Está en la página 1de 18

5 Secretos Esenciales Para Aumentar La Seguridad De Tu Sitio Web En WordPress

Evita que un Hacker entre a tus pginas web a modificar contenido, robar tus productos y aadir cdigo malicioso...

http://AxelSanMiguel.com

Hola! Mi nombre es Axel San Miguel y te doy las gracias por tu inters en querer proteger tu blog de WordPress de personas curiosas, que lo que quieren es entrar y robarte tus archivos, videos, ebooks y todos tus productos solo por pasar el rato, verlo como un reto y llevarse un trofeo (tus archivos). O peor an, de personas maliciosas e inescrupulosas las cuales lo que quieren es hacer dao y destruir tu sitio web, inyectar cdigo malicioso o que le hagan un Deface que le cambien la cara de tu sitio web y lo redirijan a un sitio de pornografa, viruses entre otras cosas peores

Creme que se de lo que estoy hablando!


Pues todos los das tengo que lidiar con eso y mucho ms en mi trabajo. Y para que sepas un poco de mi; me llamo Axel San Miguel y al momento de escribir este reporte tengo 34 aos y vivo en Puerto Rico. Trabajo para el peridico de mayor circulacin en la Isla como Especialista en Redes y Seguridad Informtica hace aproximadamente unos 10 aos. Comenc mi aventura con las computadoras desde pequeo pero mi inters en seguridad fue en la universidad. Para ese tiempo tena una Compaq Presario x486 con 16MB de RAM y un disco duro de 260MB WOW! Tena una mega computadora jajaja! Bueno, para ese tiempo era rpida. En fin, todo comenz cuando esa computadora se me infect con un virus y no haca nada, la encenda y se quedaba frisada, no suba ni DOS 5.1 ni Windows 3.11 uhhh! Como la PC estaba en garanta todava, la llev a donde la compr para que la verificaran.

Y Que Me Dijeron?... Adivina!

Eso no lo cubre la garanta


Estudiante al fin y como la necesitaba para poder estudiar y trabajar, la dej confiando en que removeran el virus.

Y qu pas?... Exacto!
La borraron completa sin preguntarme nada y para colmo me cobraron $90 por el arreglo.

Tras que me borraron todos los trabajos de la universidad y todos los juegos que tena instalados, me dejaron sin dinero para pasar la semana

http://AxelSanMiguel.com

Y estar en la universidad sin dinero, como que no era!


En fin, desde ese momento me dije a mi mismo: Nunca Ms Vuelvo a Caer! Desde entonces he estado estudiando y trabajando, aprendiendo todo lo tico y lo no tan tico del mundo de las computadoras, Internet y seguridad informtica. Recientemente me he obsesionado con la seguridad de los blogs hechos en WordPress ya que he encontrado muchos de los mismos totalmente desprotegidos en los cuales he tenido la oportunidad de ver todo su contenido y hasta todos los productos que venden, reportes videos, etc. Cosas tan sencillas como contraseas o passwords predecibles, archivos expuestos, links desprotegidos, acceso al cdigo fuente en donde se ven todos sus plugins, themes, archivos en la carpeta de uploads entre otras cosas. El motivo de haber creado este reporte es para que ests alerta y que tomes accin para proteger como decimos en Puerto Rico: Tus Habichuelas, lo que te deja dinero, que te permite llevar comida a tu casa, o sea tus productos o servicios. ;-) A continuacin un poco de teora sobre quines son los que pueden estar robando tus productos y porque lo hacen. Te prometo que la teora es poca ya que no te quiero aburrir, pero es necesario que entiendas la diferencia y el concepto.

COMENCEMOS!

http://AxelSanMiguel.com

Qu es un Hacker?
Segn Wikipedia, un Hacker de informtica es una persona que pertenece a una de estas comunidades o subculturas distintas pero no completamente independientes:

Gente apasionada por la seguridad informtica. Esto concierne principalmente a entradas remotas no autorizadas por medio de redes de comunicacin como Internet ("Black hats"). Pero tambin incluye a aquellos que depuran y arreglan errores en los sistemas ("White hats") y a los de moral ambigua como son los "Grey hats".

