Ver si tu blog está infectado

Lo primero de todo será echarle un vistazo a nuestro blog para ver si ha sido atacado.  Para esto puedes usar herramientas gratuitas como este scanner gratuito que te permitirá ver el estado de tu blog.

Una vez escaneada tu web, verás algo como esto:

scan de seguridad web

Con esta herramienta no solo podrás comprobar si tu blog está infectado de alguna manera, sino que también podrás ver algunas recomendaciones que la herramienta te da para mejorar la seguridad de tu blog.  En este caso, me recomienda actualizar wordpress a la última versión. :)

No es la única herramienta que existe para estos casos, ni mucho menos.  Pero es la que mas me ha llamado la atención.  Si conoces alguna buena que uses, no dudes en ponerlo en los comentarios y compartirlo con el resto de los lectores.

2. Actualizar tu blog

Parece una tonteria y mucha gente no lo suele hacer.  Pero siempre que salga una actualización de wordpress, asegurate de que la instalas.  Esto lo puedes ver en la parte superior de tu panel de control de wordpress:

actualizacion de wordpress

No creo que necesite mucha más explicación.  Simplemente es darle al botón «actualizar ahora» y ya está.

Luego también te recomendaría actualizar todos tus plugins a la última versión.  Esto lo puedes hacer dentro de la sección de plugins:

actualizar plugins wordpress

Tampoco tiene mucha más explicación.  Dale a «actualizar automáticamente» y listo.

Porque tienes que hacer esto?  Porque cada vez que sale una actualización, es muy probable que esta actualización contenga correcciones de código que le cierran las puertas a riesgos de vulnerabilidad existentes.

Tardarás menos de 2 minutos y creeme, vale la pena hacerlo.

3. La vulnerabilidad timthumb

Timthumb es un pequeño programa PHP que redimensiona imágenes de forma automática.

Muchas de las plantillas usadas por wordpress tienen instalado este pequeño programilla, muy útil para poner imágenes en tu blog.

El problema es que este programa tenía un serio fallo de seguridad que permitía dejar una puerta abierta para ataques a tu blog.  Hay cientos de miles de blogs afectados por este problema, y lo peor es que la mayoría de estos blogs ni saben que están afectados.

Si usas wordpress y usas algún tema que pueda usar Timthumb , te recomiendo instalar el siguiente plugin (si no estás seguro, haz esto de todas formas):

Vete al panel de control de WordPress y entra en Plugins -> Añadir nuevo.

En la sección de «buscar» escribe TimThumb Vulnerability Scanner

timthumb scanner

Dale a «buscar» e instalate el timthumb Vulnerability Scanner de Peter Buttler.

Una vez instalado, aparecerá dentro de la sección Herramientas -> Timthumb Scanner.

Si entras, verás un pequeño botón donde pone «scan».  Si le das, el plugin automáticamente te dice si tu ordenador está infectado

Y encima te dice que fichero deberías borrar para resolver este problema.

(y por supuesto, también te actualiza el Timthumb a la última versión parcheada de forma automática, para no tener este problema en el futuro)

timthumb plugin

 

Si tu web está infectada, usa una herramienta FTP como por ejemplo Filezilla (gratuito), y borra los archivos que te marca como infectados.

Y ya de paso, abre tu archivo .htaccess con un editor de texto, y mira a ver si te han colado algún código extraño con enlaces salientes hacia sitios que no conoces.  (Muy probablemente enlaces hacia sitios de sexo/casino/viagra/etc..)

4. Modifica tu Robots.txt

El robots.txt es un pequeño archivo de texto que le indica a los robots (crawlers) que pasan por tu web, que es lo que pueden y lo que no pueden hacer.

Aparte de los robots de Google, Yahoo, Bing, etc.. también pasan por tu blog a diario una gran cantidad de robots «malignos» cuyo objetivo es buscar vulnerabilidades en tu web o robarte contenido para publicarlo de forma automática en sus autoblogs.

