Muchos desarrolladores web no lo tienen en cuenta, pero existen muchos peligros que pueden afectar nuestra instalación de WordPress como por ejemplo la inyección de secuencias de comandos o intentos de modificación de la variable _REQUEST o del cambio de variables globales PHP.

Para evitar esto solo deben de editar el fichero .htaccess y agregarle las siguientes líneas de código (por las dudas hagan un respaldo del fichero que editarán),

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Con esto solo ya están resguardados de esos peligros que les comenté anteriormente.

Antivirus es un plugin para WordPress que protege tu blog de exploits e inyecciones de spam.

Es muy simple, se instala, se activa y listo, ya comienza a trabajar.  lo único que debemos configurar es introducir nuestra dirección de email para que nos envíe las notificaciones, si es que le indicamos que haga un scan diario de nuestra instalación de WordPress.

También podemos llevar a cabo un scan manual en cualquier momento y para ello tenemos la opción en el panel de administración del plugin.

Las principales características de este plugin son las siguientes,

• Listo para WordPress 3.x tanto en diseño como técnicamente
• Detecta WordPress permalink back door
• Prueba manual con un resultado inmediator de los ficheros infectados
• Ejecución automática diaria con notificación vía email
• Lista blanca: permite marcar ficheros sospechosos como “No virus”
• Multilenguaje: Inglés, alemásn, italiano, persa y ruso

Me imagino que a nadie le gusta que le usen la banda ancha de su cuenta y menos enlazando a las imágenes alojadas de su blog.

Una de las cosas que pueden hacer es incluir un par de instrucciones en el fichero .htaccess en el directorio raiz de donde tienen instalado su WordPress, pero existe una forma mucho más facil que esa, sin necesidad de andar editando ficheros.

Se trata de un plugin desarrollado por un programador alemán, que muy facilmente nos ayuda a evitar que hagan hotlink de nuestras imágenes.

El plugin se llama Hotlink Protection y una vez después de instalarlo, solo debemos de indicarle el path de la carpeta donde tenemos alojadas las imágenes de nuestro blog.  Por defecto trae el path de la carpeta Uploads, pero si usamos otra, debemos de indicarselo en el formulario de la administración de este plugin.

Cada vez que requieran ver una imagen de nuestro blog, les aparecerá una imagen como la siguiente.

Igualmente podemos cambiar y utilizar otra imagen para que muestre cuando quieren hacer hotlink.  Para hacer esto solo marcamos la opción de usar custom images y subimos la imagen que queremos en el folder del directorio del theme que están usando.

Enlace de descarga del plugín: Hotlink Protection

Aquellos que no han actualizado, es necesario que lo hagan pues un intruso, por medio de una URL especial, puede llegar a pasar el checkeo de seguridad para cambiar la password del administrador.  Como resultado al realizar este procedimiento, a la primer cuenta sin una llave en la base de datos, usualmente la del administrador,  se  le puede cambiar la password.

Hoy en día, con los conocimientos necesarios, una persona puede ingresar a donde se les antoje.   Si hackers han ingresado en organizaciones en donde la seguridad es palabra mayor, imagínense en una cuenta de un sitio hosteada en un servidor de los baratos.

Bueno, tampoco es para tanto, no se sugestionen, pues quien trata de entrar a un sitio como el que les nombré en el párrafo anterior, no creo que quiera hackear una cuenta de un blog hosteada en un server como les comenté anteriormente.   Pero igual sigue existiendo la posibilidad que alguno, aunque no tenga los conocimientos de un hacker de primer nivel, pueda entrar en nuestros blogs.

Para impedir ello o mejor dicho para hacerles el camino más dificil, les voy a comentar sobre 4 trucos para mejorar la seguridad del área de administración de una instalación de WordPress:

1) Mover el fichero de configuración wp-config.php

Por defecto este fichero viene en el directorio principal de la instalación y puede ser accedido en forma facil si la persona que trata de hackearlo sabe donde se encuentra, pero si lo movemos a un nivel más alto del que se encuentra actualmente y listo.

Ejemplo:

Si la instalación la tenemos en la carpetaWordpress

…/public_html/wordpress/wp-config.php

lo movemos a

…/public_html/wp-config.php

Ya está, así de simple.

2) Proteger el fichero de configuración wp-config.php

Mediante el agregado de código al fichero .htaccess, podemos proteger el fichero de configuración de WordPress, sin necesidad de moverlo, como expliqué en el paso anterior.  El código que deben usar es el siguiente y tienen que estar seguros de que los dos ficheros, .htaccess y wp-config.php, se encuentran en el mismo directorio:

# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

3) Disminuir la cantidad de logins erróneos

Una forma de fácil de controlar la cantidad de veces que alguien puede tratar de conectarse al área de administración es con un plugín.  El mismo se llama Limit Login Attempts.  Eso evita que un hacker que trate de usar el logín del área de administración, cuando llegue al límite de intentos, deba de esperar una cierta cantidad de tiempo para volver a intentarlo.

