WordPress limpio!
Una de cada cuatro páginas web en Internet está diseñada con WordPress, sin lugar a dudas, es el CMS mas utilizado por abrumadora diferencia. Es fácil entender que la seguridad en este entorno es muy importante para el funcionamiento global de la Red dado que es el objetivo número uno de hackers, spammers y todo tipo de intenciones maliciosas. En este artículo damos repaso a algunas herramientas de seguridad y limpieza para WordPress.
Los tiempos en los que los hackers cambiaban el “aspecto” de la web atacada, con algún mensaje molesto y tenebroso, ya han pasado. Ahora el principal objetivo del atacante es pasar desapercibido y aprovecharse de la web hackeada el mayor tiempo posible sin ser detectado. Limpiar este tipo de ataques es mucho mas complicado pues, de entrada, no anuncian su presencia y el aparente normal funcionamiento de la página no da pie a ninguna sospecha. Cabe realizar una labor de “prevención” y revisión periódica para tener la certeza de que estamos “limpios”.
Existen diversos tipos de infección en WordPress…
- El mas común, Pharma Hacks, inyectan spam en el código de nuestra web o en nuestra base de datos.
- Backdoors, puertas traseras, entradas ocultas en nuestra web para tomar el control, vía FTP o panel de administración.
- Drive Downloads, scripts para reconducir descargas y obtener acceso a los ordenadores de los usuarios de WP.
- File or Database Injections, inclusión de código malicioso en ficheros o la base de datos.
- Malicius Redirects, enlaces fraudulentos a webs no deseadas o descargas de archivos infectados.
- Phishing, el mas popular, robo de datos tal como usuarios, passwords, emails, etc.
Aquí varios servicios online o “plugins” para prevenir infecciones o analizar nuestro WordPress…
Securi Malware
Sucuri tiene una gran reputación como herramienta efectiva de seguridad y solución de escaneo de malware. Su servicio online SiteCheck escanea la web para detectar problemas comunes de forma gratuita. También puede detectar si su servidor web ha sido bloqueado (lo que puede suceder si un hacker ha estado usando su servidor para enviar spam).
También ofrecen un plugin de WordPress llamado Sucuri Security. Además de escanear su sitio ofrece un servidor de seguridad para que la web sea más segura, endureciendo las opciones que afectan a los agujeros mas comunes de WP y una sección de “últimos inicios de sesión” que pone de relieve exactamente quién ha iniciado sesión en su sitio web. El plugin también tiene algunas características útiles para la recuperación de la web tras un ataque, la recuperación de claves de acceso al propio WordPress y restablecer las contraseñas de los usuarios.
Theme Authenticity Checker
TAC es un plugin que escanea los temas (themes) instalados en su sitio web para encontrar código malicioso. Se pueden detectar cosas tales como enlaces de pie de página e inyecciones de código Base64. Este tipo de enlaces a pie de web no afectan al normal funcionamiento de WordPress pero el plugin le dará detalles de todos los enlaces, aunque inofensivos, que están codificados y/o rotos en la plantilla.
Wp Antivirus Site Protection
WP Antivirus Site Protection es un plugin de seguridad que puede escanear tu web y detectar backdoors, rootkits, trojan horses, worms, fraudtools, adware y spyware. Ademas revisar los archivos del theme e incluso aquellos archivos subidos al apartado “media” de tu WordPress. La versión gratuita escanea tu web una vez por semana, suficiente!
AntiVirus
AntiVirus es otro plugin gratuito de WP que puede escanear los archivos del theme cada día para encontrar código malicioso o spam. Los posibles avisos aparecen en la barra de administración de WordPress, totalmente integrado, e incluso puede enviar notificaciones por eMail. Este plugin solo revisa el theme actual y no los inactivos. Es una buena practica eliminar los themes que no se utilizan pues no están sujetos a actualizaciones y son un agujero de seguridad.
Anti Malware
Anti-Malware escanea su sitio web en busca de malware y elimina automáticamente cualquier amenaza conocida. El plugin también puede endurecer tu página de entrada wp-login.php para detener los ataques de fuerza bruta.
Quttera
Quttera Web Malware Scanner revisa tu sitio web en busca de amenazas conocidas como puertas traseras, las inyecciones de código, iframes maliciosos, código oculto y más. El informe mostrará una lista de archivos sospechosos y asesorará si su sitio web ha sido bloqueado por los ISP.
Wemahu
Wemahu es un nuevo plugin de WordPress que puede detectar código malicioso en tu web. Ejecuta revisiones regulares sobre el wordpress y envía los resultados por correo email.
Wordfence Security
Wordfence Security es uno de los plugins de seguridad mas populares de WordPress. El plugin revisa los archivos que forman el nucleo de WordPress, los temas y el resto de plugins, detectando las amenazas conocidas. Ofrece una amplisima lista de opciones para endurecer el acceso a tu página y así dificultar entradas fraudulentas.
WP Changes Tracker
WP Changes Tracker no es un analizador de malware pero controla todos los cambiso que se producen en la base de datos de WordPress, Plugins y Themes de modo que nos permite tener conocimiento directo de lo que ha cambiado y tomar decisiones por nuestra cuenta si algo no corresponde a lo deseado.
Con todas estas sugerencias podemos asegurar que nuestro WordPress estará “limpio” al 99%!