Fijate en mi archivo de robots.txt que tengo en este blog (www.vivirdelared.com/robots.txt).  Si te fijas, verás que tengo varias decenas de robots bloqueados.  Por ejemplo:

robots txt

El BackdoorBot/1.0 por ejemplo, es un troyano que si consigue entrar y aprovecharse de una vulnerabilidad en tu web,  le permitirá a un hacker acceder a tu web sin que te des cuenta.

La función Disallow: / que ves debajo del nombre, es lo que le dice al robot que no puede entrar en tu web.

En cambio, al final de mi archivo robots.txt también verás que a Google y otros crawlers si que los dejo entrar sin problema.

Ejemplo:

robots text google

Como ves, el «disallow:» no tiene nada detrás por lo que le estamos abriendo las puertas a los robots buenos para que entren en nuestra web.

Por último, también verás que al final del archivo le cierro las puertas de algunas rutas dentro de mi blog, para que estas no se indexen:

bloquear robots

User-agent:* quiere decir que esto es para todos los demás robots que pasen por la web.  Y a todos ellos, les deniego el acceso a las rutas descritas en el archivo.

Si quieres, puedes copiar este archivo de texto y ponerlo en tu blog, pero ten cuidado no copies la última linea que es la del Sitemap!  Si copias esta, tendrás un pequeño problema de indexación… ;)

Otros plugins de seguridad

Aqui tienes otros plugins muy recomendables para mejorar la seguridad de tu blog:

BulletProof Security – Este plugin protege tu web de ataques XSS, CSRF, Base64 e inyecciones SQL.

My Easy Backup – Te permite guardar, restaurar y migrar tu web completa y tu  base de datos con un solo click.

Antivirus – Un potente antivirus para tu blog.

Conclusión

Estos pequeños cambios no evitan que tu blog pueda ser hackeado, ni mucho menos.  Los buenos hackers seguramente podrán acceder de todas formas.  Pero con estos cambios al menos te proteges de la GRAN mayoría de los ataques automáticos que tu blog puede recibir.

Si quieres darle una vuelta de tuerca más a la seguridad de tu blog/tienda online/página web, te recomiendo contratar un sistema de monitorización como el de Codegarage (que son los que crearon el plugin de TimThumb scanner que hemos comentado antes).

Ellos monitorizan y hacen copias de seguridad de tu blog de forma diaria.

Tienes 7 días de prueba gratuitos y depués de eso, el precio es de solo 7€/mes (10 $) para monitorizar 2 páginas distintas.

Aparte de monitorizar, también te ayudan a resolver un ataque en caso de que hayas recibido uno.

Son de lo mejor (y más económico) que he visto en este tema.

Bueno.  Esto es todo por hoy.  Espero que hayas tenido un buen comienzo de año y que esos kilos de más que habrás ganado en las comilonas familiares sean llevaderos.  Ahora te toca lo de cada año… dejar de fumar y apuntarte al gimnasio. ;)

Y de paso…si es la primera vez que pasas por este blog, te invitó a que también te registres en el lateral del mismo para que puedas recibir trucos como este directamente a tu email.

Un saludo!! :)

 

Seguridad WordPress – Como Proteger tu Blog

Entradas relacionadas

Responder a Takashi Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Comentarios (48)

Excelente la información que compartes Alex. Actualmente estaba viendo como proteger mi Red de Blogs, ya que no quisiera ser hackeado. Lo del robot.txt me parece interesante, y no lo sabia, es de gran ayuda esta información. De echo, ni siquiera e diseñado mi Robot.txt, asi que copiare el que tu tienes, claro, si me das permiso. Para colocarlo en mis blogs.

saludos
Jose Silvano Zavala Torres

Responder

Muchas gracias Jose! Por supuesto que puedes copiarlo. :)
Un saludo!!

Responder

Genial como siempre Alex,un abrazo y buen año

Responder

Alex… como siempre de gran utilidad tus consejos.
En concreto la vulnerabilidad timthumb la desconocia, y me voy a poner a ello en muchos de los WP que tengo instalados.

Es ver tu correo y zas.. stop a lo que se este haciendo para leer el post ;)

Gracias de nuevo crack!

Responder

jajajaja..muchas gracias..»vibradores».. XD

Un abrazo!