Una comunidad de entusiastas programadores y diseadores de sistemas originada en los sesenta alrededor del Instituto Tecnolgico de Massachusetts (MIT), el Tech Model Railroad Club (TMRC) y el Laboratorio de Inteligencia Artificial del MIT . Esta

comunidad se caracteriza por el lanzamiento del movimiento de software libre. La World Wide Web e Internet en s misma son creaciones de Hackers. El RFC 1392 amplia este significado como "persona que se disfruta de un conocimiento profundo del funcionamiento interno de un sistema, en particular de computadoras y redes informticas"

La comunidad de aficionados a la informtica domstica, centrada en el hardware posterior a los setenta y en el software (juegos de ordenador, crackeo de software, la demoscene) de entre los ochenta/noventa.

En la actualidad se usa de forma corriente para referirse mayormente a los criminales informticos, debido a su utilizacin masiva por parte de los medios de comunicacin desde la dcada de 1980. A los criminales se les pueden sumar los llamados "script kiddies", gente que invade computadoras, usando programas escritos por otros, y que tiene muy poco conocimiento sobre cmo funcionan. Este uso parcialmente incorrecto se ha vuelto tan predominante que, en general, un gran segmento de la poblacin no es consciente de que existen diferentes significados.
http://es.wikipedia.org/wiki/Hacker

http://AxelSanMiguel.com

Mientras que los Hackers aficionados reconocen los tres tipos de Hackers y los Hackers de la seguridad informtica aceptan todos los usos del trmino, los Hackers del software libre consideran la referencia a intrusin informtica como un uso incorrecto de la palabra, y se refieren a los que rompen los sistemas de seguridad como "crackers" (analoga de "safecracker", que en espaol se traduce como "un ladrn de cajas fuertes"). Segn Axel San Miguel, en trminos simples un Hacker es una persona curiosa que le gustan los retos en seguridad informtica, donde si encuentra un sitio web con alguna seguridad, tiene la curiosidad de tratar de entrar y busca la forma de cmo hacerlo, todo dependiendo que tan grande sea el deseo de lograr su objetivo. Adems un Hacker no hace dao, al contrario, una vez logra su objetivo deja una huella o se comunica con el dueo de la pgina y le notifica sobre la vulnerabilidad que encontr. Ahora, un Cracker es la persona la cual hay que tenerle miedo y de la cual hay que protegerse, ya que un Cracker quiere entrar no importa que, muchas veces porque es pagado para hacerlo, tiene inters en hacer dao, quiere robar el contenido y subir cdigo malicioso para hacer varias fechoras, que si las menciono aqu no queras conectarte nunca ms al internet. Pero esa no es mi intencin, no quiero que te asustes sino que ests alerta y que sepas que hay mtodos en los cuales les puedes hacer la vida ms difcil a estos Crackers.
Nota Importante: Los secretos o mtodos que voy a compartir contigo hoy no son infalibles y NO, repito, NO te van a proteger completamente de ataques o intentos de tumbarte tu sitio web. Solo es una capa adicional de seguridad en donde puedes mantener a los Cracker Novatos fuera de tu sitio web. No te garantizo que un Cracker Profesional no va a romper la seguridad de tus pginas. Si l quiere hacerlo y tiene un deseo ardiente, mas una buena cantidad de dinero que le paguen Lo va a lograr! Antes que hagas cualquier cambio a tu blog de WordPress es recomendable que hagas una copia de resguardo o backup de todo tu blog, incluyendo los themes o plantillas, los plugins, las bases de datos entre otras cosas que tengas instalado en tu blog. Todo lo que te presento aqu es basado en mi experiencia pero quiero aclararte con mi Disclaimer que No Me Hago Responsable de cualquier problema que esto te pueda causar o si tu sitio web deja de funcionar. Esto son mtodos de seguridad que son avanzados y deberan hacerse con la ayuda de un profesional para evitar que se desprograme tu sitio web en WordPress.

http://AxelSanMiguel.com

Sin ms prembulos aqu estn los secretos para proteger tus blogs en WordPress.