3) Cambiar las direcciones de Login, Logout, Registración y Administración

Esto lo podemos hacer mediante el plugin Stealth Login, del cuál ya hemos hablado en su oportunidad.

Fair Share es una herramienta en línea que te permite descubrir quien está copiando palabras de tus post a través de las feeds de tu blog.

Esta herramienta trabaja de una manera bien simple.  Lo primero que hacemos es suscribirnos al servicio e indicarle la URL de nuestra feed.   Una vez hecho esto, Fair Share comienza a rastrear y nos informa a través de una RSS feed personalizada.

Luego agregamos esa feed a nuestro lector de feeds y listo, si alguien esta utilizando nuestro contenido sin permiso y sin atribuir los créditos correspondientes, lo sabremos a través del informe que viene en esa feed y ahí deberemos tomar las acciones correspondientes para evitar que esto siga sucediendo.

El informe es muy completo y hasta nos dice si colocan o no, un trackback a nuestro post.

Fair Share está optimizado para trabajar con sitios en inglés, pero aclaran  que lo han probado con varios lenguajes, entre los que se encuentra el español, determinando que funciona perfectamente.

El otro día me comentaban “pero ahora mucha gente copia, es más, la noticias que aparecen en un sitio, aparecen en cientos de otros sitios” y sí, en parte tienen razón, el ejemplo más claro es este post, ya que yo ví la noticia en el blog Puntogeek y se me ocurrió desarrollar la noticia aquí, pero la diferencia es que yo lo hice sin copiar nada y mencionando la fuente.   Tomándome el tiempo para probar el servicio y también para escribir este artículo, por lo que con mucho derecho puedo decir que este post es el producto de mi trabajo y nadie tiene derecho a copiar sin permiso lo que escribí y menos sin mencionar la fuente.

No hace mucho les comenté sobre otro modo que algunos utilizan para copiar nuestro contenido y es directamente desde nuestra web, con la técnica de copiar y pegar.  También les comenté sobre un servicio que nos ayudaba con eso y el mismo se llama Tynt Tracer, que en conjunto con Fair Share, nos pueden ayudar a descubrir a casi todos los que copian nuestros post.

Enlace: Fair Share

Tenemos que ser realistas, si hackers han entrado en sitios con sistemas de seguridad de primer nivel, muy facilmente pueden entrar en otros  en los que la seguridad no es el común denominador.  

Últimamente estamos viendo que muchos se las están ingeniando para entrar sin permiso en más y más blogs.  Aunque siempre, en estos casos, debemos de separar las cosas, pues tenemos los errores que son propios del software que utilizamos y también los errores que nosotros podemos cometer cuando por ejemplo y sin darnos cuenta, seguimos el enlace de un email, que nos mete un script que nos averígua hasta la marca de cerveza preferida y después, encontramos gente que se pregunta como es que me han cambiado los dominios y me han puesto otra portada en mi blog, luego lo conocido: la culpa es de Gmail, Godaddy y no se cuantos servicios más.  pero en realidad los culpables de que nos hackearan el sitio fuimos nosotros.

El asunto aquí, para evitar males mayores, es hacer dificil el camino para las personas que tratan de hackearnos el sitio.  Por ejemplo en WordPress, una de las formas de tratar de hackear un blog es utilizando lo que se llama fuerza bruta, atacando la página de Login.  Lo que hacen es utilizar esta técnica para crackear la password utilizando una cantidad impresionante de combinaciones de letras y números en un corto período de tiempo.

Una de las medidas que podemos tomar en este caso en particular es el uso de un plugin llamado Stealth Login, el cuál nos permite cambiar la dirección de la página de login (‘wp-login.php’), por otra que nosotros elegimos.  De esa manera no sabrán que página utilizar para intentar crackear la password.  Este plugín también permite renombrar las páginas de logout, administración y registración.

Un ejemplo válido que podemos usar como página de login: http://nuestroblog.com/logeo

Una vez que lo instalamos la configuración es muy simple:

Login Slug: colocamos el nombre de la nueva dirección de logín.  Si seguimos el ejemplo del enlace anterior, tendríamos que ingresar “logeo”

Login Redirect: a qué página redireccionará el logín, normalmente a nuestroblog.com/wp-admin, si es que utilizamos otra, colocamos esa.

Logout Slug: colocamos el nombre de la nueva dirección de la página de logout.

Register Slug:  colocamos el nombre de la nueva dirección de la página de registración.