Responder

perfecto, muchas gracias por compartir toda esta informacion util, aparte que worpress cuando lo instalas genera automaticamente un sitemaps enviando a gogle mas de 1600 paginas para ser indexadas y luego eso te genera vulneravilidad desde mucho antes que hayas publicado tu primera entrada por eso es bueno eliminarlo desde el primer momento en que instalas worpress en algun dominio.

saludos desde Latinoamerica

Responder

Alex muchas gracias por tú información.

A ver si saco un hueco y me curro un artículo en mi Blog y de paso te enlazo una referencia porque te lo mereces.

Un abrazo.

Responder

Muchas gracias César! :)
Todo un detalle por tu parte. Te lo agradezco mucho.
Un abrazo!

Responder

Hola Alex,

Gracias por tu ayuda continua con tus posts.

Tengo una duda: me da un poco de miedo actualizar el WordPress por si se estropean los sites, ya que tengo muchas modificaciones en las plantillas y no sé si los voy a fastidiar.

Gracias de antemano por tu consejo y feliz 2012.

Responder

Hola Lydia!
No hay problema. Si una actualización falla, es bastante sencillo arreglarlo. En muchos casos basta con borrar el archivo .maintenance (o similares) con un programa FTP. (este archivo se crea de forma automática en la carpeta raiz de tu blog).

Un saludo y mucha suerte! :)

Responder

Alex, te admiro mucho, pero se me olvidó pedirte para reyes, si pudiera te contrataba

Responder

jajajajaajaj muchas gracias Edu! :)
A ver si para el año que viene te portas mejor y me traen los reyes. XDD
un abrazo!

Responder

Alex, soy nuevo en tu blog y te felicito! Muchos trucos y tips de calidad!

Muchas gracias!
Saludos

Responder

Muchas gracias Alejandro! :)

Responder

Hola Alex!
Salud y Felicidad en éste Año Nuevo 2,012 !
Gracias una vez mas por compartir éste tema
Seguridad WordPress – Como proteger tu blog.
Lo tendré presente para cuando tenga mi blog
listo, te avisaré para que des tu V°B°
Un abrazo !

Responder

Sin problema! :)
Un abrazo

Responder

Hola alex pero esto solo vale para WordPress hay alguna forma de como saber si tu web pagina normal tiene problemas de seguridad seria de una gran ayuda saludo Alejandro

Responder

Alex, magnifico post.

A veces pensamos que como tenemos sitios «pequeños» no hay nadie que se interese por dañarnos… y vaya error mas grande..

Gracias por darnos herrmaientas para prevenir todo esto.

Saludos

Ricardo

Responder

Si, tienes razón. Sobre todo, porque muchos de los ataques son automatizados que atacan a todo lo que se encuentran por el camino, independientemente del tipo de sito que sea..
un saludo!

Responder

Hola Alex
Gracias por compartir información tan completa acerca de la seguridad de nuestro sitio. Pero como soy novato, no se dónde debo ubicar el archivo Robots.txt.
Felicidades por el post y que tengas un buen año.
Saludos

Responder

José el archivo Robots.txt lo has de ubicar dentro de la carpeta www de tu hosting, para ello necesitarás acceder a través de FTP.

Otra opción, dentro de WordPress, es utilizar este plugin de Yoast de Valk llamado: Robots Meta; con él podrás editar tu archivo Robots.txt desde la administración del WordPress además de poder hacer otros ajustes.

Espero que esto te ayude.

Responder

Exacto! :)
Gracias Javi..

Responder

Lo de actualizar WordPress puede ser un gran problema. Algunos plugins y temas dejan de funcionar o aparecen errores. A veces hay que tener cuidado con ello y antes de nada hacer el mismo procedimiento en una maquina local.

Un saludo!

Responder

Si, a veces te puede pasar lo que comentas, pero siempre se puede revertir (se dice así?) la actualización.
Un saludo!

Responder

Hola Alex

Hay algo que no entiendo

Porque al final de tu robots.txt prohibes esto??