Contraseas (passwords)
Lo primero que debes hacer para proteger tu blog de WordPress es crear una contrasea o password complejo. Muchas veces las personas terminan usando contraseas o passwords fciles de recordad y fciles de adivinar como el nombre de la pareja, de un hijo, de la mascota o sino una fecha de nacimiento. No solo son fciles de adivinar sino que hay herramientas que los Hackers y Crackers usan, las cuales pueden descifrar contraseas dbiles a base de un diccionario o haciendo lo que se llama Brute Force o a fuerza bruta, en donde el sistema usa una combinacin de variantes para descifrar la contrasea deseada en x cantidad de tiempo. T no dejaras la puerta de tu casa abierta o la puerta de tu carro sin seguro porque es ms fcil de entrar, Verdad? Pues Lo mismo pasa con tu contrasea o password. Si usas contraseas o passwords fciles de recordar estos tambin sern fciles de romper o adivinar por un curioso o malicioso Hacker o Cracker. Para crear un password complejo y fuerte te recomiendo lo siguiente: 1. No menos de 16 caracteres. 2. Usa smbolos y caracteres especiales. 3. Usa una combinacin de maysculas y minsculas en cada contrasea. 4. No uses palabras comunes de un diccionario. 5. Cambia tu password a menudo 6. No le digas tu password a nadie a menos que sea necesario. 7. Si crees que alguien ha entrado a tu blog de WordPress o notas algn cambio que t no hiciste, te recomiendo que inmediatamente cambies la contrasea o password y verifiques todas tus entradas o posts, pginas, enlaces y otros.

http://AxelSanMiguel.com

Ej.: No es lo mismo tener un password as: Axel o 1234 (Esta clase de contrasea es fcil de romper ya que es una palabra que aparece en un diccionario) Es mejor tener un password as: Ax3l_S@n^M1gu3l
(Este password es bien seguro y difcil de romper debido a la complejidad del mismo).

Asegrate crear una contrasea o password que sea fcil de recordar pero difcil de romper!

Usa una utilidad para recordarte de tus passwords.


Hay varias aplicaciones que puedes bajar del Internet que te ayudan a recordar tus passwords, unas gratis otras pagando. La que yo uso y le recomiendo a cualquier persona es ROBOFORM. Roboform es super bueno ya que puedes crear una lista codificada de todos tus passwords y Roboform se encarga de escribirlos por ti a las pginas que vayas. Con Roboform puedes sincronizar tus passwords con varias computadoras usando Roboform Anywhere y tambin lo puedes bajar para los telfonos mviles. Roboform tiene un montn de especificaciones que voy a tocar en otro artculo pero si quieres probarlo, lo puedes bajar de http://axelsanmiguel.com/recomienda/roboform

Actualiza tu blog de WordPress a la ltima versin, incluyendo los themes y plugins.


Cada vez que entras al Dashboard o panel de control de tu blog de WordPress, verifica si en la parte de arriba te sale un mensaje para hacer upgrade a una nueva versin de WordPress, de algn plugin o theme y actualzalo, ya que al dejar la versin vieja estas dejando una puerta abierta para que un Hacker o Cracker entre, explotando alguna vulnerabilidad.

http://AxelSanMiguel.com

Cambiar el prefijo wp_ de la tabla de la base de datos


El prefijo wp_ es el prefijo que viene por defecto cuando se configura una nueva instalacin de WordPress. El problema de esto es que al ser el prefijo por defecto hay programas que usan los Hackers o crackers para tratar de explotar alguna vulnerabilidad o inyectar cdigo malicioso a la base de datos. Una de las formas ms fciles de verificar el prefijo por defecto de t blog de WordPress es instalando un plugin llamado WP Security Scan WP Security Scan es un plugin que te ayuda a cubrir varios asuntos de seguridad sin tener que saber nada de programacin y es sper sencillo de usar. Instalas WP Security Scan entrando a la seccin de los plugins en el dashboard de tu WordPress:
(Mi versin de WordPress es en ingles pero son los mismos pasos en la versin en espaol solo que el trmino es distinto)