Stealth Mode: protege de que intenten usar directamente la página nuestroblog.com/wp-login para tratar de ingresar a la administración.

.htaccess output: el código que genera en el fichero .htaccess de nuestro blog.

Como ven, la configuración de este plugín no tiene cosas extrañas y nos ayudará a  tratar de evitar de que se apoderen de nuestro blog.

Deben de tener en cuenta que quizás, aunque no es común,  pueda provocar algún problema si están utilizando algún otro plugin de seguridad que actúa sobre el Login.   Para evitar eso, deben de desactivar ese plugin y activar Stealth Login.  También, si algo raro sucede después de instalar este plugín, en el fichero readme que viene con los ficheros del plugín en el .zip que descargamos, tienen las instrucciones para volver todo a la normalidad, solo dos simples pasos.   Aclaro que este plugín es compatible hasta la última versión 2.7.1 de WordPress, así que no tendrían que tener ningún problema.  Cuando lo probé no tuve ningún inconveniente y funcionó, tal cuál lo explican en el sitio.

Igualmente, el uso de este plugín no es garantía de nada, pero nos ayudará a hacerles mucho más dificil el camino a los amigos de lo ajeno.  Soy de las personas que sostiene que cualquier sistema se puede hackear, pero está en nosotros de hacer dificil el camino y este plugín nos puede ayudar.

Enlace: Stealth Login

Es frustrante ver que otro sitio copia descaradamente nuestro contenido.  No solo con agregadores que toman las noticias de nuestras feeds, si nó también los que con mucha agilidad practican el famoso copy & paste.

Respecto a los agregadores se pueden aplicar varias medidas, como incorporar una notificación al final de cada uno de los posts o directamente crear feeds con solo una introducción del post, aunque esto último es un poco molesto para nuestros lectores y tengo que confesar que igual se las rebuscan, tomandose el trabajo de ir al sitio y copiar y pegar el resto o borrando la noticia de copyright del final de cada post.  Pero es obvio que les dará más trabajo.

En el caso de los que copian el contenido directamente de tu sitio, tanto sea texto completo, parte o las imágenes, existe un servicio nuevo, en estado beta, que posee una herramienta muy interesante.   Se trata de Tynt Tracer.

Esta herramienta en un javascript que cada vez que alguien copia texto o una imagen de tu blog, graba esta acción y automáticamente le agrega un enlace hacia tu sitio cuando ese contenido es pegado en el sitio de la persona que copia. De esta manera uno sabe cuando copian contenido y se beneficia con un enlace entrante.

Los principales beneficios de utilzar este servicio son:

• Genera más visitas y pageviews
• Mide y nos permite analizar el comportamiento de los usuarios
• Recibir el crédito necesario por nuestro contenido
• Mejorar el posicionamiento en los motores de búsqueda

Solo debemos de suscribirnos al servicio.  Una vez hecho esto, Tracer nos da una línea de código que debemos copiar y pegar antes de la etiqueta /Body de nuestra página y listo, ya comienza a funcionar.

Para estar seguros de que el script esta funcionando perfectamente, podemos utilizar el procedimiento Test My Script, en donde ingresamos la URL de nuestro blog y en cuestión de segundos nos dirá si está funcionando o no.

Otra herramienta más para combatir a los que copian el contenido que tanto nos cuesta crear y si bien no es una herramienta perfecta, pues hay formas de evitar su tarea, es algo más que dificulta la tarea de estos personajes, que nada bien le hacen a la comunidad bloggera.

Enlace: Tynt Tracer

Gracias a WWWhat’s New

En mi caso tengo la costumbre de darle una oportunidad a la persona que copia mis contenidos y por las buenas comunicarle que retiren el material  o que no hagan hotlink a las imágenes que estan en mi server.  Pero si no me escuchan,  hay varias con las que los puedo hacer escucharmem  pero este post no es para hablar de ello, este post es para comentarles sobre un recurso en línea, que nos permite dar el primer paso.  Ese primer paso es conocer quién te está copiando.

El servicio del que les quiero hablar se llama CopyGator y funciona monitoreando las feeds de nuestro blog e investigando, a partir de ellas, si alguien está copiando algo de nuestro contenido.  Pero no solo verifica por una copia exacta, también verifica por similaridades, las cuáles también las informa.

Con Copygator podemos trabajar de dos maneras.  La primera implica agregar la URL de nuestras feeds y el servicio nos asigna una página.   Salvamos la dirección en los favoritos y cada tanto accedemos a ella para ver si alguién nos esta copiando contenido.