User-agent: Adsbot-Google
Disallow:

User-agent: Googlebot
Disallow:

User-agent: Mediapartners-Google
Disallow:

Gracias

Santiago

Responder

Hola Santiago!
No les estoy prohibiendo la entrada.
Todo lo contrario.

Si lo quisiera prohibir, pondría

Disallow: /

en vez de

Disallow:

Si lo dejo abierto sin poner el «/» es que pueden pasar sin problema.
Un saludo! :)

Responder

Gracias Alex por la aclaracion

Santiago

Responder

Buenisimo Alex! Gracias a tu entrada me he dado cuenta que estabamos hackeados por la vulnerabilidad de thumb.php y he conseguido arreglarlo.

Por si alguien le sirve mi expericencia:
– en webmaster tools explorar como google bot y ver si hay hack o no.
– eliminar fichero que este apuntado desde htaccess.
– cambiar htaccess. (poner el antiguo bueno conocido)
– buscar por todos los ficheros por la instrucción «base64_decode» o por «GoogleBot» (si es que es un código que solo ve google) o por “Viagra” (si es lo que ha puesto el hack) y quitar el código malicioso (cuidado que hay ficheros que utilizan esa instrucción sin ser malicioso)

También leer este link http://redleg-redleg.blogspot.com/2011/02/pharmacy-hack.html

Abrazo y gracias de nuevo Alex!

Responder

Que grande eres, he llegado a tu blog mediante google y voy a seguirlo. De hecho estaba buscando proteger mi blog de wordpress que estoy empezando a desarrollar. Seguiré tus consejos.

Mi archivo robots.txt es:

User-agent: *
Disallow: /wp-admin/
Disallow: /wp-includes/

Sitemap: http://www.prestamosrapidos.org/sitemap.xml.gz

Responder

T_T fallé, 302 redirige bien a lo que buscaba…

Responder

Hola Alex,

En mi caso no actualizo el wordpress porque tengo la experiencia de varios amigos, luego de hacerlo les sale error.

Alguna solución frente a eso?

Responder

hola Alex. muy bueno tu blog, gracias por tu informacion, tengo una pregunta yo hice revisar mi web y me sale lo siguiente:
Security report (Warnings found): Blacklisted: Yes, Que debo hacer para sacar mi sitio web de la lista negra ? porque aparece en esa lista ?
gracias por tu ayuda
Elizabeth

Responder

Excelente post!

He probado en mi web y…. ¡horror! con el Sucuri SiteCheck, me sale:

status: Site with warnings
web trust: Not Blacklisted

y unas 10 alertas de seguridad en algunas páginas de la web.
¿cómo se puede arreglar? ¿tengo que comprar el servicio? :-( ¿qué me recomiendas?

Gracias!!

Responder

Gracias por el post, muy bueno.

Una duda: el archivo robots.txt de esta web …ahora mismo no lo tienes actualizado, ¿no?. Intento acceder a https://www.vivirdelared.com/robots.txt y solo veo una página en blanco (archivo vacío, entiendo). Iba a echarle un vistazo y no he podido.

Un saludo,

Responder

Otro post para nota. Me acabo de poner con wordpress y seguro que todos estos consejos me van a ser muy útiles. Otra recomendación para todos es trabajar en «Local», de ese modo si tienes un ataque, subes tu copia de local al servidor y de nuevo lo tienes todo limpio.

Un saludo figura,

Jesús

Responder

Unos cuantos consejitos más, que siempre vienen bien :)

Consejos para mejorar la seguridad de WordPress

Responder

en mi web desaparecio mi trabjo de semans horas dias, los anuncios destacados las categorias no puedo subir archivos fui hakeado definitivamente o puede ser un proble de el hosting quiere saber que tengo que hacer tumbarla y subirla nuevamente con todas las protecciones que falta me siento y que perdida de tiempo me an ocasionado

Responder

Alex, muchisimas gracias, llevo más de un mes intentando localizar un virus en un WP con una redirección aleatoria que me llevaba loco y leer tu post ha sido la solución. ;)
El fallo de seguridad se produjo a través del framework de Woothemes. Por si a alguien le sirve, antes de actualizar, tal como recomienda al gente de woothemes (esto cierra el hueco de seguridad, pero no soluciona lo que haya pasado durante ese tiempo) debéis revisar muy muy bien todos los archivos infectados y los usuarios del WP, en mi caso incluso se habían creado usuarios con privilegios de administrador. No se os olvide cambiar todas las claves, ftp, admin, etc…

Gracias de nuevo!!!!