Entra a la seccin de Plugins Dentro de Plugins vas marcar la opcin de Add New" Una vez hagas click en la seccin de Add New vas a entrar en la seccin de Install Plugins en donde te sale una barra para hacer una bsqueda y en la misma vas a escribir WP Security Scan y haces click en Search Plugins

http://AxelSanMiguel.com

En la prxima pantalla va a escoger el WP Security Scan y le vas a hacer click en Install Now

Haces click en Activate Plugin

Una vez actives el Plugin, te va a salir una opcin que dice WSD security

http://AxelSanMiguel.com

Haces click en WSD security y te sale la siguiente pantalla:

En esta pantalla puedes verificar varios asuntos de seguridad de tu blog de WordPress que puedes arreglar fcilmente. En este ejemplo el blog tiene el prefijo de la tabla en la base de datos como wp_ lo cual es un riesgo de seguridad. Lo nico que hay que hacer es hacer click donde dice Click here para cambiar el nombre a cualquier nombre que desees. Tambin presenta que no existe el archivo .htaccess en el folder de wp-admin Lo cual representa que la carpeta de wp-admin esta vulnerable a ataques, cualquiera puede entrar y tratar de romper el password de administrador para tener acceso al Dashboard o panel de control.

http://AxelSanMiguel.com

Cambiar la Cuenta de Admin por Defecto de WordPress


Cuando instalas WordPress por primera vez, te da la opcin de escoger un nombre de usuario para tu administrador y muchas veces las personas usan el que viene por defecto de Admin si eres una de estas personas estas hacindole la vida ms fcil a un Hacker o Cracker para que rompa la seguridad de tus pginas. Ya tienen un paso adelante, ya tienen el nombre de usuario y lo nico que falta es romper la contrasea, ya sea a travs de una inyeccin de cdigo malicioso explotando alguna vulnerabilidad o haciendo un BruteForce. Te recomiendo que cambies o crees otra cuenta, llmala como t quieras y dale permisos de administrador. Una vez tengas creada esa cuenta, borra la de Admin y estars aadiendo una capa de seguridad adicional a tu blog.

Protege las carpetas con archivos importantes


Este para mi es uno de los secretos ms crticos que te voy a revelar, pues hay mucha gente que est dejando su contenido desprotegido para que los dems entren y se lo lleven como decimos en Puerto Rico: Como Juan Por Su Casa. Te voy a contar como fue que di con este problema.
(En la siguiente historia no voy a mencionar nombres, lugares ni lo que hice, para proteger la identidad de la persona y su sitio web, pero si quiero que sepas que ya me comuniqu con la persona para q ue hiciera los cambios pertinentes para proteger su sitio web)

Hace unos das me lleg una invitacin de Facebook de un grupo al cual estoy registrado, en el que promocionaba un producto de esta persona. Curioso al fin, presion el enlace y me llev a una pgina en donde haba una carta de venta bastante decente con varios de los elementos que despiertan la curiosidad de un Hacker. Luego de hacer una bsqueda, logr entrar a su sitio web en donde estaba el producto en videos con los ebooks en PDF que ofreca servidos en bandeja de plata. Todo esto le pas por no asegurar su sitio web o por solo confiar en el sistema de WordPress por defecto. Adems, us uno de los elementos de WordPress que a m personalmente no me gusta usar para nada, y es la opcin de hacer uploads o subir imgenes y archivos en el Dashboard o panel de control de WordPress.

http://AxelSanMiguel.com

Yo encuentro que esta opcin se debe usar solo para subir imgenes o videos que vas a colocar en alguna pgina, entrada (blog post) que hagas, pero subir documentos, videos o archivos que sean para vender o que requieren que escribas tu nombre y correo electrnico para poder tener acceso al mismo, no te lo recomiendo.

Pero Porque No? Qu bueno que lo preguntas! Aqu est el porqu:


Cuando subes archivos usando la opcin mencionada arriba, WordPress crea por defecto una carpeta del da o ao dentro de la carpeta de Uploads que est situada en:

http://www.tublogdeWordPress.com/wp-content/uploads/ La misma por defecto tiene las propiedades de seguridad 777 o 755 que significa que cualquiera tiene acceso a esos archivos para ver, escribir y ejecutar. Al ser esto as cualquier persona puede ir a tu blog de WordPress escribiendo:

http://www.tublogdeWordPress.com/wp-content/uploads/ y ver todo lo que hay dentro de esa carpeta incluyendo las sub carpetas.

http://AxelSanMiguel.com

Este podra ser tu blog y acaban de tener acceso a tu valioso producto. Adems, pueden entrar a las carpetas creadas por fecha y ver todas las imgenes y archivos.