La segundo es la más interesante, ya que nos permite poner un botón en nuestro sitio con el logo de CopyGator y de las medidas del badge de Feedburner.  La misma es de color verde, pero cuando el servicio detecta que nos están copiando el contenido ese botón cambia de color y lo veremos de color rojo.  Presionando ese botón, el enlace nos llevará a la página de asignada a nosotros en CopyGator para ver que y quién nos está copiando.

También, cuando nos están copiando, podemos recibir alertas vía email o RSS feeds y lo mejor de todo es que el servicio es gratuito y no necesitamos registrarnos.

Enlace: CopyGator

Gracias a Make Use Of

Uno de los problemas que pueden surgir se da cuando necesitamos redirigir a los usuarios hacia otra página.  Esa redirección puede dejar abiertas la puertas para que un hacker se  aproveche y utilize nuestro dominio para engañar a los visitantes y redirediccionarlos a sitios de spam, porno, virus, malware u otros por el estilo.

Según el blog de Google ellos tratan de mantener esas URL’ fuera de su indice, pero nos aconsejan a nosotros asegurarnos de que nuestro sitio no sea utilizado de esa manera.

Google nos informa sobre algunas de las técnicas utilizadas por los hackers para realizar los redireccionamientos que debemos de tener en cuenta  y a continuación se las describo:

Scripts que redireccionan a un archivo en el server: Debemos estar seguros de que el enlace redireccione directamente al archivo y no tener enlaces del siguiente tipo:

example.com/go.php?url=
example.com/ie/ie40/download/?

• Redirecciones que llevan los resultados de búsquedas a páginas internas:  ver por enlaces que envían a los usuarios a otras páginas después del parámetro “url=”.

example.com/search?q=user+search+keywords&url=

• Sistemas que contabilizan los clicks en los progrmas de afiliados, programas de ads o systemas de estadísticas:

example.com/coupon.jsp?code=ABCDEF&url=
example.com/cs.html?url=

• Sitios con Servidores Proxy: Aunque técnicamente no siempre redirecciona, algunos sitios pueden ser vulnerables, especialmente aquellos sitios que utilizan las escuelas, universidades y bibliotecas.

proxy.example.com/?url=

• Páginas de login: en algunos casos trata de redireccionar hacia la p[agina que el usuario trató de acceder en primer término.

example.com/login?url=

• Scripts que redireccionan a una página cuando el visitante trata de alejarse del sitio e ir a otra web: esto sucede en sitios del gobierno, educacionales y en algunos sitios de empresas grandes.

example.com/redirect/
example.com/out?
example.com/cgi-bin/redirect.cgi?

Igualmente, aunque ninguno de los ejemplos anteriores aparezcan en nuestro blog, puede ser que el mismo tenga vulnerabilidades de este tipo y para comprobarlo, Google nos dice como, además de indicarnos algunas herramientas de ellos que nos pueden llegar a ayudar:

• Podemos ver si sucede algo fuera de lo normal si aparecen largas queries sobre porno, cacinos, pildoras y cosas por el estilo utilizando el servicio Top search queries de la sección Webmaster Tools de Google.  También tenemos que estar atentos a recibir algún mensaje de Google en The Message Center en Webmaster Tools. que nos indique sobre alguna anormalidad.

• Verificar los logs de nuestro server o web analytics por parámetros de URL’s que no sean familiares a nuestro blog, como por ejemplo: “=http:” o “=//”.  También puede resultar sospechoso un aumento considerado de visitas de un día a otro.  También se pueden controlar la páginas con enlaces externos en Webmaster Tools.

Como bien nos explica Google, no existe una forma efectiva de saber en forma totalmente segura de que una URL de nuestro sitio no está siendo explotada.  Algunas formas de evitarlo son las siguientes, aunque en algunos casos no sea facil realizarlo y deberán utilizar los servicios de algún programador:

• Cambiar el código de redirección para que verifique al referenciador.

• Si el script de tu sitio solo envía usuarios a una página interna del mismo o apunta a un fichero, deberán prohibir redirecciones fuera del sitio.

• Usar listas blancas de sitios conocidos o sea, toda redirección se verificará contra una lista de sitios permitidos.

• Considerar encriptar las redirecciones utilizando firmas digitales como parámetro.
• Si tu sitio no usa redirecciones entonces desabilitar o remover la redirección.

• Usar robots.txt para excluir los motores de búsqueda de los scripts de redirecciones de tu blog.

• Usar Webmaster Tools para remover URLs.
• Si verificamos que alguien esta abusando de redirecciones en nuestro blog, denunciarlo a Google desde Webmaster Tools

Como ven, las soluciones no son fáciles en algunos casos, pero descubriendo a los hackers nos puede ayudar mucho y de última, si es que no podemos aplicar cambios al código, la denuncia es un arma poderosa.

Enlace: Open redirect URLs: Is your site being abused?

Gracias a Adseok