Responder

Solo quería preguntarte donde colocas el archivo de texto con los robots. Soy nuevo en esto de las páginas web.
Gracias por este post es muy interesante

Responder

Gracias me será de gran ayuda, ya estoy probando los plugins!

Responder

Hola excelente articulo y te aseguro que me ha servido de mucho la verdad es que es un gran problema la inseguridad de los blog pero con tus consejos aplicados espero reducir un poco este peligro gracias hasta pronto

Responder

No puedo acceder a tu txt de robots y ni sé donde tengo que poner este archivo o como encontrarlo me está poniendo de los nervios.

Responder

Gracias por este artículo Alex; lo leí hace muchísimo tiempo, pero por desgracia :), he tenido que volver a pasar por él; he tenido que utilizar la herrmienta que comentabas, Sucuri Sitecheck para comprobar mi dominio, y ver que está como «blacklisted», no sé si es debido a la plantilla de WordPress que estoy utilizando.

Ya se que estás liadísimo con todo lo que tienes arriba, pero cómo puedo quitarme este blacklis debido a un malware no identificado?? Parece ser que esto no me ha afectado respecto a Google, vamos, que no me ha metido en un pozo aún de búsquedas.

Muchas gracias. Saludos!!

Responder

Hola Alex, he estado leyendo tu artículo para implementarlo en el blog y es que tengo una confusión con respecto al archivo robots.txt. El enlace que pones (www.vivirdelared.com/robots.txt) ya no funciona o lo has deshabilitado. Te lo comento porque me hubiera gustado ver como lo haces para tomar nota ya que he leído otros blogs y todos son diferentes y a veces desde el Webmaster de Google me envían un email diciéndome que el archivo robots ha bloqueado la web y bla bla. Bueno espero que me puedas ayudar con este tema cuando puedas. Saludos!!!

Responder

Hola Alex tengo años siguiendo tus post y no dejas de dejarme boquiabierta con todo lo que uno aprende contigo. Te comento que el mes pasado subi un plugin a mi blog y me robo las comisiones de afiliado. busque por la red y descubri que era ese plugin lo quite y limpie el blog y automaticamente vinieron todas mis comisiones (Casualidad?) no se, lo que si se es que hay que tener mucho cuidado con estos ataques,

Responder

Hola Alex,
Las indicaciones que haces sobre tu archivo robots.txt ya no se corresponden con el actual, el cual es muy sencillo y lo permite casi todo.

Es por algún motivo?

Gracias!

Responder

Hola, a todos!! yo se que este blog se trata de seguridad para blogs, pero alguien me podría ayudar con el tema de la seguridad para una tineda online, resulta que estoy por abrir una, y me han dicho que debo tener mucho cuidado con los Hackers, he buscado información al respecto y dentro de lo que mejor encontré está este artículo http://www.gestiontpv.com/blog/protege-tu-tienda-online-de-los-hackers que me pareció interesante, pero me gustaría saber si hay algo más que añadirían. Apreciaría mucho sus consejos. Gracias chicos!!

Responder

Hola Alex que tal?
Hace un tiempo que sigo este blog y me parece una fuente muy útil para desarrollar ideas.
Tengo una duda acerca del file Robots.txt, a ver si puedes ayudarme aunque si he visto que varios usuarios te preguntan lo mismo y no han tenido respuesta…
Ahora tu file robots está seguramente más sencillo y lo he notado en diferentes webs…. Es por algo? Es que Google hice algún cambio importantes?
La duda más grande es acerca del contenido duplicado: archivos; categorías; tags ecc ecc…
Bueno, a ver si nos dices algo en un nuevo post si no quieres contestar a los comentarios :P

Responder