Da miedo verdad?
Pues no tengas miedo porque yo estoy aqu, jajaja! Algo sper sencillo que puedes hacer para evitar que puedan entrar a tu carpeta de uploads es crear un archivo llamado

REDOBLE DE TAMBOR!!!! Prrrrrrrrrrrrrrrrrrrr

http://AxelSanMiguel.com

index.html
Si, un simple archivo que puedes crear en Notepad que tenga lo siguiente:

Cuando termines le haces click en File y vas a Save As

http://AxelSanMiguel.com

Vas a la opcin que dice Save as type y escoges All Files (*.*)

En el encasillado de File name escribes index.html (Sin las comillas) y luego le haces click a Save

Ahora vas a subir ese archivo llamado index.html y lo vas a colocar en la carpeta de uploads localizada en http://www.tublogdeWordPress.com/wp-content/uploads/ esto lo puedes hacer con tu utilidad de FTP favorita o te comunicas conmigo para ayudarte.

Una vez hagas esto, cuando entras nuevamente a la direccin: http://www.tublogdeWordPress.com/wp-content/uploads/ Esta es la pantalla que te saldr:

http://AxelSanMiguel.com

Exacto! En blanco, ya que el archivo de index.html est en blanco y es lo que se trata de ejecutar una vez entras a la carpeta. Ahora, te puedes poner un poco creativo y hacer un archivo index.html ms interesante, como por ejemplo uno as:

http://AxelSanMiguel.com

Hay lo tienes!
Un poco de teora, varios cambios que le puedes hacer a tu blog de WordPress para proteger tus archivos y la conciencia de que esto est pasando all afuera. Ahora lo sabes! Queda de tu parte tomar accin y asegurar tu blog para que personas curiosas no puedan robarte tu valioso producto. Esto es prcticamente un 2% de lo que puedes hacer para asegurar tu sitio web hecho en WordPress, ya que hay varias modificaciones adicionales que se pueden hacer para protegerte constantemente de ataques maliciosos. En mi blog http://www.AxelSanMiguel.com vas a encontrar mucha informacin relacionada a la seguridad de tus pginas web hecha en WordPress. Pero si realmente quieres asegurar tu blog de WordPress al Mximo, te puedes ahorrar un dolor de cabeza ordenado mis servicios de Seguridad WordPress. En el te ofrezco un paquete de seguridad completo para tu sitio web incluyendo:

Actualizacin a la versin ms reciente de WordPress. Actualizacin de los Plugins Proteccin a la base de datos. Automatizacin de backups de la base de datos. Automatizacin de backups de archivos importantes. Asegurar logins Escaneos constantes y automatizados de Antivirus. Proteccin de directorios y archivos de WordPress. Asegurar vulnerabilidades en tu servidor de alojamiento web (Web Hosting). Asegurar el wp-config.php Proteccin contra comentarios de SPAM automatizados. Proteccin de carpetas con productos en PDF, Videos y Audios. Proteccin de carpeta de Uploads Proteccin contra ataques de Fuerza Bruta Password Brute Force Attack
Para ms informacin entra a: http://AxelSanMiguel.com/pdc/Seguridad-WordPress

TOMA ACCIN AHORA Y NO ESPERES A QUE SEA DEMACIADO TARDE!

http://AxelSanMiguel.com

Si tienes cualquier duda acerca de lo que est en este reporte, necesitas ayuda o quieres que me encargue de la seguridad de tu sitio web, comuncate conmigo a la mayor brevedad. Comuncate Conmigo Por Email Aqu!

Mantenindote seguro,

Network & Security Consultant


Sgueme en:

Skype ID: Axel.San.Miguel

Entra con tu Smartphone usando mi QR Code:

http://AxelSanMiguel.com